Gli esperti di SentinelOne hanno individuato una nuova campagna di cyberspionaggio effettuata dal gruppo cinese Bronze Starlight contro l’industria del gioco d’azzardo del sudest asiatico. Si tratta della fase più recente della Operation ChattyGoblin scoperta da ESET all’inizio di maggio. I cybercriminali hanno sfruttato i certificati rubati di una VPN per firmare i malware e aggirare i controlli di sicurezza.
Certificati di Ivacy VPN
Come vettore di attacco sono state utilizzate versioni trojanizzate delle app Comm100 e LiveHelp100 che copiano sui computer due loader .NET denominati agentupdate_plugins.exe
e AdventureQuest.exe
. Questi ultimi scaricano archivi ZIP da bucket Alibaba.
Negli archivi ci sono componenti di software legittimi, tra cui Adobe Creative Cloud, Microsoft Edge e McAfee VirusScan. Sfruttando la nota tecnica DLL hijacking, le DLL infette (incluse negli archivi) vengono caricate in memoria. Gli esperti di SentinelOne hanno scoperto che il loader AdventureQuest.exe
è firmato con un certificato emesso da PMG PTE LTD, la software house che sviluppa Ivacy VPN.
La chiave di firma è la stessa usata per l’installer della VPN. Non è noto come i cybercriminali hanno avuto accesso al certificato. Al momento non risulta nessun commento dalla software house di Singapore. DigiCert Certificate Authority ha tuttavia revocato il certificato.
Le DLL infette (libcef.dll
, msedge_elf.dll
e LockDown.dll
) distribuite da agentupdate_plugins.exe
e AdventureQuest.exe
sono varianti del loader HUI utilizzato da vari gruppi cinesi per le attività di cyberspionaggio tramite beacon Cobalt Strike.