Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

ANALISI DELLE MINACCE

Red Apollo, l’APT specializzata nel furto di dati: come agisce e con quali tecniche di attacco

Red Apollo è un’APT (Advanced Persistent Threat) specializzata nel furto di informazioni e intelligence militare e commerciale che opera nei settori dell’edilizia, dell’educazione, dell’energia, della farmaceutica e delle telecomunicazioni. Ecco le tecniche di attacco per imparare a riconoscere la minaccia

27 Gen 2020
F
Francesco Ferazza

CISSP, Consulente IT


Red Apollo è il nome di una APT (Advanced Persistent Threat) conosciuta anche con gli pseudonimi di APT10 (da Mandiant), POTASSIUM (da Microsoft), MenuPass (da FireEye), Stone Panda (da Crowdstrike).

Diversi ricercatori accademici e consulenti privati di sicurezza informatica, analizzando le tecnologie e le procedure utilizzate e gli obiettivi perseguiti, concordano sull’origine cinese di questo gruppo APT. Al momento, però, non sono dimostrati legami diretti con il governo di Pechino.

Il nome Red Apollo viene utilizzato attivamente anche da PwC, azienda che a lungo si è occupata, assieme a BAE Systems ed al National Cyber Security Centre (NCSC) del Regno Unito, di questa minaccia avanzata.

Red Apollo: gli obiettivi dell’APT

L’obiettivo principale di questa APT è la raccolta di informazioni ed intelligence militare e commerciale. I settori coinvolti sono quelli dell’edilizia, dell’educazione, dell’energia, della farmaceutica e delle telecomunicazioni – in particolare gli MSP (Managed Service Providers). L’azione ostile contro questo ultimo tipo di bersagli, gli MSP, spesso non è che un mezzo per raggiungere un altri obiettivi finali di maggior valore.

I paesi vittima sono prevalentemente gli Stati Uniti, l’Europa del Nord e il Giappone. La frequenza degli attacchi alle corporation di quest’ultimo paese è aumentata in modo drammatico negli ultimi due anni, i settori colpiti sono diversi, ma Red Apollo ha dimostrato particolare interesse verso i digital media e le università STEM (Science, Technology, Engineering and Mathematics).

Le tecniche di attacco di Red Apollo

Per analizzare in dettaglio come agisce l’APT cinese e quindi scoprire quali sono le tecniche di attacco è utile analizzare prima i tool più trasversalmente utilizzati da questo gruppo criminale. Successivamente prenderemo in considerazione, nel dettaglio, alcuni scenari di attacco specifici.

I tool usati dall’APT

Questo gruppo APT inizialmente ha utilizzato come backdoor principali SOGU (PluginX) e Poison Ivy, aggiungendone poi altre negli ultimi 2-3 anni.

Le nuove backdoor utilizzate sono:

  • HAYMAKER: una backdoor che può scaricare ed eseguire payload addizionali sotto forma di moduli. Permette una profilazione base del sistema infettato. Può ad esempio identificare il nome del pc, gli id dei processi in esecuzione, il path della directory %TEMP% e di Internet Explorer. La comunicazione, criptata, dei dati di sistema rilevati viene effettuata verso un singolo server di controllo e comando (che chiamerò C2 da qui in poi), dichiarato esplicitamente nel codice di HAYMAKER. La comunicazione utilizza lo user agent di default di sistema.
  • SNUGRIDE: è una backdoor che raccoglie informazioni di sistema, le comunica al proprio server C2 attraverso richieste HTTP. Le informazioni comunicate sono criptate con una cifratura AES con chiave hard-coded nella backdoor stessa.
  • BUGJUICE: il payload di BUGJUICE viene iniettato durante l’esecuzione di un file benigno attraverso la tecnica di attacco nota come DLL Search Order Hijacking. Questa backdoor può raccogliere informazioni di sistema, prendere screenshot, inizializzare una reverse shell. La comunicazione con il server di C2 avviene normalmente attraverso un protocollo custom TCP – ma il server di controllo e comando può richiedere di passare a HTTP e HTTPs.
  • QUASARRAT: è un RAT definito “commodity”, ovvero open source ed utilizzabile da chiunque. Ha perfino un repository su GitHub. Una backdoor .NET completamente funzionante, le cui versioni più recenti utilizzano un dropper per decrittare e lanciare il payload. Red Apollo utilizza delle varianti custom di QUASARRAT.
  • ANEL (conosciuta anche come UPPERCUT): una backdoor molto recente, utilizzata quasi esclusivamente da Red Apollo nei confronti di bersagli Giapponesi. Qui si possono trovare informazioni dettagliate sul suo funzionamento.

I vettori di attacco

Il principale vettore di attacco di questo APT è lo spear phishing con e-mail contenenti allegati malevoli.

Lo spear phishing via e-mail utilizzato è generalmente banale e di basso livello, è basato sull’utilizzo di doppie estensioni per nascondere un eseguibile (ad esempio: fattura_2019_doc_.exe) o su launcher malevoli con lo stesso nome di file benigni presenti nello stesso archivio o cartella.

WHITEPAPER
Mobile security: come proteggere gli smartphone dai malware
Mobility
Sicurezza

Non sono rari errori grammaticali o scelte sintattico-lessicali inusuali nelle loro e-mail.

Red Apollo utilizza principalmente file Word o Excel contenenti macro VBA per portare avanti l’intrusione.

