SOC Prime Bias: Critico

12 Jan 2026 12:59 UTC

BlueDelta (APT28) Phishing delle Credenziali tramite Hosting Gratuito e Ngrok

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Segui
BlueDelta (APT28) Phishing delle Credenziali tramite Hosting Gratuito e Ngrok
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Sintesi

BlueDelta, un gruppo affiliato al GRU noto anche come APT28/Fancy Bear, ha condotto molteplici campagne di raccolta credenziali tra febbraio e settembre 2025. Le campagne hanno utilizzato servizi di hosting e tunneling gratuiti per ospitare pagine di accesso falsificate di Outlook, Google e Sophos VPN ed esfiltrare le credenziali acquisite. Gli esche includevano documenti PDF legittimi e un linguaggio specifico per la regione per aumentare la credibilità. L’operazione ha preso di mira enti energetici, di ricerca nucleare, governativi e accademici in Turchia, Macedonia del Nord e Uzbekistan.

Indagine

Il gruppo Insikt di Recorded Future ha raccolto oltre una dozzina di pagine di phishing ospitate su servizi quali Webhook.site, InfinityFree, Byet Internet Services e ngrok. JavaScript sulle pagine ha acquisito nomi utente, password e identificatori delle vittime, inviato beacon a webhook controllati dagli attaccanti, e successivamente ha reindirizzato le vittime ai portali autentici. Diverse varianti hanno riutilizzato codice e modificato i nomi delle variabili per ottimizzare la distribuzione. L’infrastruttura era di breve durata e ha sfruttato link accorciati come ShortURL.at.

Mitigazione

Blocca i domini noti di hosting e tunneling gratuiti, monitora il traffico in uscita verso i servizi di webhook, e applica l’autenticazione a due fattori su tutti gli account esposti esternamente. Educa gli utenti sulle pagine di phishing che imitano OWA, Google e portali VPN, specialmente quando sono allegati esche PDF. Implementa il filtraggio di rete per gli URL maligni noti e applica controlli di sicurezza delle email per rilevare link PDF sospetti.

Risposta

Allerta gli analisti SOC quando si osservano HTTP POST verso endpoint noti di webhook e quando vengono caricate pagine di raccolta credenziali. Quarantena la pagina malevola, isola gli account utente interessati, forza il reset delle password e rivedi i log per movimenti laterali. Conduci una caccia alle minacce per altre pagine che utilizzano la stessa infrastruttura e aggiorna di conseguenza le liste di blocco.

Flusso di Attacco

Esecuzione di Simulazione

Prerequisito: Il controllo pre-volo di Telemetria e Base deve essere superato.

Razionale: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente le TTP identificate e mirare a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.

  • Narrativa dell’Attacco & Comandi:

    1. Consegna iniziale del phishing: Un attaccante invia un’email di phishing contenente un URL corto che reindirizza al malevolo webhook.site pagina.
    2. Interazione della vittima: La vittima clicca sul link; il browser segue il reindirizzamento e emette una richiesta HTTP GET richiesta a https://webhook.site/e8ae3bbd-ab02-46b7-b84c-f5f4baa5d7c7.
    3. Pagina di cattura delle credenziali: La pagina ospita JavaScript che ruba le credenziali inserite e le invia tramite POST allo stesso URL del webhook, ma il proxy registra solo la richiesta iniziale GET, sufficiente ad attivare la regola.
    4. Per il test, emuliamo la vittima utilizzando il Invoke-WebRequest di PowerShell per richiedere l’esatto URL malevolo, riproducendo la stessa voce del log proxy.
  • Script di Test di Regressione:

    # -------------------------------------------------
    # Simulazione di Accesso al Sito Webhook BlueDelta (TC-20260109-9X3BZ)
    # -------------------------------------------------
    $maliciousUrls = @(
        "https://webhook.site/e8ae3bbd-ab02-46b7-b84c-f5f4baa5d7c7",
        "https://webhook.site/3791f8c0-1308-4c5b-9c82-0dc416aeb9c4"
    )
    
    foreach ($url in $maliciousUrls) {
        try {
            Write-Host "Richiesta URL malevolo: $url"
            Invoke-WebRequest -Uri $url -UseBasicParsing -Method GET -TimeoutSec 10 | Out-Null
            Write-Host "✅ Richiesta inviata."
        } catch {
            Write-Warning "Richiesta a $url fallita: $_"
        }
    }
  • Comandi di Pulizia:

    # Svuota la cache del proxy (se applicabile) per evitare voci residue
    net stop "Squid Service"
    net start "Squid Service"
    
    # Rimuove eventuali file temporanei creati dallo script (nessuno in questo caso)
    Write-Host "Pulizia completata."