Un nuovo attacco informatico altamente organizzato e sofisticato sta prendendo di mira aziende di lingua cinese, utilizzando payload di Cobalt Strike per compromettere i sistemi Windows. Secondo un recente rapporto dei ricercatori di Securonix, Den Iuzvyk e Tim Peck, gli aggressori sono riusciti a muoversi lateralmente, stabilire persistenza e rimanere inosservati nei sistemi compromessi per oltre due settimane.

La campagna segreta, denominata SLOW#TEMPEST

Inizia con file ZIP dannosi che, una volta decompressi, attivano la catena di infezione, portando al dispiegamento del toolkit di post-sfruttamento sui sistemi compromessi. All'interno dell'archivio ZIP è presente un file di collegamento di Windows (LNK) che si traveste da file di Microsoft Word, denominato "违规远程控制软件人员名单.docx.lnk", che si traduce approssimativamente in "Elenco delle persone che hanno violato le norme del software di controllo remoto".

Il file LNK funge da condotto per lanciare un file binario legittimo di Microsoft (LicensingUI.exe) che utilizza il side-loading della DLL per eseguire una DLL dannosa (dui70.dll). Entrambi i file fanno parte dell'archivio ZIP in una directory chiamata "其他信息.__MACOS__._MACOS___MACOSX_MACOS_." Questo attacco segna la prima volta in cui viene segnalato il side-loading della DLL tramite LicensingUI.exe. La DLL è un impianto di Cobalt Strike che consente un accesso persistente e furtivo all'host infetto, stabilendo al contempo il contatto con un server remoto (123.207.74[.]22).

L'accesso remoto ha permesso agli aggressori di condurre una serie di attività manuali, tra cui il dispiegamento di payload aggiuntivi per la ricognizione e la configurazione di connessioni proxy. La catena di infezione è notevole anche per la creazione di un'attività pianificata per eseguire periodicamente un eseguibile dannoso chiamato "lld.exe" che può eseguire shellcode arbitrario direttamente in memoria, lasciando così poche tracce su disco.

Gli aggressori si sono ulteriormente nascosti nei sistemi compromessi elevando manualmente i privilegi dell'account utente Guest incorporato. Questo account, tipicamente disabilitato e con privilegi minimi, è stato trasformato in un potente punto di accesso aggiungendolo al gruppo amministrativo critico e assegnandogli una nuova password. Questo backdoor consente loro di mantenere l'accesso al sistema con una minima rilevazione, poiché l'account Guest non viene monitorato attentamente come altri account utente.

Il gruppo di minacce sconosciuto ha poi proceduto a spostarsi lateralmente attraverso la rete utilizzando il Remote Desktop Protocol (RDP) e le credenziali ottenute tramite lo strumento di estrazione delle password Mimikatz, seguito dalla configurazione di connessioni remote al loro server di comando e controllo (C2) da ciascuna di quelle macchine. La fase di post-sfruttamento è ulteriormente caratterizzata dall'esecuzione di diversi comandi di enumerazione e dall'uso dello strumento BloodHound per la ricognizione dell'Active Directory (AD), i cui risultati sono stati successivamente esfiltrati sotto forma di un archivio ZIP.

I collegamenti con la Cina sono rafforzati dal fatto che tutti i server C2 sono ospitati in Cina dalla Shenzhen Tencent Computer Systems Company Limited. Inoltre, la maggior parte degli artefatti collegati alla campagna proviene dalla Cina. Sebbene non ci siano prove concrete che colleghino questo attacco a gruppi APT noti, è probabile che sia orchestrato da un attore di minaccia esperto nell'uso di framework di sfruttamento avanzati come Cobalt Strike e una vasta gamma di altri strumenti di post-sfruttamento.