Il gruppo di hacker cinese ritorna con nuove tattiche per la campagna di spionaggio

  • Sep 06, 2023

Il gruppo "KeyBoy" lancia malware furtivo per rubare dati dagli obiettivi in ​​una campagna di spionaggio aziendale incentrata su nuovi obiettivi.

Video: i ladri di dati di hotel di fascia alta tornano a prendere di mira i funzionari governativi

Un'operazione di hacking cinese è tornata con nuove tecniche di attacco malware e ha spostato la sua attenzione sulla conduzione spionaggio sulle società occidentali, avendo precedentemente preso di mira organizzazioni e individui a Taiwan, in Tibet e negli altri paesi Filippine.

Soprannominato KeyBoy, l'attore di minaccia persistente avanzata opera fuori dalla Cina almeno dal 2013 e in quel periodo ha concentrato principalmente le sue campagne contro obiettivi nella regione del Sud-est asiatico.

Ricerca tecnologica professionale

  • Guida del leader IT alla minaccia del malware senza file
  • Politica di risposta agli incidenti
  • Guida del leader IT al ripristino dagli attacchi informatici
  • Politica di controllo e registrazione
  • La sicurezza informatica nel 2018: una carrellata di previsioni

L'ultimo conosciuto pubblicamente attivamente da KeyBoy lo ha visto hanno preso di mira il Parlamento tibetano tra agosto e ottobre 2016, secondo i ricercatori, ma in seguito il gruppo sembrò cessare l'attività - o almeno riuscì a uscire dai radar.

Ma ora il gruppo è riemerso e sta prendendo di mira le organizzazioni occidentali con malware che consente loro di eseguire segretamente attività dannose sui computer infetti. Includono l'acquisizione di screenshot, la registrazione delle chiavi, la navigazione e il download di file, la raccolta di informazioni di sistema estese sulla macchina e lo spegnimento della macchina infetta.

L'ultima attività di KeyBoy è stata scoperta dagli analisti della sicurezza presso PwC, che hanno analizzato il nuovo payload e hanno scoperto che include nuove tecniche di infezione che sostituiscono i file binari legittimi di Windows con una copia del malware.

Come simile campagne di spionaggio da parte di altre operazioni di hacking, la campagna inizia con e-mail contenenti un documento dannoso: nel caso analizzato da PwC, l'esca era un documento Microsoft Word denominato "Q4 Work Plan.docx".

Ma invece di fornire macro o un exploit, l’esca utilizza il protocollo Dynamic Data Exchange (DDE) per recuperare e scaricare un carico utile remoto. Microsoft ha già descritto DDE come una funzionalità e non come un difetto.

Guarda anche: Cyberwar: una guida allo spaventoso futuro dei conflitti online

In questo caso, Word informa l'utente che si è verificato un errore e che il documento deve essere aggiornato, se presente viene eseguita un'istruzione, viene eseguito un payload DLL falso remoto, che a sua volta fornisce un dropper per il file malware.

Una volta eseguito il processo e installato il malware, la DLL iniziale viene eliminata, senza lasciare traccia del falso dannoso. Poiché il malware disabilita anche la protezione file di Windows e i relativi popup, non è immediatamente ovvio agli amministratori di sistema che è stata sostituita una DLL legittima.

Una volta all'interno del sistema preso di mira, gli aggressori sono liberi di condurre campagne di spionaggio come preferiscono, anche se i ricercatori di PwC hanno elencato i possibili indicatori di compromesso che le organizzazioni possono utilizzare per scoprire se ci sono tracce di KeyBoy nella rete.

Tecniche e capacità di attacco simili sono state osservate nelle precedenti campagne KeyBoy, portando i ricercatori a concludere che questa campagna è dello stesso gruppo.

I ricercatori devono ancora scoprire quali organizzazioni o settori specifici KeyBoy si rivolge con le sue ultime novità campagna, ma dicono che il gruppo ha ora rivolto la sua attenzione alla conduzione di spionaggio aziendale sulle organizzazioni in l'ovest.

A parte sapere che hanno sede in Cina, non è stato ancora possibile scoprire il gruppo di hacker KeyBoy o identificare le loro motivazioni ultime. Sebbene presenti alcune delle caratteristiche di un’operazione sostenuta dallo Stato, precedenti ricerche sul gruppo dice qualsiasi tipo di banda criminale potrebbe gestire questo stile di campagna.

La campagna di spionaggio aziendale prende ora di mira le organizzazioni occidentali, avvertono i ricercatori.

Immagine: iStock

Copertura precedente e correlata

Gli hacker prendono di mira i ricercatori di sicurezza con documenti carichi di malware

Gli hacker sostenuti dallo Stato stanno cercando di fornire malware alle persone interessate alla sicurezza informatica, utilizzando documenti dannosi su una vera conferenza come esca.

Il nuovo metodo di code injection espone tutte le versioni di Windows agli attacchi informatici

A peggiorare le cose, non esiste una soluzione.

Politica di sensibilizzazione e formazione in materia di sicurezza [Ricerca tecnica professionale]

Questa policy è progettata per aiutare il personale IT a guidare i dipendenti verso la comprensione e l'adesione alle migliori pratiche di sicurezza pertinenti alle loro responsabilità lavorative.

LEGGI DI PIÙ SUL CRIMINE INFORMATICO

  • Nella zona grigia tra spionaggio e guerra informatica
  • Il massiccio attacco informatico di Yahoo è stato attribuito alle spie russe [CNET]
  • Misteriosa campagna di spionaggio informatico utilizza l'esca "siluro" per indurti a scaricare malware
  • Una campagna avanzata di hacking cinese si infiltra nei fornitori di servizi IT in tutto il mondo
  • Rapporto: Lo spionaggio informatico è oggi la forma di criminalità informatica più popolare in molti settori [Repubblica Tecnologica]