APT Earth Hundun: nuove tattiche di cyber spionaggio nell’Asia-Pacifico

Un’analisi di Trend Micro rivela le ultime versioni di Waterbear e Deuterbear, due malware usati da Earth Hundun.

Chi è APT Earth Hundun?

APT Earth Hundun è un gruppo di cyber spionaggio che opera principalmente nell’Asia-Pacifico, con obiettivi che includono governi, organizzazioni militari, istituzioni accademiche e aziende di telecomunicazioni.

Il nome Earth Hundun deriva da un termine cinese che significa caos o disordine, e si riferisce alla capacità del gruppo di nascondere le sue attività e di eludere le difese. Il gruppo è attivo dal 2009 e usa una varietà di strumenti e tecniche per infiltrarsi nelle reti delle vittime e rubare informazioni sensibili.

Quali sono le ultime campagne di APT Earth Hundun?

Recentemente, sono stati osservati attacchi informatici che hanno preso di mira diverse organizzazioni in vari settori, come la tecnologia, la ricerca e il governo. Questi attacchi coinvolgono una famiglia di malware nota come Waterbear, che è collegata al gruppo di cyber spionaggio Earth Hundun (anche noto come BlackTech), un attore che si concentra sulla raccolta di informazioni da organizzazioni di tecnologia e governo, soprattutto nella regione Asia-Pacifico.

Tra l’arsenale di armi del gruppo, il backdoor Waterbear è uno dei più complessi, con una vasta gamma di tecniche anti-debug, anti-sandbox e di ostacolo agli antivirus. Inoltre, i frequenti aggiornamenti da parte dei suoi sviluppatori hanno portato a ancora più tattiche di evasione, tra cui il miglioramento del suo loader, downloader e protocollo di comunicazione. Questo rapporto approfondirà le ultime tecniche che Earth Hundun ha implementato con Waterbear e fornirà un’analisi della sua ultima iterazione, Deuterbear.

Come funzionano Waterbear e Deuterbear?

Waterbear e Deuterbear sono due malware usati da APT Earth Hundun per mantenere l’accesso persistente alle reti infettate e per eseguire comandi remoti. Entrambi i malware sono modulari e supportano il caricamento di plugin per aumentare le loro funzionalità.

Waterbear è stato scoperto per la prima volta nel 2009 e da allora ha subito diverse modifiche e aggiornamenti. Deuterbear è una versione più recente e avanzata di Waterbear, che è stata rilevata per la prima volta nell’ottobre 2022.

Quali sono le differenze tra Waterbear e Deuterbear?

Secondo un rapporto di Trend Micro, Deuterbear presenta alcune differenze significative rispetto a Waterbear, che riflettono l’evoluzione delle tattiche di APT Earth Hundun. Alcune di queste differenze sono:

• Deuterbear usa un formato shellcode per i suoi plugin, che gli permette di caricare codice eseguibile in memoria senza scrivere file sul disco. Questo rende più difficile l’analisi e il rilevamento del malware.
• Deuterbear abbandona gli handshake durante l’operazione RAT, che significa che non invia più pacchetti di conferma al server di comando e controllo (C2) dopo aver ricevuto un comando. Questo riduce il traffico di rete e la possibilità di essere intercettato.
• Deuterbear usa HTTPS per la comunicazione C2, che gli consente di mimetizzarsi nel traffico web normale e di bypassare i firewall e i proxy. Inoltre, Deuterbear usa domini legittimi come Google o Microsoft per nascondere i suoi indirizzi C2.
• Deuterbear implementa meno comandi rispetto a Waterbear (20 contro più di 60), ma supporta più plugin per eseguire operazioni come la raccolta di informazioni, la manipolazione di file, la gestione di processi, la cattura di schermate e la registrazione di tasti. Questo rende Deuterbear più flessibile e adattabile alle esigenze del gruppo.

Quali sono le caratteristiche di Waterbear?

Oltre alle differenze con Deuterbear, Waterbear presenta alcune caratteristiche distintive che meritano di essere menzionate. Alcune di queste sono:

• Waterbear ha avuto oltre 10 versioni dal 2009, con il numero di versione direttamente visibile nella configurazione. Nonostante le soluzioni disponibili per le versioni precedenti, i suoi operatori persistono nel migliorare i flussi di infezione fino a un compromesso riuscito. Pertanto, è comune trovare più versioni che coesistono nello stesso periodo e anche negli ambienti delle stesse vittime.
• Alcuni downloader di Waterbear sono stati visti usare server di comando e controllo (C&C) con indirizzi IP interni (ad esempio, il downloader con hash 6b9a14d4d9230e038ffd9e1f5fd0d3065ff0a78b52ab338644462864740c2241 usa l’IP interno 192.168.11[.]2 come suo server C&C).
• Questo suggerisce che gli attaccanti potrebbero avere una conoscenza approfondita delle reti delle loro vittime, impiegando server di salto multilivello per evitare il rilevamento. Tali tattiche sottolineano la natura sofisticata di questi attacchi, che sono progettati per mantenere in modo furtivo la presenza e il controllo negli ambienti compromessi.

Quali sono le implicazioni per la sicurezza?

L’evoluzione di Waterbear e Deuterbear indica progressi significativi da parte di APT Earth Hundun nello sviluppo del suo arsenale di strumenti, soprattutto in termini di anti-analisi e evasione del rilevamento. Questo suggerisce che le organizzazioni devono rimanere vigili e aggiornate sulle ultime minacce per proteggere adeguatamente le loro risorse digitali.

Conclusioni

Dal 2009, Earth Hundun ha continuato a evolvere e perfezionare il backdoor Waterbear, così come le sue molte varianti e ramificazioni. Nonostante le soluzioni disponibili, i miglioramenti nei metodi di infezione e nei meccanismi anti-analisi hanno portato alla variante più avanzata finora: Deuterbear. Il downloader di Deuterbear impiega la crittografia HTTPS per la protezione del traffico di rete e implementa vari aggiornamenti nell’esecuzione del malware, come alterare la decrittazione della funzione, controllare la presenza di debugger o sandbox e modificare i protocolli di traffico.

Secondo la nostra telemetria, Earth Hundun ha continuato a infiltrarsi nella regione Asia-Pacifico, e l’evoluzione continua di Waterbear e Deuterbear presenta sfide formidabili agli sforzi di difesa organizzativa. Pertanto, Trend Micro rimane impegnata a migliorare ulteriormente i nostri metodi di monitoraggio e rilevamento di conseguenza.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Sandro Sana

Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Aree di competenza: Cyber Threat Intelligence, NIS2, Governance & Compliance della Sicurezza, CSIRT & Crisis Management, Ricerca, Divulgazione e Cultura Cyber

Visita il sito web dell'autore