Davide Santoro : 24 Marzo 2024 09:30
Il gruppo hacker APT noto come “Cloud Werewolf” ed attivo dal 2014 ha avviato una campagna di spearphishing rivolta ad organizzazioni russe e bielorusse. La campagna consiste principalmente nell’invio di email con allegati documenti di Microsoft Office relativi a temi di interesse, così da aumentare le probabilità che i dipendenti aprano i suddetti allegati.
Inoltre, il gruppo sembra perfettamente consapevole che, da un lato l’infrastruttura IT degli enti statali è spesso obsoleta e dall’altro il personale non è adeguatamente formato, il che consente di sfruttare anche vecchie vulnerabilità.
Questi sarebbero alcuni dei tools utilizzati dal gruppo:
SCONTO ESTREMO DEL 50% FINO AL 31 Dicembre sul corso Dark Web & Cyber Threat Intelligence in E-learning version
Il Dark Web e la Cyber Threat Intelligence rappresentano aree critiche per comprendere le minacce informatiche moderne. Tra ransomware, data breach e attività illecite, le organizzazioni devono affrontare sfide sempre più complesse per proteggere i propri dati e le infrastrutture. Il nostro corso “Dark Web & Cyber Threat Intelligence” ti guiderà attraverso i meccanismi e le strategie utilizzate dai criminali informatici, fornendoti competenze pratiche per monitorare, analizzare e anticipare le minacce.
Accedi alla pagina del corso condotto dall'Prof. Pietro Melillo sulla nostra Academy e segui l'anteprima gratuita.
Per un periodo limitato, potrai utilizzare il COUPON CTI-16253 che ti
darà diritto ad uno sconto del 50% sul prezzo di copertina del corso
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765.
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Ovviamente si tratta di tools molto noti ed assolutamente legittimi che vengono usati quotidianamente da migliaia di professionisti. Inoltre, inserendo i contenuti dannosi su un server remoto, spesso gli aggressori riescono a bypassare le deboli difese delle reti statali.
Viene così scaricato un file HTA contenente uno script Visual Basic e, per ottenere ulteriori file VBS dal server dei comandi, viene effettuata una richiesta GET al suo indirizzo. E’ interessante sottolineare anche come, secondo alcuni articoli in russo, il gruppo in questione sarebbe un gruppo national state di un paese non meglio identificato, insomma un gruppo un po’ come APT29 che invece sarebbe riconducibile al Cremlino.
Andiamo ora ad analizzare meglio l’aspetto tecnico, gli indicatori di compromissione e qualche esempio di documenti allegati.
Tra i file utilizzati troviamo questo file denominato “Путевки на лечение 2024.doc” che contiene informazioni su presunti voucher medici e resort, inclusi quelli destinati ai veterani militari
Un altro documento denominato “Приказ [redacted] № ВБ‑52фс.doc.” invece conteneva un presunto ordine da parte di un dipartimento federale:
Qualora la vittima apra il file allegato verrebbe recuperato un documento da una risorsa remota come questa dal quale viene recuperato un file RTF che consente lo sfruttamento della CVE-2017-11882.
Il corretto sfruttamento della vulnerabilità e l’esecuzione dello shellcode provocano quanto segue:
Lo script Visual Basic implementa le seguenti azioni:
Una volta decrittografato, il payload dannoso esegue le seguenti azioni:
Andiamo ora a riepilogare le informazioni su questo APT
Questi sono gli indicatori di compromissione attualmente disponibili per la campagna che abbiamo analizzato:
5af1214fc0ca056e266b2d093099a3562741122f32303d3be7105ce0c2183821
b4c0902a9fb29993bc7573d6e84547d0393c07e011f7b633f6ea3a67b96c6577
9d98bd1f1cf6442a21b6983c5c91c0c14cd98ed9029f224bdbc8fdf87c003a4b
serverop-parametrs[.]com
triger-working[.]com
web-telegrama[.]org
Andiamo ora a mettere in una tabella le TTP(tattiche, tecniche e procedure) utilizzate nell’attacco esaminato:
Tattica | Tecnica | Procedura |
Accesso iniziale | Phishing: Allegati in campagne di spearphishing | Invio di email di phishing con allegati dannosi |
Esecuzione | Comunicazione tra processi: Component Object Model | Utilizzo di componenti COM negli script VBS |
Sfruttamento per l’esecuzione client | Utilizza la vulnerabilità CVE-2017-11882 in Microsoft Office per eseguire shellcode | |
Esecuzione dell’utente: File malevolo | La vittima deve aprire un file malevolo per avviare il processo di compromissione | |
Interprete di comandi e scripting: Visual Basic | Utilizza script VBS per implementare le varie attività | |
Windows Management Instrumentation | Utilizza Windows Management Instrumentation | |
Persistenza | Boot o Logon Autostart Execution: Esecuzione di chiavi di registro/Startup Folder | Modifica la chiave di registro Run per collegarsi ad un sistema compromesso |
Evasione difensiva | Offuscamento di file o informazioni | Offusca il codice dello script, crittografa lo shellcode e il payload dannoso utilizzando XOR |
Deoffuscamento/Decodifica file o informazioni | Utilizza XOR per decrittografare shellcode e payload dannosi | |
Rimozione dell’indicatore: Eliminazione del file | Cancella il contenuto dei file aprendoli in modalità scrittura | |
Nasconde artefatti: attributi dei file NTFS | Utilizza flussi di dati NTFS alternativi | |
Iniezione del template | Carica i template da un server remoto | |
Esecuzione proxy binario del sistema: Mshta | Utilizza mshta per avviare file HTA dannosi | |
Scoperta del sistema | System Information Discovery | Ottiene informazioni sul sistema della vittima |
Comando e controllo | Protocollo di livello applicativo: Protocolli Web | Utilizza HTTPS per comunicare con i server |
Proxy: Internal Proxy | Può utilizzare un server proxy | |
Inserimento tools | Carica gli strumenti sul sistema infetto |
E’ importante sottolineare che lo spearphishing è una tecnica molto usata e che, come sempre, è molto importante puntare sulla formazione del proprio fattore umano sia mediante incontri di formazione che mediante la condivisione di articoli – più o meno tecnici a seconda del pubblico – che affrontano il fenomeno.
L’articolo in questione ha volutamente una doppia impronta essendo inizialmente molto discorsivo e, successivamente, molto tecnico in quanto mi sono prefissato un duplice obiettivo:
Per concludere e spiegare meglio l’ultimo concetto voglio prendere in prestito una frase di Sun Tzu:
“Se conosci il nemico e conosci te stesso, non devi temere il risultato di cento battaglie. Se conosci te stesso ma non il nemico, per ogni vittoria ottenuta subirai anche una sconfitta. Se non conosci né il nemico né te stesso, soccomberai in ogni battaglia.”
Copyright @ 2003 – 2024 RED HOT CYBER
PIVA 16821691009