Language
Lancia Preta della Terra

Blog

CasaCasa / Blog / Lancia Preta della Terra
search

Jun 04, 2023

10 modifiche confermate per gli interni e la riprogettazione della Toyota Tacoma del 2024

Aug 25, 2023

10 cose che non dovresti mai fare con il tuo Nintendo Switch

Jul 15, 2023

10 modi per rifiutare con tatto la richiesta di aumento del tuo dipendente

Sep 27, 2023

11 migliori USB

Jan 18, 2024

12 migliori sandali ortopedici per donna, podologo

Invia la tua richiesta
INVIA

Oct 19, 2023

Lancia Preta della Terra

APT & Targeted Attacks We break down the cyberespionage activities of advanced

APT e attacchi mirati

Analizziamo le attività di cyberspionaggio del gruppo APT (Advanced Persistent Threat) Earth Preta, osservate negli attacchi su larga scala iniziati a marzo. Mostriamo anche le routine di infezione delle famiglie di malware utilizzate per infettare più settori in tutto il mondo: TONEINS, TONESHELL e PUBLOAD.

Di: Nick Dai, Vickie Su, Sunny Lu 18 novembre 2022 Tempo di lettura: (parole)

Salva su Folio

Stiamo monitorando un’ondata di attacchi spear-phishing che hanno preso di mira il governo, il mondo accademico, le fondazioni e i settori della ricerca in tutto il mondo. Sulla base dei documenti di esca che abbiamo osservato in natura, si tratta di una campagna di cyberspionaggio su larga scala iniziata intorno a marzo. Dopo mesi di monitoraggio, l’apparentemente ampia diffusione di attacchi mirati include, ma non solo, Myanmar, Australia, Filippine, Giappone e Taiwan. Abbiamo analizzato le famiglie di malware utilizzate in questa campagna e abbiamo attribuito gli incidenti a un noto gruppo APT (Advanced Persistent Threat) chiamato Earth Preta (noto anche come Mustang Panda e Bronze President).

Nella nostra osservazione delle campagne, abbiamo notato che Earth Preta ha abusato di account Google falsi per distribuire il malware tramite e-mail di spear phishing, inizialmente archiviate in un file di archivio (come rar/zip/jar) e distribuite tramite collegamenti di Google Drive. Gli utenti vengono quindi indotti a scaricare e attivare il malware da eseguire, TONEINS, TONESHELL e PUBLOAD. PUBLOAD è stato segnalato in precedenza, ma in questo articolo aggiungiamo nuovi approfondimenti tecnici che lo collegano a TONEINS e TONESHELL, famiglie di malware recentemente scoperte utilizzate dal gruppo per le sue campagne.

Inoltre, gli attori sfruttano diverse tecniche per eludere il rilevamento e l’analisi, come l’offuscamento del codice e i gestori di eccezioni personalizzati. Abbiamo anche scoperto che i mittenti delle email di spear phishing e i proprietari dei collegamenti di Google Drive sono gli stessi. Sulla base dei documenti campione utilizzati per adescare le vittime, riteniamo inoltre che gli aggressori siano stati in grado di condurre ricerche e, potenzialmente, precedenti violazioni sulle organizzazioni prese di mira che ne consentissero la familiarità, come indicato nell'abbreviazione dei nomi di account precedentemente compromessi .

In questo articolo del blog, discutiamo della nuova campagna di Earth Preta e delle sue tattiche, tecniche e procedure (TTP), inclusi nuovi programmi di installazione e backdoor. Infine, condividiamo il modo in cui i professionisti della sicurezza possono tenere traccia delle minacce malware simili a quelle che abbiamo identificato.

Compromesso iniziale e obiettivi

In base al nostro monitoraggio di questa minaccia, i documenti esca sono scritti in birmano e i contenuti sono "လျှို့ဝှက်ချက်" ("Solo per uso interno"). La maggior parte degli argomenti nei documenti sono questioni controverse tra paesi e contengono parole come "Segreto" o "Confidenziale". Ciò potrebbe indicare che gli aggressori stanno prendendo di mira gli enti governativi del Myanmar come primo punto di ingresso. Ciò potrebbe anche significare che gli aggressori hanno già compromesso specifiche entità politiche prima dell’attacco, cosa che anche Talos Intelligence aveva notato in precedenza.

Gli aggressori utilizzano i documenti rubati come esche per indurre le organizzazioni prese di mira che lavorano con gli uffici governativi del Myanmar a scaricare ed eseguire i file dannosi. La vittimologia copre un’ampia gamma di organizzazioni e verticali in tutto il mondo, con una maggiore concentrazione nella regione dell’Asia del Pacifico. Oltre agli uffici governativi che collaborano in Myanmar, tra le vittime successive figurano, tra gli altri, anche i settori dell’istruzione e della ricerca. Oltre ad argomenti esca che coprono eventi internazionali in corso riguardanti organizzazioni specifiche, gli aggressori attirano anche individui con intestazioni relative a materiale pornografico.

Analizzare le routine

Earth Preta utilizza e-mail di spear phishing come primo passo per l'intrusione. Come già accennato, alcuni oggetti e contenuti delle email trattano argomenti geopolitici, mentre altri potrebbero contenere argomenti sensazionali. Abbiamo osservato che tutte le email che abbiamo analizzato contenevano i collegamenti di Google Drive, il che indica come gli utenti potrebbero essere indotti con l'inganno a scaricare gli archivi dannosi. I tipi di file degli archivi includono file compressi come .rar, .zip e .jar, solo per citarne alcuni. Accedendo ai collegamenti, abbiamo appreso che gli archivi contengono le famiglie di malware TONEINS, TONESHELL e PUBLOAD.

Both .exe and .dll files will be renamed C:\Users\Public\Pictures\adobe_wf.exe and C:\Users\Public\Pictures\libcef.dll, respectively. Additionally, "~" is renamed as 05-09-2022.docx and dropped to the Desktop. /p>. Both files have fake file extensions and masquerade as the temporary files generated while opening Microsoft Office software./p> and drops all the malware, including the malicious DLL and the legitimate executable, into the directory. It then tries to establish persistence in one of the following ways:/p>