Sintesi

Il team di analisti del Google Threat Intelligence ha documentato una recente campagna di cyber-spionaggio condotta da un attore malevolo avanzato. La minaccia risulta indirizzata verso istituti di ricerca medica e strutture del settore sanitario, sia pubbliche che private. L’attività ostile sembrerebbe sfruttare l’esposizione sulla rete pubblica di server che eseguono l’applicazione web REDCap (Research Electronic Data Capture). Sebbene i casi analizzati riguardino prevalentemente il contesto nordamericano, evidenze indicano la presenza di molteplici istanze esposte sul territorio europeo e nazionale.

Tipologia

• Information Leakage

Descrizione

Nel dettaglio, il software REDCap (Research Electronic Data Capture) è una piattaforma web per la gestione di database e survey, ampiamente utilizzata nel settore sanitario e accademico per la pianificazione, la raccolta e la strutturazione di dati relativi a studi clinici e ricerche scientifiche.

Gli attaccanti sembrerebbero aver eseguito attività di ricognizione e scansione automatizzata al fine di individuare i server che ospitano tale applicazione e che risultano esposti direttamente su Internet, con particolare attenzione a versioni legacy vulnerabili della piattaforma; secondo Google Threat Intelligence Group, il vettore iniziale di compromissione non è stato tuttavia confermato con certezza.

Una volta stabilito l’accesso iniziale al server REDCap, l’attaccante avrebbe condotto attività di ricognizione interna volte alla raccolta di credenziali di database e di account di servizio; inoltre, è stata osservata la distribuzione di una web shell denominata help.php , utilizzata per mantenere la persistenza e fungere da uploader all’interno dell’applicazione REDCap.

In una fase successiva, l’attore avrebbe provveduto alla distribuzione di un payload malevolo personalizzato, identificato come INFINITERED . Tale malware agisce a livello applicativo manipolando opportunamente file legittimi di REDCap al fine di garantire la persistenza sul sistema nel tempo, anche in occasione di futuri aggiornamenti della piattaforma.

Le principali peculiarità del codice includono un modulo deputato all’intercettazione degli upgrade di REDCap, un componente di credential harvesting volto a catturare username e password inserite nelle pagine di login, nonché una backdoor progettata per ricevere ed eseguire comandi arbitrari impartiti da remoto tramite HTTP cookies.

Tale backdoor consente l’esecuzione di comandi shell, il caricamento e il download di file, l’esecuzione di query SQL arbitrarie, il recupero delle credenziali sottratte, la cancellazione delle relative tracce nei record raccolti e l’acquisizione di informazioni di sistema e di database.

Per quanto esposto, l’eventuale compromissione di tale software comporterebbe un elevato rischio di esfiltrazione di informazioni contenenti dati sensibili correlati a ricerche cliniche, progetti scientifici e attività di interesse strategico nei settori medicale, AI, cyber e difesa.

Inoltre, l’impatto potrebbe estendersi ai sistemi interni e agli ambienti di posta e produttività enterprise eventualmente integrati, all’interno dei quali sono state osservate modifiche non autorizzate alle content compliance rules , finalizzate al monitoraggio e all’inoltro di email verso account controllati dall’attaccante.

In base ai privilegi associati alle credenziali compromesse e all’utenza che esegue il servizio web, tale scenario può abilitare eventuali ulteriori accessi non autorizzati ai sistemi interni e potenziali movimenti laterali verso infrastrutture di rete dell’organizzazione bersaglio.

Prodotti e versioni affette

REDCap (Research Electronic Data Capture) – Vanderbilt University, tutte le versioni precedenti che non implementano le patch di sicurezza più recenti rilasciate dal consorzio REDCap.

Azioni di mitigazione

Gli utenti e le organizzazioni possono prevenire eventuali attacchi valutando l’implementazione delle seguenti misure preventive:

• abilitare la verifica in 2 passaggi (2SV) resistente al phishing per gli account amministrativi enterprise, inclusi quelli gestiti tramite Identity Provider (IdP) di terze parti;
• valutare l’iscrizione degli account altamente sensibili all’Advanced Protection Program per incrementare le difese contro malware e phishing;
• configurare le Device Bound Session Credentials (DBSC) con Context-Aware Access (CAA) su dispositivi Windows per gli account critici, impedendo il dirottamento delle sessioni (session hijacking);
• abilitare e analizzare i registri di controllo per rilevare e generare alert su modifiche non autorizzate ai dati;
• definire regole di Data Loss Prevention per bloccare o segnalare la condivisione esterna di informazioni sensibili;
• verificare i log amministrativi e le regole di content compliance della posta elettronica per identificare modifiche non autorizzate (es. inoltri e-mail silenti).
• integrare i log di Workspace nella pipeline del SIEM aziendale (es. Google SecOps) per centralizzare il monitoraggio;
• attivare il Chrome Enterprise Password Leak Detection per ricevere alert sull’utilizzo di credenziali potenzialmente compromesse;
• aggiornare le installazioni REDCap all’ultima versione e rimuovere completamente le versioni obsolete installate side-by-side.

Inoltre si consiglia di valutare la verifica e l’implementazione degli IoC e delle regole YARA rese disponibili da Google presenti al link nella sezione Riferimenti.

Per ulteriori dettagli tecnici, misure di hardening e artefatti di detection, si rimanda al report di Google Threat Intelligence Group (GTIG) richiamato nella sezione “Riferimenti”.