Initial Access Broker a caccia di credenziali ed exploit da rivendere

Nelle ultime settimane sono state descritte attività associabili a diversi Initial Access Broker (IAB). Questi criminali informatici hanno come principale obiettivo quello di procurarsi credenziali di accesso ai sistemi o exploit per vulnerabilità, al fine di rivenderli. Fra i compratori possono esserci altri criminali informatici, ma anche realtà state-sponsored.

UNC5174 opererebbe per contro del governo cinese

UNC5174 è un avversario cinese che sembrerebbe operare come Initial Access Broker per conto del Ministero della Sicurezza di Stato della Cina.

UNC5174 è ritenuto l’autore di attacchi, avvenuti fra ottobre e novembre 2023 e a febbraio 2024, contro istituti di ricerca e istruzione del Sudest asiatico e degli Stati Uniti, aziende di Hong Kong, enti di beneficenza e ONG, oltre a entità governative degli Stati Uniti e del Regno Unito.

Gli analisti lo hanno associato ad un individuo che utilizza il nickname Uteus, un ex appartenente al collettivo di hacktivisti cinesi Dawn Calvary che sarebbe correlato ad altre realtà underground come Genesis day/Xiaoqiying e Teng Snake.

UNC5174 avrebbe sfruttato nelle proprie offensive varie vulnerabilità, fra le quali CVE-2024-1709 di ConnectWise ScreenConnect, CVE-2023-46747 di F5 BIG-IP, CVE-2023-22518 di Atlassian Confluence, CVE-2022-0185 del kernel di Linux e CVE-2022-30525 dei firewall Zyxel. Inoltre, sarebbe l’autore di un attacco contro appliance F5 BIG-IP sulle quali sarebbe riuscito a creare account con privilegi amministrativi.

Il loader Latrodectus è presente nell’arsenale di diversi broker

Nel novembre 2023, ricercatori di sicurezza hanno identificato un nuovo loader, chiamato Latrodectus, che sarebbe stato sfruttato da almeno due diversi IAB.

Latrodectus dispone di funzionalità di infostealer, è in grado di lanciare eseguibili ed eseguire comandi sul sistema colpito. È considerato un’evoluzione di IcedID, un malware identificato per la prima volta nel 2017, originariamente classificato come un trojan bancario modulare progettato per rubare informazioni finanziarie. Nel corso del tempo, IcedID è diventato più sofisticato, implementando capacità di elusione della detection ed esecuzione di comandi. In particolare, negli ultimi anni, ha agito come un loader di altri tipi di minacce, compresi ransomware.

Latrodectus è stato tracciato per la prima volta nell’ambito di un’offensiva associata all’avversario TA577. Quest’ultimo è un Initial Access Broker noto per aver sfruttato il malware Pikabot in campagne che hanno colpito anche l’Italia e come prolifico distributore di Qakbot, fino a che Operation Duck Hunt, coordinata dall’FBI, non ne ha smantellato l’infrastruttura.

TA577 ha utilizzato Latrodectus in almeno tre occasioni, nel novembre 2023, per poi tornare a PikaBot. Da metà gennaio 2024 i ricercatori hanno osservato che Latrodectus veniva impiegato quasi esclusivamente da un altro avversario, denominato TA578.

TA547 ha colpito in Germania

Un altro IAB, fra quelli descritti più di recente, è TA547, che ha preso di mira organizzazioni tedesche operanti in vari settori nell’ambito di una campagna di phishing finalizzata alla distribuzione dell’infostealer as-a-service Rhadamanthys.

Una particolarità rilevata dagli analisti in questa operazione è che Rhadamanthys viene decodificato e caricato in memoria attraverso uno script PowerShell che si sospetta sia stato creato con l’intelligenza artificiale, utilizzando un LLM (Large Language Model) come ChatGPT, Gemini o CoPilot.

In passato, TA547 ha operato in diversi Paesi, tra cui Spagna, Svizzera, Austria e Stati Uniti. A partire dal 2023, ha iniziato a distribuire con maggiore frequenza il RAT NetSupport, ma occasionalmente ha sfruttato anche altri payload, tra cui StealC e Lumma Stealer (due infostealer con funzionalità simili a Rhadamanthys).

Focus On è una serie di approfondimenti su temi e dati analizzati dal team di esperti del Cyber Intelligence Operations Center di TS-Way. Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. Le attività del Centro sono finalizzate a produrre informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici, che consentono alle organizzazioni di valutare gli scenari di rischio, e a fornire assistenza in caso di incidente informatico.