Rilevamento dell’Attacco Actor240524: Nuovo Gruppo APT Prende di Mira Diplomatici Israeliani e Azerbaigiani Utilizzando Malware ABCloader e ABCsync
Indice:
I difensori hanno scoperto un nuovo gruppo APT denominato Actor240524, che utilizza un avanzato toolkit avversario per eludere il rilevamento e ottenere persistenza. All’inizio di luglio 2024, gli avversari hanno condotto una campagna di spear-phishing contro diplomatici di Azerbaigian e Israele. Gli aggressori hanno sfruttato un documento Word malevolo con contenuti in lingua azera, mascherandolo come documentazione ufficiale progettata per rubare dati sensibili dagli utenti mirati.
Rileva Attività Malevola di Actor240524
L’aumento continuo di phishing attacchi contro le organizzazioni in settori industriali diversi continua a rappresentare un ostacolo significativo per i difensori informatici. L’uso delle tecnologie di intelligenza artificiale per scopi offensivi ha contribuito a questa sfida, portando a un incredibile aumento dell’856% nelle email malevole nel 2024, intensificando il problema. La SOC Prime Platform per la difesa informatica collettiva fornisce ai team di sicurezza un insieme di algoritmi di rilevamento arricchiti di contesto per aiutarli a contrastare nuovi attacchi di phishing, compresi contenuti che affrontano la recente campagna di spear-phishing del nuovo gruppo APT, Actor240524.
Clicca su Esplora Rilevamenti per accedere ai rilevamenti pertinenti filtrati dal tag personalizzato “Actor240524”. Tutte le regole Sigma sono compatibili con le tecnologie SIEM, EDR e Data Lake leader del settore, allineate al framework MITRE ATT&CK®, e arricchite con intelligence sulle minacce su misura.
Gli ingegneri della sicurezza possono anche ottenere l’intera collezione di contenuti SOC per rilevare attività malevole associate ad attacchi APT cliccando questo link.
Analisi dell’Attacco Actor240524
I ricercatori di NSFOCUS Security Labs hanno recentemente identificato una nuova campagna di spear-phishing contro diplomatici israeliani e azeri, armando file Word camuffati da documenti ufficiali e contenenti codice macro dannoso. L’analisi delle TTP degli attaccanti non ha rivelato alcun collegamento a gruppi APT noti, consentendo ai difensori di tracciare l’attività del nuovo avversario come Actor240524.
La campagna offensiva sembra concentrarsi sulla relazione cooperativa tra le due nazioni, prendendo di mira specificamente il personale diplomatico di entrambi i paesi tramite un vettore di attacco phishing. L’operazione di Actor240524 ha impiegato nuovi programmi Trojan, identificati come ABCloader e ABCsync, per rubare dati sensibili evitando il rilevamento.
La catena di infezione inizia con un documento Word di phishing armato contenente immagini sfocate. Il clic attiva un codice macro, che utilizza il programma VBA incorporato per decodificare e salvare il payload malevolo in un percorso specifico ed eseguire ABCloader. Una volta che ABCloader viene eseguito, si procede a decriptare e rilasciare tre file eseguibili e quindi caricare una DLL, il malware ABCsync. Quest’ultimo si connette al server C2 per eseguire i compiti corrispondenti e diffondere ulteriormente l’infezione.
Il malware ABCsync funge da payload principale dell’attacco, con funzioni principali tra cui l’esecuzione di shell remote, l’alterazione dei dati utente e il furto di file utente dal sistema compromesso. Entrambi i Trojan utilizzano tecniche di evasione del rilevamento persistenti, inclusa la crittografia di elementi chiave come stringhe e chiamate API. Inoltre, monitorano attivamente l’ambiente del processo per segni di debugging, come i campi BeingDebugged e NtGlobalFlag, e utilizzano NtQueryInformationProcess per rilevare stati di debugging, contrastando efficacemente gli sforzi di analisi anti-malware.
Actor240524 sfrutta un attacco multi-fase con un set di strumenti offensivi, incluso synchronize.exe, un loader simile a ABCloader, che si decodifica per mantenere la persistenza. I file vcruntime190.dll and vcruntime220.dll dirottano componenti legittimi del sistema per eseguire synchronize.exe, assicurando la presenza continua del loader nel sistema.
L’emergere di gruppi di hacking sofisticati, come Actor240524, che sperimentano con strumenti offensivi versatili per mantenere la persistenza e consentire il controllo remoto, sottolinea la necessità di rafforzare le capacità difensive. Affidati a SOC Prime’s Attack Detective per migliorare la postura SIEM della tua organizzazione, contrastare proattivamente attacchi da parte degli avversari che più sfidano il tuo business, ottenere una pila di rilevamento prioritaria per allarmi ad alta fedeltà e automatizzare la routine di hunting delle minacce.
