SOC Prime Bias: Critico

08 Jan 2026 16:22 UTC

Attacco informatico del gruppo APT28 utilizzando il programma maligno CredoMap_v2 (CERT-UA#4622)

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Segui
Attacco informatico del gruppo APT28 utilizzando il programma maligno CredoMap_v2 (CERT-UA#4622)
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Sommario

APT28 ha condotto un’operazione di phishing che ha distribuito un archivio RAR protetto da password chiamato UkrScanner.rar. All’interno dell’archivio vi era un eseguibile autoestraente (SFX) che installava CredoMap_v2. Il malware ruba ed esfiltra le credenziali tramite HTTP POST verso un’infrastruttura controllata dall’attaccante ospitata sulla piattaforma Pipedream. L’incidente è stato rivelato da CERT-UA (CERT nazionale dell’Ucraina).

Indagine

CERT-UA ha ricevuto un messaggio sospetto che impersonava la propria organizzazione e conteneva l’allegato RAR protetto da password. L’analisi del payload SFX ha rivelato il binario CredoMap_v2 e la sua routine di esfiltrazione delle credenziali basata su HTTP. Gli analisti hanno tracciato il traffico in uscita verso eo2mxtqmeqzafqi.m.pipedream.net e 69.16.243.33. Basandosi sugli strumenti e sull’infrastruttura, l’attività è stata attribuita al noto gruppo di minacce APT28.

Mitigazione

CERT-UA ha bloccato il dominio malevolo di Pipedream e l’indirizzo IP associato. È stato consigliato agli utenti di considerare gli archivi protetti da password come ad alto rischio e di validare l’identità del mittente tramite canali affidabili. Si raccomanda di prevenire l’esecuzione di eseguibili sconosciuti utilizzando controlli del sistema operativo e politiche di sicurezza degli endpoint.

Risposta

Formare gli utenti a riconoscere il phishing e a confermare i mittenti, specialmente quando gli allegati sono protetti da password. Rafforzare il filtraggio delle email per archivi ed eseguibili sospetti e bloccare l’infrastruttura ostile nota. Monitorare il traffico HTTP in uscita per richieste POST inaspettate verso domini non affidabili e indagare prontamente su eventuali corrispondenze.

Flusso di Attacco

Esecuzione simulazione

Requisito: Il controllo pre-volo di telemetria e baseline deve essere superato.

Razionale: Questa sezione dettagli l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e il narrative DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.

  • Narrativa d’attacco e comandi:
    Un operatore APT28 riceve un’email di phishing contenente un archivio RAR protetto da password. All’interno, c’è un eseguibile autoestraente (SFX) chiamato UkrScanner.exe. Dopo aver estratto l’archivio sulla macchina della vittima, l’operatore esegue lo stub SFX, che rilascia ed esegue il malware CredoMap_v2. L’esecuzione di UkrScanner.exe crea un evento di creazione di processo che corrisponde alla regola di rilevamento.

    Passi di simulazione (eseguiti sull’host di test):

    1. Creare un eseguibile fittizio chiamato UkrScanner.exe (copia di powershell.exe per sicurezza).
    2. Avviare l’eseguibile fittizio per simulare l’esecuzione del file SFX da parte dell’attaccante.
  • Script di test di regressione:

    # ==============================
    # Simulazione dell'esecuzione di CredoMap_v2 da SFX (UkrScanner.exe)
    # ==============================
    $tempPath = "$env:TEMPUkrScanner.exe"
    
    # 1. Preparare un payload innocuo sostitutivo (copia di powershell.exe)
    Copy-Item -Path "$env:SystemRootSystem32WindowsPowerShellv1.0powershell.exe" -Destination $tempPath -Force
    
    # 2. Assicurarsi che il file sia eseguibile
    Unblock-File -Path $tempPath
    
    # 3. Eseguire il file SFX fittizio (simula l'attaccante che esegue il file)
    Write-Host "Avviando l'eseguibile SFX fittizio..."
    Start-Process -FilePath $tempPath -ArgumentList "-NoProfile -WindowStyle Hidden" -PassThru
    
    # 4. Pausa per consentire l'ingestione da parte del SIEM
    Start-Sleep -Seconds 5
    Write-Host "Simulazione completata. Controllare il SIEM per il rilevamento della creazione di processo che termina con 'UkrScanner.exe'."
  • Comandi di pulizia:

    # Arrestare eventuali processi powershell rimanenti avviati dall'eseguibile fittizio (se presenti)
    Get-Process -Name "powershell" -ErrorAction SilentlyContinue | Where-Object {$_.Path -like "*UkrScanner.exe"} | Stop-Process -Force
    
    # Rimuovere l'eseguibile fittizio
    $tempPath = "$env:TEMPUkrScanner.exe"
    if (Test-Path $tempPath) {
        Remove-Item -Path $tempPath -Force
        Write-Host "Pulizia completata: rimosso $tempPath"
    }