Il settore della criminalità informatica consente ai threat actor di condividere i propri strumenti, favorendo la crescita del numero e delle capacità delle minacce: un nuovo rapporto di WithSecure (precedentemente nota come F-Secure business) illustra questa dinamica documentando la migrazione dello strumento di attacco informatico “SILKLOADER” dai criminali informatici cinesi alle bande ransomware russe.
I ricercatori WithSecure hanno prima scoperto SILKLOADER quando è stato usato in un attacco contro un’organizzazione di assistenza sociale in Francia. Secondo il rapporto, è stato utilizzato in vari attacchi almeno dall’inizio del 2022.
Prima dell’estate 2022, veniva impiegato esclusivamente da criminali informatici cinesi contro obiettivi in Asia orientale, soprattutto Hong Kong e Cina. Tuttavia, l’attività di SILKLOADER è cessata a luglio.
SILKLOADER non è stato più visto fino a settembre, quando è riapparso in un’altra serie di attacchi contro vari obiettivi in diversi Paesi, tra cui Taiwan, Brasile e Francia.
I ricercatori di WithSecure hanno concluso che SILKLOADER si è spostato nell’ecosistema della criminalità informatica russa. La spiegazione più probabile è che i criminali informatici cinesi lo abbiano venduto alle controparti russe.
“Riteniamo che SILKLOADER sia attualmente distribuito all’interno dell’ecosistema russo della criminalità informatica come loader off-the-shelf attraverso un programma di Packer-as-a-Service a gruppi di ransomware, o eventualmente attraverso gruppi che offrono Cobalt Strike/Infrastructure-as-a-Service ad affiliati fidati.
Di solito lo abbiamo visto durante intrusioni pratiche nelle prime fasi di quelli che sembrano attacchi ransomware. La maggior parte degli affiliati sembra aver fatto parte o aver avuto stretti rapporti di lavoro con il gruppo CONTI, i suoi membri e i suoi successori dopo la sua presunta chiusura”, dichiara Mohammad Kazem Hassan Nejad, ricercatore di WithSecure Intelligence.
SILKLOADER, un tipo di malware chiamato loader, abusa di una tecnica nota come DLL sideloading utilizzando VLC Media player per lanciare i beacon Cobalt Strike sui dispositivi. Questi beacon consentono agli attaccanti di accedere costantemente ai dispositivi infetti per utilizzarli ulteriormente.
Secondo Hassan Nejad, il loader è stato costruito per oscurare i beacon Cobalt Strike in modo che possano eludere i meccanismi di difesa sul computer della vittima.
“I beacon Cobalt Strike sono molto noti e i rilevamenti contro di essi su un computer ben protetto sono praticamente garantiti. Tuttavia, aggiungendo ulteriori livelli di complessità al contenuto del file e lanciandolo attraverso un’applicazione nota come VLC Media Player tramite sideloading, gli attaccanti sperano di eludere questi meccanismi di difesa”, commenta.
Il contrasto ai servizi di cyber criminalità
Secondo Paolo Palumbo, Vice President di WithSecure Intelligence, la disponibilità del loader come servizio che può essere acquistato da diversi attori delle minacce mette in evidenza la sfida nel contrastare le tecniche disponibili nel settore della criminalità informatica.
“Gli attaccanti utilizzano l’industria del cyber crime per acquisire nuove capacità e tecnologie in modo da poter adattare rapidamente le loro operazioni alle difese dei loro obiettivi. Questo ci rende difficile associare le risorse a un particolare gruppo o modalità operativa. D’altro canto, questa condivisione di infrastrutture ci offre un moltiplicatore di forze difensive grazie al quale possiamo difenderci da più gruppi contemporaneamente, creando strategie per contrastare le risorse che condividono”, aggiunge Palumbo.
WithSecure Elements e WithSecure Countercept Managed Detection and Response hanno rilevato più volte SILKLOADER e le attività correlate. Per maggiori informazioni su queste soluzioni è possibile visitare il sito dell’azienda.
