I ricercatori di sicurezza hanno condiviso diverse prove relative a un nuovo gruppo APT particolarmente attivo nel contesto del cyberspionaggio.
Lo stesso, soprannominato Grayling da Symantec, è stato protagonista di una massiccia campagna negli scorsi quattro mesi, con vittime concentrate su territorio come Taiwan, Stati Uniti, Vietnam e isole del Pacifico.
I dati maggiormente presi di mira sembrano essere quelli relativi ad aziende manifatturiere, informatiche e biomediche. Stando agli esperti, Grayling sfrutta il sideloading DLL tramite l’API esportata SbieDll_Hook per caricare agenti malevoli di vario tipo.
Il gruppo in questione ha utilizzato NetSpy, uno strumento di tipo spyware ma legittimo, sfruttando anche la vulnerabilità CVE-2019-0803 per ottenere accesso ai privilegi di amministratore su Windows
Cyberspionaggio: Grayling combina strumenti propri con altri disponibili al pubblico
A descrivere nei dettagli come agisce Grayling sono gli esperti di Symantec “Altre attività post-sfruttamento eseguite da questi aggressori includono l’utilizzo di processi kill per chiudere tutti i processi elencati in un file chiamato processlist.txt e il download dello strumento di dumping delle credenziali disponibile pubblicamente Mimikatz“.
Gli stessi hanno poi aggiunto una ulteriore considerazione: “Anche se non osserviamo dati esfiltrati dalle macchine delle vittime, l’attività che vediamo e gli strumenti utilizzati indicano che la motivazione dietro questa attività è la raccolta di informazioni“.
La società di sicurezza ha affermato che il modus operandi del gruppo è abbastanza tipico dei gruppi APT odierni. Si parla, infatti di sinergie tra strumenti personalizzati e altri disponibili al pubblico. Agenti malevoli come Havoc e Cobalt Strike sono particolarmente utili e popolari perché presentano un’ampia gamma di funzionalità post-infezione.
“Spesso è più semplice, anche per gli aggressori più esperti, utilizzare strumenti esistenti come questo piuttosto che sviluppare strumenti personalizzati con funzionalità simili” ha poi aggiunto Symantec.
Anche se non vi sono prove inoppugnabili a riguardo, visto l’intensità di attacchi nei confronti di Taiwan e Stati Uniti, il gruppo potrebbe avere collegamenti diretti con il governo cinese.