Contenuto
- 1 La campagna Operazione Soft Cell, attribuita a hacker cinesi, mira ai provider di servizi di telecomunicazione almeno dal 2012.
- 2 Infine, gli attacchi informatici non hanno avuto successo: l’attività dannosa è stata individuata e prevenuta prima che gli hacker distribuissero gli impianti sulle reti bersaglio.
I provider di servizi di telecomunicazione nel Medio Oriente hanno subito recenti attacchi informatici da parte di spie cibernetiche cinesi nell’ambito dell’iniziativa Operazione Soft Cell.
Gli assalti sono iniziati nel primo trimestre del 2023 e sono ancora in corso. Lo sostengono gli esperti di sicurezza di SentinelOne e QGroup in un report tecnico congiunto.
La fase iniziale dell’offensiva consiste nell’infiltrarsi nei server Microsoft Exchange accessibili via Internet per distribuire shell Web utilizzate per eseguire comandi, stabilire persistenza e fornire payload.
Dopo aver stabilito una base, gli attaccanti conducono diverse operazioni di ricognizione, furto di credenziali e dati sensibili e movimenti laterali.
La campagna Operazione Soft Cell, attribuita a hacker cinesi, mira ai provider di servizi di telecomunicazione almeno dal 2012.
I cybercriminali dietro Operazione Soft Cell sono monitorati da Microsoft con il nome Gallium. Il gruppo è noto per attaccare con attacchi informatici i servizi Web insicuri e utilizzare lo strumento Mimikatz per ottenere credenziali che permettono loro di navigare ulteriormente attraverso le reti bersaglio.
Gallium impiega anche una backdoor difficile da individuare chiamata PingPull nei suoi attacchi di spionaggio contro organizzazioni nel sud-est asiatico, Europa, Africa e Medio Oriente.
La backdoor PingPull utilizza il protocollo ICMP per comunicare con il server di comando e controllo.
Il malware è scritto in Visual C++ e consente a un utente malintenzionato di accedere a una reverse shell ed eseguire comandi arbitrari su un host compromesso.
Le funzionalità del software includono l’esecuzione di operazioni sui file, l’enumerazione dei volumi di archiviazione e il timestamp dei file.
Il cuore dell’ultima campagna è il lancio di una variante personalizzata di Mimikatz denominata “mim221” che include nuove funzionalità anti-rilevamento.
Ad esempio, uno dei componenti “mim221” svolge le seguenti azioni:
- Ottenere i privilegi “SeDebugPrivilege” e “SYSTEM” impersonando un token di accesso. Ciò consente a “mim221” di convalidare ed estrarre le credenziali dal processo LSASS;
- Disabilitare la registrazione degli eventi di Windows per evitare il rilevamento;
- Incorporare la DLL in LSASS come pacchetto di sicurezza. I pacchetti di sicurezza vengono utilizzati per estendere il meccanismo di autenticazione di Windows e possono essere utilizzati per eseguire codice malevolo nel contesto di LSASS.
Infine, gli attacchi informatici non hanno avuto successo: l’attività dannosa è stata individuata e prevenuta prima che gli hacker distribuissero gli impianti sulle reti bersaglio.
Ricerche precedenti sulla cyber gang Gallium evidenziano somiglianze tattiche con altri gruppi APT cinesi come APT10 (Bronze Riverside, Potassium o Stone Panda), APT27 (Bronze Union, Emissary Panda o Lucky Mouse) e APT41 (Barium, Bronze Atlas o Wicked Panda).
Gli esperti hanno concluso che le entità cinesi di spionaggio informatico hanno un interesse strategico nel Medio Oriente.
Gli hacker continueranno a sviluppare e perfezionare i propri strumenti con nuove tecniche di evasione, inclusa l’integrazione e la modifica del codice pubblico.
In risposta a questi attacchi, gli esperti di sicurezza raccomandano alle organizzazioni di aggiornare i loro sistemi di sicurezza, monitorare costantemente le reti per attività sospette e formare il personale sull’importanza della sicurezza informatica e delle buone pratiche.
Inoltre, è fondamentale collaborare con altre organizzazioni e agenzie di sicurezza per condividere informazioni sulle minacce emergenti e sviluppare strategie di difesa efficaci.
L’Operazione Soft Cell sottolinea l’importanza di rimanere vigili di fronte alle minacce informatiche sempre più sofisticate.
Mentre gli attacchi cibernetici continuano a evolversi, è cruciale per le organizzazioni e i governi lavorare insieme per proteggere le infrastrutture critiche e le informazioni sensibili dai pericoli del cybercrime.
Tutti i diritti riservati © 2023 Polinet S.r.l. Riproduzione non autorizzata. La distribuzione del contenuto è severamente vietata.
