Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 3 Giugno 2024 07:42
Durante un’approfondita investigazione, il team di Tinexta Cyber ha identificato una backdoor denominata KeyPlug che ha colpito per mesi diverse industrie italiane. Questa backdoor risulta essere stata attribuita all’arsenale del gruppo originario della Cina APT41.
APT41, noto con altri alias come Amoeba, BARIUM, BRONZE ATLAS, BRONZE EXPORT, Blackfly, Brass Typhoon, Earth Baku, G0044, G0096, Grayfly, HOODOO, LEAD, Red Kelpie, TA415, WICKED PANDA e WICKED SPIDER è originario dalla Cina (con possibili collegamenti governativi). E’ conosciuto per le sue complesse campagne e varietà di settori colpiti, il loro intento varia dall’esfiltrazione di dati sensibili ai guadagni economici.
Tale backdoor è scritta sia per colpire i sistemi operativi e Windows che Linux ed utilizza diversi protocolli di comunicazione che dipendono dalla configurazione del campione del malware stesso.
Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Il team di Tinexta Cyber ha analizzato entrambe le varianti, sia quella per Microsoft Windows, sia quella per Linux, mostrando gli elementi in comune che rendono la minaccia capace di restare resiliente all’interno dei sistemi aggrediti, nonostante fossero presenti apparati di difesa perimetrale come Firewall e NIDS ed EDR installati su tutti gli endpoint.
Il primo campione di malware analizzato è un impianto che aggredisce i sistemi operativi Microsoft Windows. L’infezione parte non direttamente dall’impianto stesso, ma da un altro componente che funge da loader, scritto nel framework .NET.
Esso è stato progettato per decrittare un altro file che si fingeva essere un file di tipo icona. La decifrazione è tramite AES, noto algoritmo di crittografia simmetrica, con delle chiavi conservate direttamente nel sample stesso.
Una volta completate tutte le operazioni di decifrazione, può essere analizzato il nuovo payload, con hash SHA256 399bf858d435e26b1487fe5554ff10d85191d81c7ac004d4d9e268c9e042f7bf. Approfondendo tale campione malware è possibile rilevare una diretta corrispondenza con struttura della malware con il rapporto di Mandiant “Does This Look Infected? A Summary of APT41 Targeting U.S. State Governments“. A prova di ciò, la configurazione descritta nell’appendice del file corrisponde a quella descritta da Mandiant, che avviene tramite la chiave XOR 0x59.
La versione Linux del malware Keyplug, invece, è leggermente più complessa e sembra utilizzare VMProtect. Durante l’analisi statica, sono state rilevate molte stringhe relative al packer UPX, ma la routine di decompressione automatica non ha funzionato. Questa variante è progettata per decodificare il codice del payload durante l’esecuzione e, una volta completata questa operazione, si rilancia utilizzando la syscall fork. Questo metodo interrompe il flusso di controllo dell’analista, rendendo più difficile l’analisi del malware.
Tuttavia, analizzando la decodifica della configurazione del malware, emergono immediatamente le somiglianze con la sua variante Windows:
Correlando le informazioni presenti nella comunità di cybersecurity, è emerso un potenziale nesso tra il gruppo APT41 e la società cinese I-Soon. Il 16 febbraio, una grande quantità di dati sensibili del Ministero della Sicurezza Pubblica cinese è stata esposta e poi diffusa su GitHub e Twitter, generando grande fermento nella comunità della cybersecurity. Questo evento ha immediatamente catturato l’attenzione di organizzazioni private e ricercatori, interessati a comprendere le implicazioni della fuga di dati e il suo potenziale impatto sulle pratiche e politiche di sicurezza informatica. Pare che la fuga di dati massiccia, apparsa su GitHub, sia il risultato di una violazione da parte di un appaltatore privato del Ministero della Sicurezza Pubblica cinese, noto come i-Soon (o Anxun). I dati pubblicati includono una vasta gamma di conversazioni, manuali utente, piani governativi ufficiali, progetti, numeri di telefono e informazioni personali degli impiegati.
Inoltre, dalle analisi incrociate, Hector è un possibile RAT (Remote Administration Tool) se non KeyPlug stesso, tra l’arsenale di APT41 scovato grazie al leak di I-SOON, secondo la quale può essere impiegato sia su Windows e Linux, ed utilizza il protocollo WSS. WSS (WebSocket Secure) è un protocollo di rete utilizzato per stabilire una connessione WebSocket sicura tra un client e un server. È la versione crittografata del protocollo WS (WebSocket) e si basa su TLS (Transport Layer Security) per fornire sicurezza, analogamente a come HTTPS è la versione sicura di HTTP. Tuttavia, questo tipo di protocollo non è molto adottato dagli attaccanti per le minacce malware, facendo, quindi, restringere l’attribuzione verso questa tipologia di minaccia.
La confidenza di tale ipotesi non può essere verificata, ma è stata ipotizzata anche da Recorded Future. Non avendo evidenze a disposizione, ma nel caso potesse esserlo, la struttura della campagna e gli attori responsabili di essa potrebbero essere collegati nel seguente modo:
In conclusione, si può ipotizzare una connessione tra il gruppo APT41 e l’incidente della fuga di dati ISOON. Luigi Martire, Tinexta Cyber – CERT Technical Leader evidenzia che “APT41, che si ipotizza avere legami con la Cina, si è sempre distinto per la sua sofisticazione e per la sua capacità di condurre operazioni di spionaggio cibernetico a livello globale. Uno degli strumenti che ha usato e che continua a usare è proprio Keyplug, una backdoor modulare, capace di eludere i principali sistemi di rilevamento ha offerto all’attaccante la possibilità di restare silente all’interno dei sistemi compromessi per mesi.
I rischi legati allo spionaggio industriale perpetrato da gruppi come APT41 sono significativi. Le loro operazioni possono mirare a rubare proprietà intellettuale, segreti commerciali e informazioni sensibili che potrebbero conferire vantaggi competitivi illeciti.”
Le aziende che operano in settori tecnologicamente avanzati o strategici sono particolarmente vulnerabili, e le conseguenze di tali attacchi possono includere perdite economiche ingenti, danni alla reputazione e compromissione della sicurezza nazionale.
Le tecniche avanzate utilizzate e la vasta gamma di settori presi di mira coincidono con il modus operandi tipico di APT41, suggerendo un possibile collegamento a questa campagna di spionaggio cibernetico. Approfondire l’indagine sulla fuga di dati ISOON, soprattutto in merito agli strumenti e alle metodologie impiegati, potrebbe offrire ulteriori indicazioni sul coinvolgimento di APT41 o di gruppi simili.
RedazioneIl ransomware HellCat è apparso nella seconda metà del 2024 e ha attirato l’attenzione degli analisti grazie all’umorismo delle sue dichiarazioni pubbliche. Ricordiamo l’...
Il 28 marzo 2025, un utente del noto forum di cybersecurity BreachForums, con lo pseudonimo ThinkingOne, ha rivelato quello che potrebbe essere il più grande data breach mai registrato nel mondo ...
Quando Jeffrey Goldberg dell’Atlantic ha fatto trapelare accidentalmente un messaggio di gruppo privato di alti funzionari statunitensi su un possibile attacco contro gli Houthi nello Yemen, ha...
Ogni mese diventa sempre più evidente: le password non funzionano più. Gli hacker hanno imparato a eludere anche la protezione a due fattori sfruttando sessioni rubate e milioni di dati comp...
La pseudonimizzazione è una tecnica di protezione dei dati definita dall’art. 4(5) del GDPR. Consiste nella trasformazione dei dati personali in modo tale che non possano più essere a...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
