Panda vizioso
Negli ultimi mesi ci sono state diverse storie di criminali informatici che hanno utilizzato la reale minaccia del Coronavirus per diffondere malware e ransomware . Queste minacce sono state propagate in tutto il mondo, ma ce ne sono state alcune in particolare provenienti dalla Cina. Al punto che il gruppo di hacker cinese Vicious Panda, sponsorizzato dallo stato, ha iniziato a diffondere il proprio malware attraverso il coronavirus.
Le informazioni sull'attacco provengono da Check Point, che ha pubblicato una ricerca che mostra che un APT cinese ha "armato" informazioni legittime sul coronavirus per diffondere il proprio malware dannoso alle masse.
Sommario
Il secondo attacco
L'attacco di Vicious Panda è in realtà la seconda grande campagna di malware relativa al Coronavirus (COVID-19) uscita dalla Cina nelle ultime settimane. Il primo è avvenuto all'inizio di marzo, quando il gruppo di cybersecurity vietnamita VinCSS ha notato un attacco di Mustang Panda. Mustang Panda è un altro gruppo di hacker sponsorizzato dallo stato cinese.
Il loro attacco era noto per aver distribuito e-mail con un file RAR allegato che affermava di contenere un messaggio del Primo Ministro vietnamita sul coronavirus. Invece di contenere qualsiasi tipo di messaggio importante, il file RAR conteneva un trojan backdoor che si installava sui computer delle vittime e li apriva al gruppo di hacker.
Il panda vizioso attacca il governo mongolo
L'attacco di Vicious Panda è stato individuato da Check Point, che ha affermato che stavano tenendo d'occhio il gruppo poiché erano presi di mira da organizzazioni governative mongole. Come il primo attacco, il gruppo ha affermato di avere informazioni vitali sul coronavirus che gli utenti dovrebbero scaricare per accedere.
Check Point è stato in grado di intercettare un attacco informatico da un "gruppo APT cinese a un'entità del settore pubblico della Mongolia". L'attacco ha fatto leva sui timori del coronavirus durante la fase di ingegneria sociale. Conteneva due documenti. Uno dei documenti era correlato al COVID-19 ed entrambi affermavano di provenire dal Ministero degli Affari Esteri mongolo. I documenti erano confezionati con una minaccia malware unica che consentiva l'accesso remoto ai computer delle vittime.
Allegato e-mail - Fonte: research.checkpoint.com
La punta dell'iceberg
Sfortunatamente, questo ultimo attacco non è una novità e rappresenta solo la punta del proverbiale iceberg. Gli hacker hanno sempre utilizzato questo tipo di crisi a proprio vantaggio, quindi non c'era modo per loro di resistere all'avvantaggiarsi del COVID-19.
L'ultimo documento cinese dell'APT era, secondo Check Point, intitolato "Informazioni sulla diffusione di nuove infezioni da coronavirus". Cita il National Health Committee of China per apparire più autentico ed essere più efficace. Sebbene ci siano state numerose minacce informatiche legate al COVID-19, questa sembra essere la prima condotta da un gruppo di hacker sponsorizzato dallo stato contro un governo straniero.
Oltre ad essere l'ultimo di una serie di attacchi di hacking legati al coronavirus, Check Point afferma che l'attacco è solo l'ultimo di una campagna in corso da parte di hacker cinesi contro altri governi e organizzazioni. La differenza è che questo ha sfruttato il coronavirus come parte del metodo di distribuzione.
L'attacco è stato descritto come "sfruttamento dell'interesse pubblico nel coronavirus per l'agenda [della Cina] attraverso una nuova catena di infezione informatica". Dicono che Vicious Panda stia prendendo di mira paesi di tutto il mondo, non solo la Mongolia. Esortano ogni ente del settore pubblico e società di telecomunicazioni a stare in allerta sulle potenziali minacce informatiche, in particolare su tutto ciò che afferma di riguardare il coronavirus.
L'e-mail e i documenti affermano di provenire dall'interno del governo della Mongolia. Almeno uno di loro ha affermato di provenire dal ministro degli Affari esteri. La campagna ha preso di mira altre parti del settore pubblico mongolo. Lo scopo della campagna sembrava essere quello di acquisire informazioni e schermate dai computer del governo, modificare ed eliminare file e assumere il controllo remoto di quei computer.
Come funziona Vicious Panda Ransomware?
L'allegato dannoso contiene un trojan di accesso remoto (RAT) che può assumere il controllo dei computer. Il trojan è programmato per avere connessioni limitate al server di comando e controllo, il che può renderlo più difficile da rilevare. La struttura del carico utile suggerisce che potrebbe includere altri moduli la cui installazione è programmata in un secondo momento come parte di una campagna più ampia. Da quello che Check Point può dire, il malware utilizzato nell'attacco è un ceppo completamente unico e progettato su misura, ma esattamente come funziona - e cosa fa - sono abbastanza comuni.
Catene di infezione da panda vizioso - Fonte: research.checkpoint.com
Check Point ha interrotto altre parti della campagna, ad esempio dove era ospitato il centro di comando e controllo. Alla fine della giornata, però, questo malware è a dir poco una campagna sponsorizzata dallo stato. Utilizza l'ingegneria sociale per incoraggiare gli utenti a scaricare e aprire un allegato. L'allegato carica un altro file e installa una backdoor nel computer. La Cina può quindi sfruttare quella backdoor per spiare gli obiettivi del governo.
I cybercriminali continueranno a sfruttare la Cina e il Coronavirus
Sebbene i segnali di primo livello non offrano informazioni sufficienti per individuare esattamente chi c'è dietro l'attacco, Check Point ha scavato nel codice del malware e ha scoperto che era simile al codice utilizzato in altri malware legati alla Cina. Quelle campagne erano anche rivolte ai nemici della Cina.
La Cina, l'epicentro del coronavirus, sta usando il virus a proprio vantaggio in molti metodi ingannevoli. Non sorprende tuttavia che utilizzino il coronavirus, poiché attualmente è il miglior strumento di ingegneria sociale disponibile per gli attori delle minacce. Anche i criminali informatici regolari lo stanno sfruttando nelle proprie campagne.
