di Pierguido Iezzi

L’APT Lebanese Cedar fa breccia in centinaia di server per azioni di cyber espionage

L’APT Libanese Lebanese Cedar ha compromesso con il suo malware di ultima generazione almeno 250 server pubblici da inizio 2020. Il gruppo ha infatti aggiunto nuove funzionalità al suo webshell chiamato “Caterpillar” e al suo RAT, “Explosive RAT”, entrambi utilizzati per compromettere server pubblici a fini di cyber espionage. Le società finite nel mirino di tale attività sono localizzate in diversi Paesi fra cui: Regno Unito, Egitto, Giordania e Israele. Secondo gli esperti di cybersecurity di ClearSky Security, sono molte le compagnie colpite e i danni sarebbero rilevanti a causa del furto di dati sensibili su un periodo di diversi mesi (in alcuni casi addirittura anni).

Come funziona l’ultima versione di Explosive RAT

L’ultimo e quarto update di Explosive RAT è stato utilizzato per violare versioni senza patch dei server Oracle (CVE-2012-3152) e Atlassian (CVE-2019-3396 e CVE-2019-11581). È stato piuttosto agevole ricondurre l’uso di malware al gruppo libanese, essendo il solo a fare uso di questo codice malevolo. Tale malware è stato elaborato con funzionalità specifiche rispetto alle versioni precedenti, risalenti nei primi casi all’ormai lontano 2015. Si tratta di funzioni anti-debugging e di cifratura delle comunicazioni fra la macchina violata e il server command and control (C2). Il RAT sfrutta diverse tecniche elusive ed evasive per evitare il rilevamento e ottenere la persistenza nel sistema informatico colpito, quali l’offuscamento, la cifratura delle comunicazioni e l’utilizzo di un DLL separato per l’attività riconducibile all’API.

L’arsenale del malware

Il nuovo arsenale di Explosive RAT presenta inoltre nuove armi da utilizzare contro i target come keylogging (ovvero la funzione che permette di ricostruire le parole digitate attraverso la tastiera tenendo nota dei tasti schiacciati), cattura degli screenshot ed esecuzioni di comandi. Il malware ha capacità di raccolta dati attive e passive: ovvero è in grado di raccogliere dati ritrovati sulle macchine compromesse e anche ricercare dati specifici on-demand. Sono anche previste funzioni ulteriori quali il machine fingerprinting (raccolta di dati specifici e univoci sulla macchina violata), monitoraggio dell’uso di memoria per assicurare un’esecuzione del codice da remoto sicura, a pieni poteri e impossibile da rilevare.

L’importanza della web shell Caterpillar

L’arsenale aggiornato di Lebanese Cedar sfrutta anche una seconda versione del web shell Caterpillar, per la raccolta ad ampio spettro di dati di rete e per l’installazione di file su specifici sistemi. Il gruppo di cyber criminali solitamente attacca i server Internet attraverso una web shell customizzata (proprio Caterpillar), variante di quella open-source chiamata ‘ASPXspy’. Utilizzando tale elemento, gli aggressori lasciano un’impronta sul server e sulla rete interna, per poi muoversi lateralmente attraverso l’utilizzo di altri tool. Caterpillar ha lo scopo di cercare dati ad alto valore potenziale, installare file di configurazione di server e anche accedere a credenziali quali password e nomi utente. I dati così raccolti vengono poi estratti dall’APT al server C2 attraverso servizi VPN quali NordVPN o ExpressVPN. Se nel 2015 e negli anni precedenti Lebanese Cedar aveva applicato un set di TTP (tactic, technique e procedure) basata su Explosive RAT, ora è Caterpillar lo strumento prediletto.

Chi è Lebanese Cedar e quali sono i collegamenti con Hezbollah

Lebanese Cedar, noto anche come “Volatile Lebanese Cedar,” è un gruppo del cybercrime che si è fatto notare per la prima volta nel 2012 ed è collegato alla cyber unit di Hezbollah. Tale circostanza spiegherebbe la spiccata tendenza a scegliere obiettivi su base politica o ideologica. Hezbollah è infatti un partito politico e un gruppo militante molto importante in Libano. Il suo approccio operativo è altamente evasivo, contraddistinto da una attenta ricerca dei target e nella gestione delle attività. L’APT avrebbe portato avanti pratiche su direzione di gruppi politici libanesi e avrebbe ricevuto sovvenzioni dirette da enti statali o parastatali. Dal 2012 a oggi sono state davvero tante le vittime. Ma, se si vuole cercare un fil rouge nell’attività criminale, sembra esservi una predilezione verso i settori delle telecomunicazioni dell’IT in vari Paesi come Egitto, Israele, Giordania, Autorità palestinese, Regno Unito e USA. A proposito il gruppo sfrutterebbe a proprio vantaggio a anche tool customizzati o creati da gruppi iraniani vicini dal punto di vista politico, come gli hacktivist di ‘ITSecTeam’ e ‘Persian Hacker.’

Quali contromisure adottare?

Dato che il gruppo oggetto di questo articolo sfrutta principalmente vulnerabilità già esistenti per accedere inizialmente nei sistemi informatici target, l’installazione regolare di patch è il primo e più efficace meccanismo di difesa contro offensive di questo tipo. I 250 sistemi informatici compromessi da quest’ultima offensiva confermano l’importanza del patching, specialmente in un contesto di cooperazione fra parti, aziende e agenzie governative. Come sempre, la miglior protezione è l’applicazione costante di buone pratiche di cyber igiene, una regolare attività di Vulnerability assessment, installazione di patch ove possibile e controllare eventuali modifiche nell’infrastruttura informatica fra una scansione e l’altra.

Non abbassiamo la guardia!