BlueDelta (APT28) Phishing delle Credenziali tramite Hosting Gratuito e Ngrok
Detection stack
- AIDR
- Alert
- ETL
- Query
Sintesi
BlueDelta, un gruppo affiliato al GRU noto anche come APT28/Fancy Bear, ha condotto molteplici campagne di raccolta credenziali tra febbraio e settembre 2025. Le campagne hanno utilizzato servizi di hosting e tunneling gratuiti per ospitare pagine di accesso falsificate di Outlook, Google e Sophos VPN ed esfiltrare le credenziali acquisite. Gli esche includevano documenti PDF legittimi e un linguaggio specifico per la regione per aumentare la credibilità. L’operazione ha preso di mira enti energetici, di ricerca nucleare, governativi e accademici in Turchia, Macedonia del Nord e Uzbekistan.
Indagine
Il gruppo Insikt di Recorded Future ha raccolto oltre una dozzina di pagine di phishing ospitate su servizi quali Webhook.site, InfinityFree, Byet Internet Services e ngrok. JavaScript sulle pagine ha acquisito nomi utente, password e identificatori delle vittime, inviato beacon a webhook controllati dagli attaccanti, e successivamente ha reindirizzato le vittime ai portali autentici. Diverse varianti hanno riutilizzato codice e modificato i nomi delle variabili per ottimizzare la distribuzione. L’infrastruttura era di breve durata e ha sfruttato link accorciati come ShortURL.at.
Mitigazione
Blocca i domini noti di hosting e tunneling gratuiti, monitora il traffico in uscita verso i servizi di webhook, e applica l’autenticazione a due fattori su tutti gli account esposti esternamente. Educa gli utenti sulle pagine di phishing che imitano OWA, Google e portali VPN, specialmente quando sono allegati esche PDF. Implementa il filtraggio di rete per gli URL maligni noti e applica controlli di sicurezza delle email per rilevare link PDF sospetti.
Risposta
Allerta gli analisti SOC quando si osservano HTTP POST verso endpoint noti di webhook e quando vengono caricate pagine di raccolta credenziali. Quarantena la pagina malevola, isola gli account utente interessati, forza il reset delle password e rivedi i log per movimenti laterali. Conduci una caccia alle minacce per altre pagine che utilizzano la stessa infrastruttura e aggiorna di conseguenza le liste di blocco.
Flusso di Attacco
Rilevamenti
Distribuzione Possibile di Malware tramite Endpoint WebsiteHook (via proxy)
Visualizza
Distribuzione Possibile di Malware tramite Endpoint WebsiteHook (via dns)
Visualizza
Servizio di Tunneling Porta Possibile (via dns)
Visualizza
Infiltrazione / Esfiltrazione / C2 di Dati Possibile tramite Servizi / Strumenti di Terze Parti (via proxy)
Visualizza
IOC (DestinationIP) per rilevare: BlueDelta collegato al GRU evoluta in raccolta credenziali
Visualizza
IOC (SourceIP) per rilevare: BlueDelta collegato al GRU evoluta in raccolta credenziali
Visualizza
Rilevamento delle Campagne di Raccolta Credenziali di BlueDelta tramite Sito Webhook [Webserver]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il controllo pre-volo di Telemetria e Base deve essere superato.
Razionale: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente le TTP identificate e mirare a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.
-
Narrativa dell’Attacco & Comandi:
- Consegna iniziale del phishing: Un attaccante invia un’email di phishing contenente un URL corto che reindirizza al malevolo
webhook.sitepagina. - Interazione della vittima: La vittima clicca sul link; il browser segue il reindirizzamento e emette una richiesta HTTP GET richiesta a
https://webhook.site/e8ae3bbd-ab02-46b7-b84c-f5f4baa5d7c7. - Pagina di cattura delle credenziali: La pagina ospita JavaScript che ruba le credenziali inserite e le invia tramite POST allo stesso URL del webhook, ma il proxy registra solo la richiesta iniziale GET, sufficiente ad attivare la regola.
- Per il test, emuliamo la vittima utilizzando il
Invoke-WebRequestdi PowerShell per richiedere l’esatto URL malevolo, riproducendo la stessa voce del log proxy.
- Consegna iniziale del phishing: Un attaccante invia un’email di phishing contenente un URL corto che reindirizza al malevolo
-
Script di Test di Regressione:
# ------------------------------------------------- # Simulazione di Accesso al Sito Webhook BlueDelta (TC-20260109-9X3BZ) # ------------------------------------------------- $maliciousUrls = @( "https://webhook.site/e8ae3bbd-ab02-46b7-b84c-f5f4baa5d7c7", "https://webhook.site/3791f8c0-1308-4c5b-9c82-0dc416aeb9c4" ) foreach ($url in $maliciousUrls) { try { Write-Host "Richiesta URL malevolo: $url" Invoke-WebRequest -Uri $url -UseBasicParsing -Method GET -TimeoutSec 10 | Out-Null Write-Host "✅ Richiesta inviata." } catch { Write-Warning "Richiesta a $url fallita: $_" } } -
Comandi di Pulizia:
# Svuota la cache del proxy (se applicabile) per evitare voci residue net stop "Squid Service" net start "Squid Service" # Rimuove eventuali file temporanei creati dallo script (nessuno in questo caso) Write-Host "Pulizia completata."