A marzo 2018 i prodotti Kaspersky Lab hanno individuato la campagna APT LuckyMouse, il cui obiettivo era un data center nazionale in Asia centrale e la compromissione di risorse governative.
Attraverso il data center, gli attaccanti hanno avuto accesso a vari siti web ufficiali; qui hanno iniettato codici JavaScript malevoli per condurre attacchi “watering hole”. Gli utenti sono stati di conseguenza reindirizzati a domini dannosi.
LuckyMouse è una campagna APT di lingua cinese, nota anche come EmissaryPanda e APT27. Secondo i ricercatori, è stata molto attiva di recente; tra i suoi principali obiettivi, attacchi watering hole su siti web e organizzazioni governative.
Fin dallo scorso dicembre, LuckyMouse ha sfruttato la vulnerabilità di Microsoft Office Equation Editor (CVE-2017-11882), anche se questo particolare exploit non è stato rilevato in questo ultimo attacco.
I ricercatori ritengono, invece, che la campagna APT possa aver probabilmente utilizzato un precedente “watering hole” per infettare i dipendenti del data center.
I ricercatori di Kaspersky Lab hanno scoperto che, in particolare per questa campagna, LuckyMouse ha hackerato il router Mikrotik con un firmware obsoleto per l’elaborazione delle richieste HTTP del malware.
Inoltre hanno scoperto che il Trojan HyperBro è stato utilizzato per il controllo remoto sui server, ovvero un Trojan identificato in precedenza anche nel caso di altri attacchi da parte di attori di lingua cinese.
Le versioni di Trojan rilevate in questa campagna sono state compilate a dicembre 2017 e gennaio 2018.
“Il fatto che i soggetti abbiano scelto un obiettivo come questo è molto interessante. Per prima cosa, il data center stesso è una fonte di informazioni preziose. In secondo luogo, e in questo caso in particolare, il data center funziona anche da host per siti web governativi; gli attaccanti potrebbero comprometterlo anche per ulteriori attacchi watering hole per i propri obiettivi”, commenta Denis Legezo, Senior Security Researcher del Global Research and Team di Kaspersky Lab (GReAT).
I prodotti Kaspersky Lab rilevano i diversi oggetti utilizzati in questa campagna fornendo i seguenti responsi: Trojan.Win32.Generic, Trojan-Downloader.Win32.Upatre e Backdoor.Win32.HyperBro.