Bitdefender scopre Unfading Sea Haze, una nuova minaccia APT

Mag 24, 2024 In evidenza, Minacce, News, RSS

Analizzando una serie di cyberattacchi contro organizzazioni di alto livello di nazioni del mar cinese meridionale, Bitdefender ha individuato Unfading Sea Haze, una nuova minaccia APT.

L’obiettivo principale del gruppo, attivo presumibilmente dal 2018, è il cyberspionaggio di obiettivi militari e governativi. Finora il gruppo ha colpito almeno otto vittime in diverse nazioni della zona e, a giudicare dalla sua attività, sembra essere allineato agli interessi del governo cinese.

Poiché il primo accesso ai sistemi delle vittime è avvenuto sei anni fa, i ricercatori di Bitdefender non sono riusciti a scoprire la tecnica con cui il gruppo ha ottenuto il primo accesso; il team ha però scoperto che gli attaccanti usano email di spear-phishing con file malevoli per riottenere l’accesso ai dispositivi target e proseguire con l’esfiltrazione di dati.

I tool e le tecniche di Unfading Sea Haze

Unfading Sea Haze usa un arsenale sofisticato di malware custom e tool per stabilire la persistenza ed esfiltrare dati; tra questi emerge in particolare il framework RAT (Remote Access Trojan) Gh0st personalizzato, usato per colpire i sistemi Windows. Nei primi anni di attività il gruppo ha utilizzato principalmente tre tipi di malware: SilentGh0st, TranslucentGh0st e tre varianti di SharpJSHandler; in seguito, a partire dal 2023, gli attaccanti hanno cominciato a usare varianti più modulari del RAT quali FluffyGh0st, InsidiousGh0st e EtherealGh0st.

Per collezionare i dati, il gruppo usa diversi tool, sia personalizzati che off-the-shelf. Tra i tool custom si segnala xkeylog, un keylogger, e un data stealer creato appositamente per sottrarre dati da browser quali Google Chrome, Firefox, Edge e Internet Explorer. Il gruppo ha inoltre sviluppato un altro tool per monitorare la presenza di dispositivi USB e portatili connessi alle macchine ed esfiltrare dati da essi.

Oltre a questi strumenti, il gruppo usa anche tecniche manuali per raccogliere dati, comprimerli in archivi e inviarli al server C2, e colpisce anche i dati relativi ad applicazioni di messaggistica come Telegram e Viber.

Infine, per l’esfiltrazione delle informazioni, il gruppo fino al 2022 ha usato DustyExfilTool, uno strumento con riga di comando in grado di trasmettere i file al server specificato; in seguito, Unfading Sea Haze è passato all’uso di curl e del protocollo FTP.

Come proteggersi

“Lo spostamento verso la modularità, gli elementi dinamici e l’esecuzione in memoria evidenzia i loro sforzi per aggirare le misure di sicurezza tradizionali. Gli aggressori adattano costantemente le loro tattiche, rendendo necessario un approccio di sicurezza a più livelli” hanno affermato i ricercatori di Bitdefender, sottolineando la necessità di adottare un approccio di sicurezza a strati per proteggersi efficacemente dalla minaccia APT.

Bitdefender consiglia innanzitutto di dare priorità alla gestione delle patch e tenere aggiornati i software, in particolare quelli esposti sul web, e impostare metodi di autenticazione forte. È inoltre necessario segmentare la rete in maniera appropriata, adottare un modello zero trust e monitorare il traffico per individuare qualsiasi pattern sospetto.

Infine, si consiglia di implementare soluzioni o scegliere servizi di Detection and Response e creare una cultura di cybersecurity aziendale che promuova la comunicazione e la condivisione di informazioni.

• APT, esfiltrazione dati, Gh0st, keylogger, RAT, Unfading Sea Haze