Microsoft interrompe l'operazione hacker dello stato utilizzando il servizio cloud di Azure

Microsoft interrompe l'operazione hacker dello stato utilizzando il servizio cloud di Azure

In un rapporto di questa settimana, Microsoft ha affermato di aver interrotto le operazioni di un gruppo di minacce di stato-nazione che utilizzava la sua infrastruttura cloud Azure per attacchi informatici.

Microsoft si riferisce all'attore con il nome Gadolinio e afferma che è attiva da circa un decennio nel settore delle organizzazioni del settore marittimo e sanitario; più recentemente, gli hacker hanno esteso l'attenzione all'istruzione superiore e agli enti del governo regionale.

Abusare dei servizi cloud

Sulla base dei rilevamenti di vari componenti che servono l'attività dannosa di Gadolinium, Microsoft Threat Intelligence Center (MSTIC) ha identificato 18 applicazioni Azure Active Directory che il gruppo ha utilizzato per la propria infrastruttura di comando e controllo.

Questi facevano parte della versione personalizzata dell'attore del toolkit post-sfruttamento di PowerShell Empire che gli consentiva di distribuire moduli dannosi su un computer compromesso utilizzando le chiamate API di Microsoft Graph.

"Fornisce un modulo di comando e controllo che utilizza l'account Microsoft OneDrive dell'aggressore per eseguire comandi e recuperare i risultati tra i sistemi dell'aggressore e della vittima" -Microsoft

All'inizio di quest'anno, ad aprile, l'azienda ha rimosso le 18 applicazioni Azure Active Directory, interrompendo così, anche se temporaneamente, l'attività dannosa del Gadolinio.

Gli attacchi da questo gruppo iniziano con e-mail di spear phishing per fornire documenti dannosi (PowerPoint nel 2020) che rilasciano un file in genere con due payload.

La catena di attacchi continua con l'estrazione e la distribuzione della versione modificata di PowerShell Empire mascherata da file immagine PNG. Ciò consente all'autore dell'attacco di scaricare più moduli sul computer infetto e di stabilire un canale backdoor.

Il ruolo dell'applicazione Azure Active Directory era quello di configurare i sistemi vittima in modo che potesse ricevere comandi da ed esfiltrare i dati in un account di archiviazione di OneDrive controllato dall'aggressore.

Questa configurazione ha reso particolarmente difficile rilevare attività dannose a livello di rete a causa degli strumenti e dei servizi legittimi coinvolti, afferma Microsoft in un rapporto giovedì.

Sebbene Microsoft non fornisca molti dettagli sul gadolinio a parte la sua longevità e obiettivi di interesse, l'istituto di ricerca Fraunhofer FKIE lo elenca sotto altri alias di varie società di sicurezza informatica: APT40, BRONZE MOHAWK, Gadolinio, Kryptonite Panda.

Rapporti precedenti di FireEye si riferivano al gruppo come APT40, TEMP.Periscope e TEMP.Jumper, sospettando che fosse un attore cinese di minacce di spionaggio informatico. In una ricerca pubblicata nel marzo 2018, la società afferma che la società di sicurezza informatica Proofpoint rintraccia questo hacker di spionaggio informatico come Leviathan.

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.