Operation CuckooBees: furto di proprietà intellettuali

Operation CuckooBees: furto di proprietà intellettuali

Un'imponente attività di cyberspionaggio, rimasta nascosta da quasi tre anni, ha permesso al gruppo cinese Winnti di rubare centinaia di GB di dati.
Un'imponente attività di cyberspionaggio, rimasta nascosta da quasi tre anni, ha permesso al gruppo cinese Winnti di rubare centinaia di GB di dati.

I ricercatori di Cybereason hanno scoperto una serie di attacchi effettuati dal gruppo cinese Winnti contro diverse aziende in Europa, Asia e Stati Uniti. Le attività dei cybercriminali sono rimaste nascoste per quasi tre anni. Lo scopo dell’operazione di cyberspionaggio è rubare proprietà intellettuali e altri dati sensibili. Sul mercato ci sono numerose soluzioni di sicurezza che permettono di proteggere tutti i dispositivi aziendali. Una delle migliori è GravityZone di Bitdefender.

Operation CuckooBees: rubati centinaia di GB

Operation CuckooBees è il nome assegnato dai ricercatori di Cybereason alle intrusioni effettuate dai cybercriminali cinesi dal 2019. Il gruppo Winnti (noto anche come APT 41, BARIUM e Blackfly) ha utilizzato varie tecniche avanzate per rubare centinaia di GB di informazioni, tra cui proprietà intellettuali e altri segreti industriali. I cybercriminali hanno inoltre raccolto dati che possono essere sfruttati in futuro, come l’architettura della rete, le email dei dipendenti e le credenziali degli account. Nell’immagine si può vedere la catena di infezione.

Operation CuckooBees

L’intrusione nei sistemi aziendali avviene mediante exploit che sfruttano le vulnerabilità delle piattaforme ERP (Enterprise Resource Planning). Viene quindi stabilita la persistenza con una Webshell, sfruttando il protocollo WinRM, un rootkit e i servizi IKEEXT e PrintNotify di Windows. A questo punto inizia la fase di “ricognizione”, ovvero la raccolta di varie informazioni sul server ERP e la rete interna.

Il passo successivo è rappresentato dal dumping delle credenziali, seguito dalla pianificazione di altre attività tramite l’apposita utilità di Windows. I cybercriminali avviano quindi la fase finale, ovvero la raccolta dei dati in una archivio RAR e l’invio al server remoto. Ciò viene effettuato con un arsenale di sei malware che sono strettamente interconnessi tra loro.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione.

Fonte: Cybereason
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 5 mag 2022
Link copiato negli appunti