Il Gruppo APT StrongPity sfrutta strumenti infettati da trojan, orari di lavoro e infrastrutture per estrapolare qualsiasi file o documento dal computer della vittima

redazione

I ricercatori di Bitdefender hanno recentemente scoperto che il gruppo APT (Advanced Persistent Threat) denominato StrongPity ha preso di mira vittime in Turchia e in Siria. Utilizzando la tattica del watering hole per infettare selettivamente le vittime e distribuendo un’infrastruttura di comando e controllo (C&C) a tre livelli per ostacolare le analisi investigative dell’attacco, il gruppo APT ha sfruttato strumenti molto diffusi , tra cui soluzioni per l’archiviazione, per il recovery, per la connessione remota, utility e persino software di sicurezza – per utilizzarli come cavalli di troia in modo da ottenere copertura su un’ampia gamma di azioni che le vittime potrebbero ricercare.

I dati raccolti durante le indagini su questo gruppo suggeriscono che gli aggressori sono interessati soprattutto alla comunità curda, collocando la minaccia in un contesto geopolitico caratterizzato da continui conflitti nella regione.

I campioni utilizzati in una delle campagne degli aggressori sembrano risalire a partire dal 1° ottobre 2019, in coincidenza con il lancio dell’offensiva turca nel nord-est della Siria, con nome in codice Operazione Peace Spring. Sebbene non vi siano prove dirette che suggeriscano che il gruppo APT StrongPity abbia operato a sostegno delle operazioni militari turche, il profilo della vittima, insieme alle date sui campioni analizzati, ne fanno un’interessante coincidenza.

Inoltre, tutti i file esaminati relativi alle applicazioni corrotte sembrano essere stati compilati dal lunedì al venerdì, durante il normale orario lavorativo 9:00-18:00. Questo rafforza la tesi che StrongPity potrebbe essere un team di sviluppatori sponsorizzati e pagati per la realizzazione di determinati “progetti”.

Le vittime vengono vagliate sulla base di un elenco $target, suggerendo che gli aggressori possono fornire la versione contaminata delle applicazioni “trojanizzate” se l’indirizzo IP della vittima corrisponde a quello trovato nel file, altrimenti verrebbe fornita una versione originale dell’applicazione.
Tuttavia, le indagini hanno rivelato che qualsiasi connessione valida riceverebbe il programma di installazione dannoso anziché quello legittimo.

Una volta che la vittima è stata compromessa, i componenti relativi alla persistenza, alle comunicazioni della rete di comando e controllo e alla ricerca di file vengono distribuiti sul computer della vittima. Sulla base delle istruzioni, il componente di esfiltrazione esegue un meccanismo di ricerca dei file responsabile del looping sulle unità alla ricerca di file con estensioni specifiche. Se trova tali file, questi vengono inseriti in un archivio zip temporaneo. Vengono poi divisi in file crittografati .sft nascosti, inviati al server C&C e infine cancellati dal disco per coprire tutte le tracce dell’esfiltrazione.

Per un’indagine più dettagliata sull’infrastruttura analizzata dietro l’APT StrongPity, consultare il whitepaper. Un elenco aggiornato e completo degli indicatori di compromissione è disponibile per gli utenti della soluzione Bitdefender Advanced Threat Intelligence.