Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

APT Earth Hundun: nuove tattiche di cyber spionaggio nell’Asia-Pacifico

Sandro Sana : 21 Maggio 2024 07:09

Un’analisi di Trend Micro rivela le ultime versioni di Waterbear e Deuterbear, due malware usati da Earth Hundun.

Chi è APT Earth Hundun?

APT Earth Hundun è un gruppo di cyber spionaggio che opera principalmente nell’Asia-Pacifico, con obiettivi che includono governi, organizzazioni militari, istituzioni accademiche e aziende di telecomunicazioni.

Il nome Earth Hundun deriva da un termine cinese che significa caos o disordine, e si riferisce alla capacità del gruppo di nascondere le sue attività e di eludere le difese. Il gruppo è attivo dal 2009 e usa una varietà di strumenti e tecniche per infiltrarsi nelle reti delle vittime e rubare informazioni sensibili.

Quali sono le ultime campagne di APT Earth Hundun?

Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)

Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.

La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.

Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Recentemente, sono stati osservati attacchi informatici che hanno preso di mira diverse organizzazioni in vari settori, come la tecnologia, la ricerca e il governo. Questi attacchi coinvolgono una famiglia di malware nota come Waterbear, che è collegata al gruppo di cyber spionaggio Earth Hundun (anche noto come BlackTech), un attore che si concentra sulla raccolta di informazioni da organizzazioni di tecnologia e governo, soprattutto nella regione Asia-Pacifico.

Tra l’arsenale di armi del gruppo, il backdoor Waterbear è uno dei più complessi, con una vasta gamma di tecniche anti-debug, anti-sandbox e di ostacolo agli antivirus. Inoltre, i frequenti aggiornamenti da parte dei suoi sviluppatori hanno portato a ancora più tattiche di evasione, tra cui il miglioramento del suo loader, downloader e protocollo di comunicazione. Questo rapporto approfondirà le ultime tecniche che Earth Hundun ha implementato con Waterbear e fornirà un’analisi della sua ultima iterazione, Deuterbear.

Come funzionano Waterbear e Deuterbear?

Waterbear e Deuterbear sono due malware usati da APT Earth Hundun per mantenere l’accesso persistente alle reti infettate e per eseguire comandi remoti. Entrambi i malware sono modulari e supportano il caricamento di plugin per aumentare le loro funzionalità.

Waterbear è stato scoperto per la prima volta nel 2009 e da allora ha subito diverse modifiche e aggiornamenti. Deuterbear è una versione più recente e avanzata di Waterbear, che è stata rilevata per la prima volta nell’ottobre 2022.

Quali sono le differenze tra Waterbear e Deuterbear?

Secondo un rapporto di Trend Micro, Deuterbear presenta alcune differenze significative rispetto a Waterbear, che riflettono l’evoluzione delle tattiche di APT Earth Hundun. Alcune di queste differenze sono:

  • Deuterbear usa un formato shellcode per i suoi plugin, che gli permette di caricare codice eseguibile in memoria senza scrivere file sul disco. Questo rende più difficile l’analisi e il rilevamento del malware.
  • Deuterbear abbandona gli handshake durante l’operazione RAT, che significa che non invia più pacchetti di conferma al server di comando e controllo (C2) dopo aver ricevuto un comando. Questo riduce il traffico di rete e la possibilità di essere intercettato.
  • Deuterbear usa HTTPS per la comunicazione C2, che gli consente di mimetizzarsi nel traffico web normale e di bypassare i firewall e i proxy. Inoltre, Deuterbear usa domini legittimi come Google o Microsoft per nascondere i suoi indirizzi C2.
  • Deuterbear implementa meno comandi rispetto a Waterbear (20 contro più di 60), ma supporta più plugin per eseguire operazioni come la raccolta di informazioni, la manipolazione di file, la gestione di processi, la cattura di schermate e la registrazione di tasti. Questo rende Deuterbear più flessibile e adattabile alle esigenze del gruppo.

Quali sono le caratteristiche di Waterbear?

