Threat Database Backdoors Backdoor Crosswalk

Backdoor Crosswalk

I ricercatori di Infosec hanno scoperto una minaccia backdoor precedentemente sconosciuta utilizzata in una serie di attacchi da un attore di minacce con sede in Cina. Le minacciose operazioni miravano prevalentemente a sviluppatori di videogiochi ed editori di Hong Kong e Russia. Durante i quattro attacchi distinti, gli hacker hanno utilizzato diversi ceppi di malware, il che ha reso più difficile l'attribuzione della campagna a un particolare attore di minacce.

Nel maggio 2020, gli hacker hanno lanciato due attacchi separati. La prima si basava su scorciatoie LNK che recuperavano ed eseguivano il carico utile minaccioso finale, mentre la seconda operazione utilizzava una catena di attacchi un po 'più sofisticata. Gli hacker hanno distribuito e-mail con un minaccioso archivio RAR come allegato. All'interno dell'archivio c'erano due scorciatoie per PDF che fungevano da esche fingendo di essere un CV e un certificato IELTS. Il vero scopo delle scorciatoie era connettersi a Zeplin, uno strumento legittimo utilizzato dagli sviluppatori per le collaborazioni. Gli hacker hanno ospitato su Zeplin il loro payload della fase finale, che consisteva in un file di caricamento shellcode - "svchast.exe" e Crosswalk, un malware backdoor in agguato all'interno di un file denominato "3t54dE3r.tmp".

Crosswalk non è un nuovo ceppo di malware in quanto è stato rilevato per la prima volta nel 2017. Al centro, la minaccia è una backdoor modulare estremamente snella in grado di condurre attività di ricognizione su computer compromessi. A causa della sua natura modulare, tuttavia, la funzionalità di Crosswalk può essere adattata alla particolare agenda dei criminali informatici recuperando moduli aggiuntivi dall'infrastruttura Command-and-Control (C2, C&C) della campagna in formato shellcode.

Trovare il gruppo dietro gli attacchi

Il dispiegamento di Crosswalk ha finalmente dato ai ricercatori di infosec la fiducia necessaria per collegare gli attacchi al gruppo di hacker cinese noto come APT41 o Winnti. In effetti, a giudicare esclusivamente dagli aspetti dell'attacco iniziale, i segnali puntavano soprattutto verso gli hacker coreani appartenenti al gruppo Higaisa, noti per l'utilizzo di scorciatoie LNK nelle loro operazioni. La presenza di Crosswalk e alcune sovrapposizioni nelle infrastrutture tra le precedenti campagne di Winnti e questa serie di attacchi dissuase i ricercatori dalla loro congettura originale e li indirizzò verso il probabile colpevole. Gli obiettivi sono anche coerenti con le precedenti vittime di Winnti che operavano anche nell'industria dei videogiochi.

L'attuale attività del gruppo è ancora in corso. Negli attacchi più recenti, il payload del malware distribuito è cambiato ancora una volta. Finora, in alcuni casi sono stati osservati minacciosi archivi RAR che trasportavano una variante del Cobal Strike Beacon . In altri, gli hacker hanno sfruttato i certificati compromessi di una società taiwanese chiamata Zealot Digital per lanciare attacchi contro le vittime a Honk Kong, consegnando Crosswalk e Metasploit . Una pletora di altri malware è stata anche utilizzata come arma, tra cui ShadowPad, Paranoid PlugX e FunnySwitch, una minaccia backdoor .NET precedentemente sconosciuta.

Tendenza

I più visti

Caricamento in corso...