In rete circola un nuovo pericolo derivato dal gruppo di cyber spie Patchwork (alias Dropping Elephant). Lo ha rilevato Trend Micro in un post sul suo blog.
Questi hacker sono specializzati nel prendere di mira agenzie governative e la diplomazia, a cui recentemente si sono aggiunte anche le aziende. Il loro nome deriva dal riordino dei tools off-the-rack e dei malware per le loro campagne. A quanto si apprende non usano vettori d’infezione all’avanguardia, sfruttano vulnerabilità zero-days o rimodulano le loro tattiche, ma ne hanno un vasto repertorio. Ciò li rende una minaccia credibile. Vanno dalla social engineering alle kill chain, alle backdoors. Inoltre, nel corso del 2017 hanno tenuto d’occhio le altre minacce e le falle nella sicurezza informatica per sfruttarle a loro vantaggio. Senza contare che sono stati più cauti ed efficienti nelle loro operazioni rispetto al passato.
Le cyber spie hanno preso di mira persino UNDP, ma non sembrano interessate a vendere le informazioni rubate
Le cyber spie di Patchwork hanno attaccato più settori in Cina e nel Sud Est Asiatico. Ci sono state, comunque, campagne di spear-phishing email in UK, Turchia e Israele. Non solo ai danni di personalità di alto profilo. Ma anche di rivenditori online business-to-consumer (B2C), società di telecomunicazioni e media, ricercatori aerospaziali e istituzioni finanziarie. Gli hacker hanno preso di mira persino il Programma di sviluppo delle Nazioni Unite (UNDP). Le motivazioni, invece, sono ignote. Non sembrano essere membri del cybercrime. tanto che, in base ai malware impiegati, appaiono nteressati ad acquisire dati confidenziali e critici, ma non a monetizzarli. Trend Micro, perciò, li inserisce nella categoria dello spionaggio informatico.
Il vettore iniziale dei cyber attacchi sono le Spear-phishing email
Il vettore iniziale d’attacco di Patchwork sono le Spear-phishing email. I messaggi malevoli contengono redirect a pagine web, link diretti o allegati dannosi. Il gruppo, comunque, ha anche hackerato un sito di notizie per indirizzare i visitatori verso documenti infetti da malware. Inoltre, hanno creato un falso Youku Tudou, una piattaforma di social video popolare in Cina. Agli utenti veniva chiesto di scaricare subito un aggiornamento di Adobe Flash Player, un file eseguibile che in realtà è una variante del trojan xRAT. Per coprire le proprie tracce, peraltro, solo le vittime dei cyber attacchi potevano visitare le pagine false, tramite i link nelle mail. Se ci fossero andati normalmente, sarebbero state reindirizzate verso quelle reali, innocue.
I payloads di Patchwork e come vengono condotte le operazioni
Patchwork impiega numerose backdoor e information stealers, alcuni dei quali in esclusiva. Oltre a xRAT c’è NDiskMonitor, un malware proprietario degli hacker; Socksbot, Badnews, Taskhost Stealer e Wintel Stealer (che prendono di mira i documenti Microsoft Word, Excel e PowerPoint, nonché i file PDF e i messaggi di posta elettronica). Inoltre, Trend Micro ha scoperto tra i 30 e i 40 indirizzi IP e nomi di dominio usati dal gruppo solo quest’anno. Ogni server ha uno scopo preciso. Alcuni sono solo per il Comando e Controllo (C&C) che raccolgono i dati inviati dai file stealers. Altri, invece, agiscono come siti, ospitando contenuti copiati fa pagine lecite e propagando malware o documenti malevoli. Altri ancora, infine, sono impiegati dalle cyber spie esclusivamente come hosting di siti di phishing.
Gli hacker cercano di coprire le loro tracce e di ingannare i ricercatori della cybersecurity
Le cyber spie di Patchwork cercano anche, come gli altri gruppi hacker malevoli, di cancellare le loro tracce. Sfruttano gli script PHP per recuperare i file dai server senza svelare i loro reali percorsi. Ciò anche per dissuadere i ricercatori della sicurezza informatica dall’analisi delle directory aperte. In diverse occasioni, infatti, Trend Micro ha rilevato che il gruppo rimuove temporaneamente un file, in modo che non possa essere ritrovato. A volte, invece, lo sostituiscono con un altro legittimo per ingannare gli esperti di cybersecurity. Peraltro in alcune homepage dei suoi server, la formazione mostra una finta pagina di re-indirizzo 302 (temporaneo). L’obiettivo è indurre l’avversario a pensare che i file non siano più disponibili.