I servizi di intelligence interni tedeschi BfV (Bundesamt für Verfassungsschutz) avvertono di continui attacchi orchestrati dal gruppo criminale APT27 sostenuto dallo stato cinese. Gli aggressori stanno utilizzando i trojan di accesso remoto (RAT) HyperBro per eseguire backdoor nelle reti delle imprese tedesche, nell’ultima campagna malevola.
Operando come backdoor in memoria con funzionalità di amministrazione remota, HyperBro aiuta gli attori delle minacce a mantenere la persistenza sulle reti delle vittime. Secondo l’agenzia, lo scopo del gruppo è quello di rubare informazioni critiche e prendere di mira i consumatori delle sue vittime in attacchi alla catena di approvvigionamento.
“L’Ufficio federale per la protezione della costituzione (BfV) ha informazioni su una campagna di spionaggio informatico in corso da parte del gruppo di attacco informatico APT27 che utilizza la variante malware HYPERBRO contro società commerciali tedesche”, come affermato dal BfV stesso.
“Non si può escludere che gli attori, oltre a rubare segreti aziendali e proprietà intellettuale, cerchino anche di infiltrarsi nelle reti di clienti (aziendali) o fornitori di servizi (attacco supply chain).”
L’avviso del BfV riporta anche indicatori di compromissione (CIO) e le regole YARA, per assistere le imprese tedesche mirate a rilevare le infezioni HyperBro e le connessioni ai server di comando e controllo (C2) APT27. APT27 (conosciuto anche come TG-3390, Emissary Panda, BRONZE UNION, Iron Tiger e LuckyMouse) è un’organizzazione di minacce sostenuta dalla Cina attiva almeno dal 2010. È nota per la sua concentrazione sul furto di dati e sullo spionaggio informatico.
Secondo l’agenzia di sicurezza tedesca, da marzo 2021 APT27 sfrutta le vulnerabilità del software Zoho AdSelf Service Plus, una soluzione di gestione delle password aziendali per Active Directory e app cloud. Ciò è coerente con le indicazioni precedenti secondo le quali, le installazioni di Zoho ManageEngine sarebbero state l’obiettivo di molti attacchi nel 2021, coordinati da criminal hackers di stato-nazione utilizzando tecniche e strumenti simili a quelli utilizzati da APT27.
Hanno sfruttato un exploit zero-day di ADSelfService fino a metà settembre, quindi sono passati a un attacco AdSelfService di n-day fino al 25 ottobre, quando hanno iniziato a sfruttare un difetto di ServiceDesk. Secondo gli esperti di Palo Alto Networks, si sono effettivamente infiltrati in almeno nove aziende di settori vitali in tutto il mondo, tra cui difesa, assistenza sanitaria, energia, tecnologia e istruzione.
In risposta a questi attacchi, l’FBI e la CISA hanno rilasciato avvisi congiunti (1, 2) sugli attori APT che utilizzano i punti deboli di ManageEngine per scaricare shell web sulle reti di organizzazioni di infrastrutture critiche vittime di attacco.