Oltre alle differenze con Deuterbear, Waterbear presenta alcune caratteristiche distintive che meritano di essere menzionate. Alcune di queste sono:

  • Waterbear ha avuto oltre 10 versioni dal 2009, con il numero di versione direttamente visibile nella configurazione. Nonostante le soluzioni disponibili per le versioni precedenti, i suoi operatori persistono nel migliorare i flussi di infezione fino a un compromesso riuscito. Pertanto, è comune trovare più versioni che coesistono nello stesso periodo e anche negli ambienti delle stesse vittime.
  • Alcuni downloader di Waterbear sono stati visti usare server di comando e controllo (C&C) con indirizzi IP interni (ad esempio, il downloader con hash 6b9a14d4d9230e038ffd9e1f5fd0d3065ff0a78b52ab338644462864740c2241 usa l’IP interno 192.168.11[.]2 come suo server C&C).
  • Questo suggerisce che gli attaccanti potrebbero avere una conoscenza approfondita delle reti delle loro vittime, impiegando server di salto multilivello per evitare il rilevamento. Tali tattiche sottolineano la natura sofisticata di questi attacchi, che sono progettati per mantenere in modo furtivo la presenza e il controllo negli ambienti compromessi.

Quali sono le implicazioni per la sicurezza?

L’evoluzione di Waterbear e Deuterbear indica progressi significativi da parte di APT Earth Hundun nello sviluppo del suo arsenale di strumenti, soprattutto in termini di anti-analisi e evasione del rilevamento. Questo suggerisce che le organizzazioni devono rimanere vigili e aggiornate sulle ultime minacce per proteggere adeguatamente le loro risorse digitali.

Conclusioni

Dal 2009, Earth Hundun ha continuato a evolvere e perfezionare il backdoor Waterbear, così come le sue molte varianti e ramificazioni. Nonostante le soluzioni disponibili, i miglioramenti nei metodi di infezione e nei meccanismi anti-analisi hanno portato alla variante più avanzata finora: Deuterbear. Il downloader di Deuterbear impiega la crittografia HTTPS per la protezione del traffico di rete e implementa vari aggiornamenti nell’esecuzione del malware, come alterare la decrittazione della funzione, controllare la presenza di debugger o sandbox e modificare i protocolli di traffico.

Secondo la nostra telemetria, Earth Hundun ha continuato a infiltrarsi nella regione Asia-Pacifico, e l’evoluzione continua di Waterbear e Deuterbear presenta sfide formidabili agli sforzi di difesa organizzativa. Pertanto, Trend Micro rimane impegnata a migliorare ulteriormente i nostri metodi di monitoraggio e rilevamento di conseguenza.

Sandro Sana
Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA.
Visita il sito web dell'autore

Articoli in evidenza

Verso il GDPR 2.0 a favore del settore tech e delle PMI, ma a quale costo?

La notizia è stata anticipata da politico.eu: a partire da maggio 2025, la Commissione von der Leyen revisionerà il GDPR introducendo semplificazioni. Certo, non sarebbe male pubblicare prim...

Kidflix è crollato! La piattaforma dell’orrore è stata smantellata: 79 arresti e 39 bambini salvati

Oggi i bambini sono un po’ più al sicuro grazie ad una operazione di polizia coordinata da Europol che ha portato alla chiusura di Kidflix. Si tratta di una delle più grandi piattafor...

Arriva Flipper One! : Kali Linux, FPGA e SDR in un solo dispositivo?

Uno degli autori di Flipper Zero, Pavel Zhovner, ha condiviso i dettagli su come stanno procedendo i lavori su una nuova versione del multi-strumento per hacker: Flipper One. Lo sviluppatore ha pubbli...

DarkLab intervista HellCat Ransomware! La chiave è “assicurarsi che tutti comprendano la cybersecurity”

Il ransomware HellCat è apparso nella seconda metà del 2024 e ha attirato l’attenzione degli analisti grazie all’umorismo delle sue dichiarazioni pubbliche. Ricordiamo l’...

X/Twitter nel Caos! Un Threat Actors pubblica 2.8 Miliardi di Account Compromessi

Il 28 marzo 2025, un utente del noto forum di cybersecurity BreachForums, con lo pseudonimo ThinkingOne, ha rivelato quello che potrebbe essere il più grande data breach mai registrato nel mondo ...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006