Attacco informatico del gruppo APT28 utilizzando il programma maligno CredoMap_v2 (CERT-UA#4622)
Segui
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
APT28 ha condotto un’operazione di phishing che ha distribuito un archivio RAR protetto da password chiamato UkrScanner.rar. All’interno dell’archivio vi era un eseguibile autoestraente (SFX) che installava CredoMap_v2. Il malware ruba ed esfiltra le credenziali tramite HTTP POST verso un’infrastruttura controllata dall’attaccante ospitata sulla piattaforma Pipedream. L’incidente è stato rivelato da CERT-UA (CERT nazionale dell’Ucraina).
Indagine
CERT-UA ha ricevuto un messaggio sospetto che impersonava la propria organizzazione e conteneva l’allegato RAR protetto da password. L’analisi del payload SFX ha rivelato il binario CredoMap_v2 e la sua routine di esfiltrazione delle credenziali basata su HTTP. Gli analisti hanno tracciato il traffico in uscita verso eo2mxtqmeqzafqi.m.pipedream.net e 69.16.243.33. Basandosi sugli strumenti e sull’infrastruttura, l’attività è stata attribuita al noto gruppo di minacce APT28.
Mitigazione
CERT-UA ha bloccato il dominio malevolo di Pipedream e l’indirizzo IP associato. È stato consigliato agli utenti di considerare gli archivi protetti da password come ad alto rischio e di validare l’identità del mittente tramite canali affidabili. Si raccomanda di prevenire l’esecuzione di eseguibili sconosciuti utilizzando controlli del sistema operativo e politiche di sicurezza degli endpoint.
Risposta
Formare gli utenti a riconoscere il phishing e a confermare i mittenti, specialmente quando gli allegati sono protetti da password. Rafforzare il filtraggio delle email per archivi ed eseguibili sospetti e bloccare l’infrastruttura ostile nota. Monitorare il traffico HTTP in uscita per richieste POST inaspettate verso domini non affidabili e indagare prontamente su eventuali corrispondenze.
“graph TB %% Class definitions classDef action fill:#99ccff classDef file fill:#ffcc99 classDef malware fill:#ff9999 classDef service fill:#ccccff classDef data fill:#ccffcc %% Nodes email_phishing[“<b>Azione</b> – <b>T1566.001 Phishing</b><br /><b>Nome</b>: Allegato Spearphishing<br /><b>Dettaglio</b>: Spoofing email di CERT-UA con RAR protetto da password”] class email_phishing action archive_rar[“<b>File</b> – <b>Nome</b>: UkrScanner.rar<br /><b>Tipo</b>: Archivio RAR protetto da password<br /><b>Tecnica</b>: T1027.015 Compressione”] class archive_rar file sfx_payload[“<b>Malware</b> – <b>Nome</b>: CredoMap_v2 (SFX)<br /><b>Tecnica</b>: T1027.009 Payload Incorporato”] class sfx_payload malware execution[“<b>Azione</b> – <b>T1204.002 Esecuzione Utente</b><br /><b>Dettaglio</b>: L’utente apre il RAR, estrae il SFX, che viene eseguito”] class execution action credential_capture[“<b>Azione</b> – <b>T1056.003 Captura di Input</b><br /><b>Metodo</b>: Cattura delle credenziali tramite portale web”] class credential_capture action web_service[“<b>Servizio</b> – <b>Endpoint</b>: eo2mxtqmeqzafqi.m.pipedream.net<br /><b>Tecnica</b>: T1567 Esfiltrazione tramite Servizio Web”] class web_service service exfiltrated_data[“<b>Dati</b> – <b>Tipo</b>: Credenziali rubate<br /><b>Uso Potenziale</b>: T1078 Account Validi”] class exfiltrated_data data privileged_use[“<b>Azione</b> – <b>T1078 Account Validi</b><br /><b>Impatto</b>: Utilizzo delle credenziali rubate per accesso privilegiato”] class privileged_use action %% Connections email_phishing u002du002d>|consegna| archive_rar archive_rar u002du002d>|contiene| sfx_payload sfx_payload u002du002d>|esegue come parte di| execution execution u002du002d>|cattura credenziali tramite| credential_capture credential_capture u002du002d>|invio dati a| web_service web_service u002du002d>|riceve| exfiltrated_data exfiltrated_data u002du002d>|abilita| privileged_use “
