25 Settembre 2020 - Tempo di lettura: 7 minuti
In un rapporto di questa settimana, Microsoft ha affermato di aver interrotto le operazioni di un gruppo di minacce di stato-nazione che utilizzava la sua infrastruttura cloud Azure per attacchi informatici.
Microsoft si riferisce all'attore con il nome Gadolinio e afferma che è attiva da circa un decennio nel settore delle organizzazioni del settore marittimo e sanitario; più recentemente, gli hacker hanno esteso l'attenzione all'istruzione superiore e agli enti del governo regionale.
Sulla base dei rilevamenti di vari componenti che servono l'attività dannosa di Gadolinium, Microsoft Threat Intelligence Center (MSTIC) ha identificato 18 applicazioni Azure Active Directory che il gruppo ha utilizzato per la propria infrastruttura di comando e controllo.
Questi facevano parte della versione personalizzata dell'attore del toolkit post-sfruttamento di PowerShell Empire che gli consentiva di distribuire moduli dannosi su un computer compromesso utilizzando le chiamate API di Microsoft Graph.
"Fornisce un modulo di comando e controllo che utilizza l'account Microsoft OneDrive dell'aggressore per eseguire comandi e recuperare i risultati tra i sistemi dell'aggressore e della vittima" -Microsoft
All'inizio di quest'anno, ad aprile, l'azienda ha rimosso le 18 applicazioni Azure Active Directory, interrompendo così, anche se temporaneamente, l'attività dannosa del Gadolinio.
Gli attacchi da questo gruppo iniziano con e-mail di spear phishing per fornire documenti dannosi (PowerPoint nel 2020) che rilasciano un file in genere con due payload.
La catena di attacchi continua con l'estrazione e la distribuzione della versione modificata di PowerShell Empire mascherata da file immagine PNG. Ciò consente all'autore dell'attacco di scaricare più moduli sul computer infetto e di stabilire un canale backdoor.
Il ruolo dell'applicazione Azure Active Directory era quello di configurare i sistemi vittima in modo che potesse ricevere comandi da ed esfiltrare i dati in un account di archiviazione di OneDrive controllato dall'aggressore.
Questa configurazione ha reso particolarmente difficile rilevare attività dannose a livello di rete a causa degli strumenti e dei servizi legittimi coinvolti, afferma Microsoft in un rapporto giovedì.
Sebbene Microsoft non fornisca molti dettagli sul gadolinio a parte la sua longevità e obiettivi di interesse, l'istituto di ricerca Fraunhofer FKIE lo elenca sotto altri alias di varie società di sicurezza informatica: APT40, BRONZE MOHAWK, Gadolinio, Kryptonite Panda.
Rapporti precedenti di FireEye si riferivano al gruppo come APT40, TEMP.Periscope e TEMP.Jumper, sospettando che fosse un attore cinese di minacce di spionaggio informatico. In una ricerca pubblicata nel marzo 2018, la società afferma che la società di sicurezza informatica Proofpoint rintraccia questo hacker di spionaggio informatico come Leviathan.