Il gruppo di hacker cinese APT31 ha iniziato a prendere di mira le organizzazioni russe per la prima volta, secondo Positive Technologies. Il gruppo è anche conosciuto come Zirconium, Red Keres e Judgment Panda e conduce cyberspionaggio contro obiettivi che interessano la Cina.
Di cosa si tratta?
Gli aggressori hanno preso di mira i settori governativo, aerospaziale e della difesa e dell’alta tecnologia, nonché organizzazioni finanziarie internazionali. Le e-mail di phishing inviate dagli aggressori impersonano completamente i domini di alcune agenzie governative. Oltre a questo, il contagocce schierato in alcuni degli attacchi aveva una firma digitale valida.
Perchè è importante?
- La speciale applicazione installata dal dropper consente all’aggressore di assumere il controllo completo dei sistemi.
- La firma ha indotto i ricercatori della sicurezza a percepirlo come un programma di produttori certificati. Ciò implica che la firma è stata con ogni probabilità rubata e la banda è stata preparata con largo anticipo.
- Confrontando il malware con i campioni precedentemente scoperti utilizzati da APT31, i ricercatori hanno concluso che l’attore della minaccia sta estendendo la sua geografia.
Informazioni su APT31
- L’attore delle minacce è in azione almeno dal 2016 e i suoi vettori di attacco specifici includono l’abuso di difetti delle applicazioni e lo sfruttamento di zero-day precedentemente sconosciuti da Equation Group.
- Non solo la Russia, ma APT31 ha preso di mira anche Bielorussia, Stati Uniti, Canada e Mongolia.
- Il gruppo ha lanciato almeno 10 attacchi tra gennaio e luglio. Più volte, il gruppo ha rivendicato come vittime i governi di Finlandia, Germania e Norvegia.
Conclusioni
APT31 si rivolge principalmente al settore pubblico per rubare informazioni riservate. Poco tempo fa, le agenzie federali statunitensi avevano emesso un avviso congiunto che elencava le minacce cinesi e i loro TTP.