Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Earth Longzhi. L’APT cinese torna in azione con tattiche di malware all’avanguardia

Silvia Felici : 23 Maggio 2023 08:37

Il terrore informatico ritorna: il gruppo di hacker sponsorizzato dallo stato cinese riemerge con una nuova e campagna di attacchi rivolta a entità governative, sanitarie, tecnologiche e manifatturiere situate in Taiwan, Tailandia, Filippine e Fiji, dopo un lungo periodo di oltre sei mesi di inattività.

Trend Micro, leader nel settore della sicurezza informatica, ha attribuito il recente set di intrusioni al sottogruppo Earth Longzhi, all’interno del noto APT41 (conosciuto anche come HOODOO o Winnti).

Questo gruppo di hacker è stato individuato per la prima volta nel novembre 2022, durante i suoi attacchi contro organizzazioni in Asia orientale, sud-orientale e in Ucraina.

Sei un Esperto di Formazione?
Entra anche tu nel Partner program!
Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.
Per ulteriori informazioni, scrivici ad [email protected] oppure su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo

Gli attacchi dell’Earth Longzhi sfruttano applicazioni vulnerabili come punto di ingresso per distribuire la webshell BEHINDER e quindi utilizzano tale accesso per rilasciare payload aggiuntivi, tra cui una nuova variante del pericoloso caricatore Cobalt Strike chiamato CroxLoader.

Trend Micro ha segnalato che questa recente campagna di Earth Longzhi fa un uso spietato di un eseguibile di Windows Defender per eseguire il sideloading DLL, sfruttando anche un driver vulnerabile, zamguard.sys, per disabilitare i prodotti di sicurezza installati sugli host tramite un attacco BYOVD (Bring Your Own Vulnerable Driver).

Non è la prima volta che Earth Longzhi utilizza la tecnica BYOVD, con precedenti campagne che sfruttavano il driver vulnerabile RTCore64.sys per impedire l’esecuzione di prodotti di sicurezza.

Il malware, denominato SPHijacker, impiega anche un secondo metodo, noto come “stack smashing”, per raggiungere lo stesso obiettivo, causando intenzionalmente il crash delle applicazioni mirate durante l’avvio.

Tuttavia, questi non sono gli unici metodi che i cybercriminali possono utilizzare per compromettere i prodotti di sicurezza. Il mese scorso, Deep Instinct ha descritto una nuova tecnica di code injection chiamata Dirty Vanity, che sfrutta il meccanismo di fork remoto in Windows per evitare la rilevazione da parte dei sistemi di sicurezza degli endpoint.

Inoltre, il payload del driver viene installato come servizio a livello di kernel utilizzando Microsoft Remote Procedure Call (RPC) anziché le API di Windows per evitare la rilevazione, dimostrando la sofisticatezza degli attacchi perpetrati dal gruppo di hackeraggio Earth Longzhi.

Silvia Felici
Red Hot Cyber Security Advisor, SEO, Open Source e Supply chain network. Attualmente presso FiberCop S.p.A. come Network Operations Specialist.