Flusso di Attacco
Rilevazioni
Accesso iniziale sospetto di APT28 rilevato tramite file associati (via file_event)
Visualizza
Uso sospetto della libreria SQLite.Interop (via image_load)
Visualizza
IOC (HashSha256) da rilevare: Cyberattacco del gruppo APT28 utilizzando il programma malevolo CredoMap_v2 (CERT-UA#4622)
Visualizza
IOC (HashMd5) da rilevare: Cyberattacco del gruppo APT28 utilizzando il programma malevolo CredoMap_v2 (CERT-UA#4622)
Visualizza
IOC (HashSha1) da rilevare: Cyberattacco del gruppo APT28 utilizzando il programma malevolo CredoMap_v2 (CERT-UA#4622)
Visualizza
IOC (SourceIP) da rilevare: Cyberattacco del gruppo APT28 utilizzando il programma malevolo CredoMap_v2 (CERT-UA#4622)
Visualizza
IOC (Emails) da rilevare: Cyberattacco del gruppo APT28 utilizzando il programma malevolo CredoMap_v2 (CERT-UA#4622)
Visualizza
IOC (DestinationIP) da rilevare: Cyberattacco del gruppo APT28 utilizzando il programma malevolo CredoMap_v2 (CERT-UA#4622)
Visualizza
Richieste POST HTTP sospette alla piattaforma Pipedream [Connessione di rete Windows]
Visualizza
Esecuzione del malware CredoMap_v2 dai file SFX [Creazione processi Windows]
Visualizza
Esecuzione simulazione
Requisito: Il controllo pre-volo di telemetria e baseline deve essere superato.
Razionale: Questa sezione dettagli l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e il narrative DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.
-
Narrativa d’attacco e comandi:
Un operatore APT28 riceve un’email di phishing contenente un archivio RAR protetto da password. All’interno, c’è un eseguibile autoestraente (SFX) chiamatoUkrScanner.exe. Dopo aver estratto l’archivio sulla macchina della vittima, l’operatore esegue lo stub SFX, che rilascia ed esegue il malware CredoMap_v2. L’esecuzione diUkrScanner.execrea un evento di creazione di processo che corrisponde alla regola di rilevamento.Passi di simulazione (eseguiti sull’host di test):
- Creare un eseguibile fittizio chiamato
UkrScanner.exe(copia dipowershell.exeper sicurezza). - Avviare l’eseguibile fittizio per simulare l’esecuzione del file SFX da parte dell’attaccante.
- Creare un eseguibile fittizio chiamato
-
Script di test di regressione:
# ============================== # Simulazione dell'esecuzione di CredoMap_v2 da SFX (UkrScanner.exe) # ============================== $tempPath = "$env:TEMPUkrScanner.exe" # 1. Preparare un payload innocuo sostitutivo (copia di powershell.exe) Copy-Item -Path "$env:SystemRootSystem32WindowsPowerShellv1.0powershell.exe" -Destination $tempPath -Force # 2. Assicurarsi che il file sia eseguibile Unblock-File -Path $tempPath # 3. Eseguire il file SFX fittizio (simula l'attaccante che esegue il file) Write-Host "Avviando l'eseguibile SFX fittizio..." Start-Process -FilePath $tempPath -ArgumentList "-NoProfile -WindowStyle Hidden" -PassThru # 4. Pausa per consentire l'ingestione da parte del SIEM Start-Sleep -Seconds 5 Write-Host "Simulazione completata. Controllare il SIEM per il rilevamento della creazione di processo che termina con 'UkrScanner.exe'." -
Comandi di pulizia:
# Arrestare eventuali processi powershell rimanenti avviati dall'eseguibile fittizio (se presenti) Get-Process -Name "powershell" -ErrorAction SilentlyContinue | Where-Object {$_.Path -like "*UkrScanner.exe"} | Stop-Process -Force # Rimuovere l'eseguibile fittizio $tempPath = "$env:TEMPUkrScanner.exe" if (Test-Path $tempPath) { Remove-Item -Path $tempPath -Force Write-Host "Pulizia completata: rimosso $tempPath" }