Gli avversari utilizzano PDF armati, travestiti da esche dell’Ambasciata tedesca, per diffondere una variante del malware Duke in attacchi contro i Ministeri degli Affari Esteri dei paesi allineati alla NATO
Indice:
I ricercatori di cybersecurity hanno osservato una nuova campagna malevola mirante ai Ministeri degli Affari Esteri dei paesi correlati alla NATO. Gli avversari distribuiscono documenti PDF usati come esche e fanno finta che il mittente sia l’ambasciata tedesca. Uno dei file PDF contiene il malware Duke attribuito al nefasto collettivo di hacking russo sostenuto dallo stato tracciato come APT29 alias NOBELIUM, Cozy Bear, o The Dukes.
Rilevare Attacchi Applicando PDF Armati per Diffondere la Variante di Malware Duke tramite DLL Sideloading
Con APT29 che è una divisione di hacking segreta del Servizio di Intelligence Straniera russo (SVR) operante in favore degli interessi geopolitici di Mosca, l’ultima campagna malevola mirante ai paesi della NATO potrebbe essere parte di azioni offensive contro gli alleati ucraini.Â
Collaborando con CERT-UA e SSSCIP, SOC Prime ricerca, sviluppa e testa le regole Sigma sul campo di battaglia reale fornendo centinaia di nuovi contenuti di rilevamento al mese per aiutare a sventare gli attacchi distruttivi della Russia. Per assistere i difensori informatici nell’identificare l’ultimo attacco informatico APT29, la piattaforma SOC Prime offre una regola Sigma dedicata che mira a rilevare tentativi di caricare lateralmente in modo improprio una libreria dinamica MSO nominalmente legittima per svolgere attività malevole.
Possibile Tentativo di Caricamento Lateral MSO Dynamic Library (tramite image_load)
La regola è compatibile con 20 formati tecnologici SIEM, EDR, XDR e Data Lake ed è mappata a MITRE ATT&CK®, indirizzando le tattiche di Evasione della Difesa e di Dirottamento del Flusso di Esecuzione (T1574) come tecnica corrispondente.
Per approfondire l’intero set di algoritmi di rilevamento che affrontano le TTP di APT29, premi il pulsante Esplora Rilevamenti di seguito. Per un’indagine sulle minacce semplificata, i team possono anche esaminare i metadati rilevanti, comprese le referenze ATT&CK e CTI.
Analisi dell’Attacco Utilizzando PDF Armati con HTML Smuggling e Diffusione del Malware Duke
I ricercatori di EclecticIQ hanno osservato un’operazione offensiva in corso contro i Ministeri degli Affari Esteri dei paesi della NATO, in cui gli avversari sfruttano file PDF malevoli con esche di inviti impersonando l’ambasciata tedesca. Uno dei file PDF armati contiene la variante di malware Duke precedentemente collegata al noto gruppo sponsorizzato dallo stato russo conosciuto come APT29. Il gruppo è dietro una serie di attacchi di cyber-spionaggio ed è supportato dal Servizio di Intelligence Straniera della Russia mentre sfrutta un kit di strumenti avversario sofisticato per condurre le sue operazioni offensive.
Nella campagna avversaria in corso, gli attori della minaccia utilizzano server Zulip per C2, permettendo loro di mescolarsi con il traffico web legittimo ed eludere il rilevamento. Basandosi sui modelli comportamentali degli avversari, sui file esca, sul malware applicato e sui suoi mezzi di consegna, i ricercatori collegano la campagna malevola osservata all’attività APT29.
La catena di infezione viene innescata dall’esecuzione dei file PDF lure malevoli con codice JavaScript incorporato volto a rilasciare payload nel formato di file HTML sui dispositivi compromessi. Utilizzando HTML smuggling, gli attaccanti consegnano un archivio con un file di applicazione HTML malevolo (HTA), considerato un LOLBIN popolare. Quest’ultimo è destinato a rilasciare il campione di malware Duke sui sistemi colpiti.
L’avvio del file HTA porta alla diffusione di tre file eseguibili nella directory specifica all’interno del sistema compromesso. Uno di questi file è la variante malware Duke eseguita tramite DLL sideloading. Il malware utilizza l’hashing delle API di Windows come tecnica di evasione, consentendo agli avversari di bypassare gli scanner malware statici.
Come possibili misure di mitigazione, i difensori raccomandano di configurare meccanismi di protezione di rete adeguati per bloccare il traffico di rete sospetto, applicare politiche di allow-list sui host Windows per impedire l’esecuzione di LOLBIN specifici che potrebbero essere sfruttati dagli attaccanti, aumentare la consapevolezza della cybersecurity e implementare continuamente le migliori pratiche di sicurezza del settore per potenziare la resilienza informatica.
Affidarsi al potere dell’intelligenza aumentata e all’esperienza collettiva del settore con Uncoder AI per creare senza sforzo algoritmi di rilevamento contro le minacce emergenti, convertirli istantaneamente in 44 formati SIEM, EDR, XDR e Data Lake, e condividere il codice con i colleghi dell’industria per promuovere una difesa attiva informata dalle minacce.
