I ricercatori di Cybereason hanno scoperto una serie di attacchi effettuati dal gruppo cinese Winnti contro diverse aziende in Europa, Asia e Stati Uniti. Le attività dei cybercriminali sono rimaste nascoste per quasi tre anni. Lo scopo dell’operazione di cyberspionaggio è rubare proprietà intellettuali e altri dati sensibili. Sul mercato ci sono numerose soluzioni di sicurezza che permettono di proteggere tutti i dispositivi aziendali. Una delle migliori è GravityZone di Bitdefender.
Operation CuckooBees: rubati centinaia di GB
Operation CuckooBees è il nome assegnato dai ricercatori di Cybereason alle intrusioni effettuate dai cybercriminali cinesi dal 2019. Il gruppo Winnti (noto anche come APT 41, BARIUM e Blackfly) ha utilizzato varie tecniche avanzate per rubare centinaia di GB di informazioni, tra cui proprietà intellettuali e altri segreti industriali. I cybercriminali hanno inoltre raccolto dati che possono essere sfruttati in futuro, come l’architettura della rete, le email dei dipendenti e le credenziali degli account. Nell’immagine si può vedere la catena di infezione.
L’intrusione nei sistemi aziendali avviene mediante exploit che sfruttano le vulnerabilità delle piattaforme ERP (Enterprise Resource Planning). Viene quindi stabilita la persistenza con una Webshell, sfruttando il protocollo WinRM, un rootkit e i servizi IKEEXT e PrintNotify di Windows. A questo punto inizia la fase di “ricognizione”, ovvero la raccolta di varie informazioni sul server ERP e la rete interna.
Il passo successivo è rappresentato dal dumping delle credenziali, seguito dalla pianificazione di altre attività tramite l’apposita utilità di Windows. I cybercriminali avviano quindi la fase finale, ovvero la raccolta dei dati in una archivio RAR e l’invio al server remoto. Ciò viene effettuato con un arsenale di sei malware che sono strettamente interconnessi tra loro.