Tutti i file utilizzati hanno titoli apparentemente legittimi e mirati ad attirare l’attenzione delle potenziali vittime. Spesso questi titoli sono copiati da articoli realmente esistenti sul web o sui giornali, in modo da risultare innocui ad un superficiale controllo sui principali motori di ricerca.

Nella tabella qui sotto sono riportati alcuni esempi reali di questi titoli, tradotti dal giapponese in italiano per comodità.

Nella stessa tabella è possibile trovare altri indicatori di compromissione (Indicators of compromise – IoC) tra cui l’hash MD5, la dimensione dei file malevoli e l’indirizzo del server di controllo e comando (C2).

Nome del fileMD5DimensioneC2
自民党海洋総合戦略小委員会が政府に提言申し入れ.doc

Raccomandazioni per il governo dal comitato di strategia marittima del partito liberal democratico

4f83c01e8f7507d23c67ab085bf79e97843022eservake.jetos[.]com

82.221.100.52

151.106.53.147

グテマラ大使講演会案内状.doc

Invito alla lectio magistralis dell’ambasciatore del Guatemala

f188936d2c8423cf064d6b8160769f21720384

eservake.jetos[.]com

151.106.53.147

153.92.210.208

米国接近に揺れる北朝鮮内部.doc

La corea del nord trema all’arrivo degli americani

cca227f70a64e1e7fcf5bccdc6cc25dd733184eservake.jetos[.]com

153.92.210.208

167.99.121.203

In genere questi file sono inviati protetti da password, nel tentativo di bypassare meccanismi di controllo.

Red Apollo: un esempio reale di compromissione

Una volta che l’utente scarica il file e lo apre, si trova davanti ad una schermata simile a quella riportata nella figura sottostante che richiede l’abilitazione ad eseguire le macro presenti nel documento.

Una volta che l’utente accetta l’esecuzione della macro inizia la compromissione vera e propria del sistema.

Qui sotto un esempio della macro che porta all’installazione della backdoor UPPERCUT.

Vediamo ora cosa succede, passo per passo, seguendo il codice.

  • La macro crea tre file PEM, pense1.txt, pense2.txt, pense3.txt, nella cartella %TEMP% e poi li copia in %AllUserProfile%.
  • In seguito, utilizzando certutil.exe (applicativo benigno e sicuro, incluso in Windows), decodifica questi tre file:
  1. C:WindowsSystem32cmd.exe” /c certutil -decode C:ProgramDatapadre1.txt C:ProgramDataGUP.txt
  2. C:WindowsSystem32cmd.exe” /c certutil -decode C:ProgramDatapadre2.txt C:ProgramDatalibcurl.txt
  3. C:WindowsSystem32cmd.exe” /c certutil -decode C:ProgramDatapadre3.txt C:ProgramData3F2E3AB9
  • Poi, utilizzando Extensible Storage Engine Utilities (esentutil.exe – altro applicativo incluso in windows) la macro crea dei file con le corrette estensioni (gup.exe e libcurl.dll):
  1. C:WindowsSystem32esentutl.exe” /y C:ProgramDataGUP.txt /d C:ProgramDataGUP.exe /o
  2. C:WindowsSystem32esentutl.exe” /y C:ProgramDatalibcurl.txt /d C:ProgramDatalibcurl.dll /.
  • Ora abbiamo 3 file:
  1. GUP.exe (un generico updater LGPL per windows)
  2. libcurl.dll (una dll malevola per caricare, decriptare e lanciare il payload)
  3. 3F2E3AB9 (shellcode)
  • La macro a questo punto esegue GUP.exe, che richiama la dll malevola, che decripta ed esegue lo shellcode.
  • Lo shellcode eseguito decodifica e decomprime un’altra DLL, la backdoor UPPERCUT. La backdoor viene eseguita in maniera da non essere rilevabile da eventuali debugger, attraverso la creazione di un thread separato, via ntdll_NtSetInformationThread.

Questa immagine riassume il flow della macro eseguita.

Diversi attori malevoli utilizzano certutil.exe per decodificare i loro payload – APT10 continua ad oggi ad utilizzare prevalentemente questa tecnica.

Red Apollo: utilizzo degli MSP

L’aspetto più peculiare del modus operandi di Red Apollo è la compromissione di Managed Service Providers (MSP) al fine di poter aver accesso al loro intero network di clienti.

Questo aspetto è stato analizzato nel dettaglio attraverso lo sforzo congiunto di PwC, BAE Systems e del NCSC inglese.

L’immagine sottostante esemplifica questa strategia basata sulla compromissione degli MSP.

Conclusioni

Red Apollo è l’esempio perfetto di cosa sia una Advanced Persistent Threat.

Questo attore è infatti attivo da ormai quasi dieci anni, ha un preciso set di strumenti a propria disposizione, delle tattiche ben definite, degli obiettivi tipici.

I suddetti fattori rendono più facile l’identificazione delle operazioni messe in atto da questo gruppo, facilitando il threat modeling e la gestione del rischio ai potenziali bersagli.

webinar, 21 aprile
Smartworking e Security: come fronteggiare gli attacchi che sfruttano l’emergenza da Coronavirus?
Sicurezza
Sicurezza

Risulta evidente, infine, quanto la sicurezza della supply chain sia diventata fondamentale, sia per l’utente finale sia per i fornitori di servizi IT, sia a livello di gestione del rischio informatico, sia a livello di responsabilità legali, sia a livello di gestione dei costi di approvvigionamento.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5