Red Apollo è il nome di una APT (Advanced Persistent Threat) conosciuta anche con gli pseudonimi di APT10 (da Mandiant), POTASSIUM (da Microsoft), MenuPass (da FireEye), Stone Panda (da Crowdstrike).
Diversi ricercatori accademici e consulenti privati di sicurezza informatica, analizzando le tecnologie e le procedure utilizzate e gli obiettivi perseguiti, concordano sull’origine cinese di questo gruppo APT. Al momento, però, non sono dimostrati legami diretti con il governo di Pechino.
Il nome Red Apollo viene utilizzato attivamente anche da PwC, azienda che a lungo si è occupata, assieme a BAE Systems ed al National Cyber Security Centre (NCSC) del Regno Unito, di questa minaccia avanzata.
Indice degli argomenti
Red Apollo: gli obiettivi dell’APT
L’obiettivo principale di questa APT è la raccolta di informazioni ed intelligence militare e commerciale. I settori coinvolti sono quelli dell’edilizia, dell’educazione, dell’energia, della farmaceutica e delle telecomunicazioni – in particolare gli MSP (Managed Service Providers). L’azione ostile contro questo ultimo tipo di bersagli, gli MSP, spesso non è che un mezzo per raggiungere un altri obiettivi finali di maggior valore.
I paesi vittima sono prevalentemente gli Stati Uniti, l’Europa del Nord e il Giappone. La frequenza degli attacchi alle corporation di quest’ultimo paese è aumentata in modo drammatico negli ultimi due anni, i settori colpiti sono diversi, ma Red Apollo ha dimostrato particolare interesse verso i digital media e le università STEM (Science, Technology, Engineering and Mathematics).
Le tecniche di attacco di Red Apollo
Per analizzare in dettaglio come agisce l’APT cinese e quindi scoprire quali sono le tecniche di attacco è utile analizzare prima i tool più trasversalmente utilizzati da questo gruppo criminale. Successivamente prenderemo in considerazione, nel dettaglio, alcuni scenari di attacco specifici.
I tool usati dall’APT
Questo gruppo APT inizialmente ha utilizzato come backdoor principali SOGU (PluginX) e Poison Ivy, aggiungendone poi altre negli ultimi 2-3 anni.
Le nuove backdoor utilizzate sono:
- HAYMAKER: una backdoor che può scaricare ed eseguire payload addizionali sotto forma di moduli. Permette una profilazione base del sistema infettato. Può ad esempio identificare il nome del pc, gli id dei processi in esecuzione, il path della directory %TEMP% e di Internet Explorer. La comunicazione, criptata, dei dati di sistema rilevati viene effettuata verso un singolo server di controllo e comando (che chiamerò C2 da qui in poi), dichiarato esplicitamente nel codice di HAYMAKER. La comunicazione utilizza lo user agent di default di sistema.
- SNUGRIDE: è una backdoor che raccoglie informazioni di sistema, le comunica al proprio server C2 attraverso richieste HTTP. Le informazioni comunicate sono criptate con una cifratura AES con chiave hard-coded nella backdoor stessa.
- BUGJUICE: il payload di BUGJUICE viene iniettato durante l’esecuzione di un file benigno attraverso la tecnica di attacco nota come DLL Search Order Hijacking. Questa backdoor può raccogliere informazioni di sistema, prendere screenshot, inizializzare una reverse shell. La comunicazione con il server di C2 avviene normalmente attraverso un protocollo custom TCP – ma il server di controllo e comando può richiedere di passare a HTTP e HTTPs.
- QUASARRAT: è un RAT definito “commodity”, ovvero open source ed utilizzabile da chiunque. Ha perfino un repository su GitHub. Una backdoor .NET completamente funzionante, le cui versioni più recenti utilizzano un dropper per decrittare e lanciare il payload. Red Apollo utilizza delle varianti custom di QUASARRAT.
- ANEL (conosciuta anche come UPPERCUT): una backdoor molto recente, utilizzata quasi esclusivamente da Red Apollo nei confronti di bersagli Giapponesi. Qui si possono trovare informazioni dettagliate sul suo funzionamento.
I vettori di attacco
Il principale vettore di attacco di questo APT è lo spear phishing con e-mail contenenti allegati malevoli.
Lo spear phishing via e-mail utilizzato è generalmente banale e di basso livello, è basato sull’utilizzo di doppie estensioni per nascondere un eseguibile (ad esempio: fattura_2019_doc_.exe) o su launcher malevoli con lo stesso nome di file benigni presenti nello stesso archivio o cartella.
Non sono rari errori grammaticali o scelte sintattico-lessicali inusuali nelle loro e-mail.
Red Apollo utilizza principalmente file Word o Excel contenenti macro VBA per portare avanti l’intrusione.
Tutti i file utilizzati hanno titoli apparentemente legittimi e mirati ad attirare l’attenzione delle potenziali vittime. Spesso questi titoli sono copiati da articoli realmente esistenti sul web o sui giornali, in modo da risultare innocui ad un superficiale controllo sui principali motori di ricerca.
Nella tabella qui sotto sono riportati alcuni esempi reali di questi titoli, tradotti dal giapponese in italiano per comodità.
Nella stessa tabella è possibile trovare altri indicatori di compromissione (Indicators of compromise – IoC) tra cui l’hash MD5, la dimensione dei file malevoli e l’indirizzo del server di controllo e comando (C2).
| Nome del file | MD5 | Dimensione | C2 |
| 自民党海洋総合戦略小委員会が政府に提言申し入れ.doc Raccomandazioni per il governo dal comitato di strategia marittima del partito liberal democratico | 4f83c01e8f7507d23c67ab085bf79e97 | 843022 | eservake.jetos[.]com 82.221.100.52 151.106.53.147 |
| グテマラ大使講演会案内状.doc Invito alla lectio magistralis dell’ambasciatore del Guatemala | f188936d2c8423cf064d6b8160769f21 | 720384 | eservake.jetos[.]com 151.106.53.147 153.92.210.208 |
| 米国接近に揺れる北朝鮮内部.doc La corea del nord trema all’arrivo degli americani | cca227f70a64e1e7fcf5bccdc6cc25dd | 733184 | eservake.jetos[.]com 153.92.210.208 167.99.121.203 |
In genere questi file sono inviati protetti da password, nel tentativo di bypassare meccanismi di controllo.
Red Apollo: un esempio reale di compromissione
Una volta che l’utente scarica il file e lo apre, si trova davanti ad una schermata simile a quella riportata nella figura sottostante che richiede l’abilitazione ad eseguire le macro presenti nel documento.
Qui sotto un esempio della macro che porta all’installazione della backdoor UPPERCUT.
- La macro crea tre file PEM, pense1.txt, pense2.txt, pense3.txt, nella cartella %TEMP% e poi li copia in %AllUserProfile%.
- In seguito, utilizzando certutil.exe (applicativo benigno e sicuro, incluso in Windows), decodifica questi tre file:
- C:\Windows\System32\cmd.exe” \c certutil -decode C:\ProgramData\pense1.txt C:\ProgramData\\GUP.txt
- C:/Windows/System32/cmd.exe” /c certutil -decode C:/ProgramData/pense2.txt C:/ProgramData//libcurl.txt
- C:/Windows/System32/cmd.exe” /c certutil -decode C:/ProgramData/pense3.txt C:/ProgramData//3F2E3AB9
- Poi, utilizzando Extensible Storage Engine Utilities (esentutil.exe – altro applicativo incluso in windows) la macro crea dei file con le corrette estensioni (gup.exe e libcurl.dll):
- C:/Windows/System32/esentutl.exe” /y C:/ProgramData//GUP.txt /d C:/ProgramData/GUP.exe /o
- C:/Windows/System32/esentutl.exe” /y C:/ProgramData//libcurl.txt /d C:/ProgramData/libcurl.dll /.
- Ora abbiamo 3 file:
- GUP.exe (un generico updater LGPL per windows)
- libcurl.dll (una dll malevola per caricare, decriptare e lanciare il payload)
- 3F2E3AB9 (shellcode)
- La macro a questo punto esegue GUP.exe, che richiama la dll malevola, che decripta ed esegue lo shellcode.
- Lo shellcode eseguito decodifica e decomprime un’altra DLL, la backdoor UPPERCUT. La backdoor viene eseguita in maniera da non essere rilevabile da eventuali debugger, attraverso la creazione di un thread separato, via ntdll_NtSetInformationThread.
Red Apollo: utilizzo degli MSP
L’aspetto più peculiare del modus operandi di Red Apollo è la compromissione di Managed Service Providers (MSP) al fine di poter aver accesso al loro intero network di clienti.
Questo aspetto è stato analizzato nel dettaglio attraverso lo sforzo congiunto di PwC, BAE Systems e del NCSC inglese.
L’immagine sottostante esemplifica questa strategia basata sulla compromissione degli MSP.
Conclusioni
Red Apollo è l’esempio perfetto di cosa sia una Advanced Persistent Threat.
Questo attore è infatti attivo da ormai quasi dieci anni, ha un preciso set di strumenti a propria disposizione, delle tattiche ben definite, degli obiettivi tipici.
I suddetti fattori rendono più facile l’identificazione delle operazioni messe in atto da questo gruppo, facilitando il threat modeling e la gestione del rischio ai potenziali bersagli.
Risulta evidente, infine, quanto la sicurezza della supply chain sia diventata fondamentale, sia per l’utente finale sia per i fornitori di servizi IT, sia a livello di gestione del rischio informatico, sia a livello di responsabilità legali, sia a livello di gestione dei costi di approvvigionamento.
