Recentemente, un gruppo di hacker allineati alla Cina ha sfruttato una vulnerabilità nei prodotti di sicurezza di rete di Check Point per distribuire il malware ShadowPad e il ransomware NailaoLocker. Questi attacchi hanno preso di mira principalmente le organizzazioni europee nel settore sanitario. La campagna, denominata Green Nailao, è stata scoperta da Orange Cyberdefense CERT e ha coinvolto l'uso di una falla di sicurezza nel gateway di rete di Check Point, identificata come CVE-2024-24919, che è stata poi corretta. Gli attacchi sono stati registrati tra giugno e ottobre 2024.

Gli hacker hanno utilizzato tecniche di hijacking dell'ordine di ricerca delle DLL per distribuire ShadowPad e PlugX, due malware spesso associati a intrusioni mirate di origine cinese. L'accesso iniziale ottenuto tramite l'exploit di Check Point ha permesso agli attori di minaccia di recuperare le credenziali degli utenti e connettersi alla VPN utilizzando un account legittimo. Successivamente, i criminali hanno eseguito una ricognizione della rete e movimenti laterali attraverso il protocollo RDP per ottenere privilegi elevati. Hanno poi eseguito un binario legittimo, "logger.exe", per caricare una DLL dannosa che funge da caricatore per una nuova versione di ShadowPad.

Distribuzione di PlugX e ShadowPad

In precedenza, attacchi simili erano stati rilevati per distribuire PlugX, utilizzando tecniche di caricamento laterale delle DLL con un eseguibile di McAfee. ShadowPad è un malware venduto privatamente, usato esclusivamente da attori di spionaggio cinesi dal 2015. La variante identificata presenta avanzate misure di offuscamento e anti-debug, stabilendo comunicazioni con un server remoto per creare un accesso persistente ai sistemi delle vittime.

Ci sono prove che gli attori di minaccia abbiano cercato di esfiltrare dati accedendo al file system e creando archivi ZIP. Gli attacchi culminano con l'uso della Strumentazione di Gestione Windows (WMI) per trasmettere tre file, incluso un eseguibile legittimo firmato da Beijing Huorong Network Technology Co., Ltd, un caricatore denominato NailaoLoader e il ransomware NailaoLocker. Il file DLL dannoso viene caricato tramite "usysdiag.exe" per decriptare e avviare l'esecuzione di NailaoLocker, un ransomware basato su C++ che cifra i file e richiede un pagamento in bitcoin.

Caratteristiche di NailaoLocker

NailaoLocker è considerato un ransomware relativamente semplice e mal progettato, non progettato per garantire una crittografia completa. Non scansiona le condivisioni di rete, né interrompe servizi o processi che potrebbero impedire la crittografia di file importanti. Non verifica nemmeno se viene eseguito il debug.

Orange ha attribuito l'attività a un attore di minaccia allineato alla Cina, citando l'uso dell'impianto ShadowPad, le tecniche di caricamento laterale delle DLL e il fatto che schemi simili di ransomware siano stati attribuiti a un altro gruppo di minacce cinese noto come Bronze Starlight. Inoltre, l'uso di "usysdiag.exe" per caricare i payload successivi è stato osservato in attacchi condotti da un gruppo di intrusioni legato alla Cina tracciato da Sophos come Cluster Alpha.