malware-lodeinfo:-hacker-cinesi-usano-una-nuova-catena-|-sicurezza.net

Malware LODEINFO: hacker cinesi usano una nuova catena | sicurezza.net

L’attore cinese, noto come Stone Panda, ha osservato l’impiego di una nuova catena di infezione furtiva per distribuire il malware LODEINFO.

Il nuovo malware LODEINFO

Come è stato detto la distribuzione del malware LODEINFO avviene mediante una nuova catena di infezione utilizzata da hacker cinesi. Gli attacchi sono diretti a entità giapponesi e secondo due rapporti pubblicati da Kaspersky gli obiettivi includono:

  • media
  • organizzazioni diplomatiche
  • organizzazioni governative
  • organizzazioni del settore pubblico
  • organizzazioni think-tank

Stone Panda, chiamato anche APT10, Bronze Riverside, Cicada e Potassium, è un gruppo di spionaggio informatico. È noto per le sue intrusioni contro organizzazioni identificate come strategicamente importanti per la Cina. Si ritiene che l’attore della minaccia sia attivo almeno dal 2009.

Secondo la società di cybersicurezza Trend Micro, che sta monitorando il gruppo con il nome di Earth Tengshe, il gruppo è stato anche collegato ad attacchi contro diverse organizzazioni nazionali giapponesi dall’aprile 2021. In questi attacchi hanno utilizzato famiglie di malware come:

  • SigLoader
  • SodaMaster
  • una web shell chiamata Jackpot

Gli ultimi attacchi

L’ultima serie di attacchi, osservati tra marzo e giugno 2022, prevede l’uso di un file Microsoft Word fasullo e di un file di archivio autoestraente (SFX) in formato RAR propagato tramite e-mail di spear-phishing, che porta all’esecuzione di una backdoor chiamata LODEINFO.

Mentre il maldoc richiede che gli utenti abilitino le macro per attivare la killchain, nella campagna del giugno 2022 si è scoperto che questo metodo è stato abbandonato a favore di un file SFX che, una volta eseguito, visualizza un innocuo documento Word esca per nascondere le attività dannose.

La macro, una volta attivata, rilascia un archivio ZIP contenente due file, uno dei quali (“NRTOLF.exe”) è un eseguibile legittimo del software K7Security Suite. Successivamente viene utilizzato per caricare una DLL dannosa (“K7SysMn1.dll”) tramite il side-loading della DLL.

Oltre l’abuso dell’applicazione di sicurezza, Kaspersky ha dichiarato di aver scoperto nel giugno 2022 un altro metodo di infezione iniziale. Nel quale un file Microsoft Word protetto da password funge da tramite per fornire un downloader senza file denominato DOWNIISSA dopo aver abilitato le macro.

La società russa di cybersicurezza ha specificato che:

La macro incorporata genera lo shellcode di DOWNIISSA e lo inietta nel processo corrente (WINWORD.exe).

DOWNIISSA è configurato per comunicare con un server remoto codificato, che utilizza per recuperare un payload BLOB crittografato di LODEINFO, una backdoor in grado di eseguire shellcode arbitrari, scattare screenshot ed esfiltrare file sul server.

Tutte le modifiche fatte al malware

Il malware, visto per la prima volta nel 2019, ha subito numerosi miglioramenti. Infatti, Kaspersky ha identificato sei diverse versioni a marzo, aprile, giugno e settembre 2022.

Le modifiche includono:

  • tecniche di evasione migliorate per passare inosservato;
  • l’arresto dell’esecuzione su macchine con locale “en_US”;
  • la revisione dell’elenco dei comandi supportati;
  • l’estensione del supporto per l’architettura Intel a 64 bit.

I ricercatori hanno spiegato che:

Il malware LODEINFO viene aggiornato molto frequentemente e continua a colpire attivamente le organizzazioni giapponesi. I TTP aggiornati e i miglioramenti apportati a LODEINFO e al malware correlato […] indicano che l’aggressore è particolarmente concentrato nel rendere più difficile il rilevamento, l’analisi e l’indagine per i ricercatori di sicurezza.

Non è il primo attacco hacker da parte di gruppi criminali cinesi, infatti recentemente sono stati presi di mira numerosi casinò online, se sei interessato ad approfondire questo argomento ti consigliamo di leggere il seguente articolo.

Related Posts

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *