Rilevare gli attacchi di Ursa (noto anche come APT28): gli avversari prendono di mira i diplomatici usando un’auto in vendita come esca di phishing per diffondere il malware HeadLace
Indice:
Il nefasto collettivo di hacker sponsorizzato dallo stato russo APT28, conosciuto anche come Fighting Ursa, è sotto i riflettori. Dall’inizio della primavera 2024, gli avversari hanno preso di mira diplomatici in una campagna offensiva a lungo termine, utilizzando l’annuncio di un’auto in vendita come esca di phishing per distribuire il malware HeadLace.
Rileva gli attacchi di Fighting Ursa alias APT28 che diffondono il malware HeadLace
L’infrastruttura in continua evoluzione del famigerato collettivo di hacker Fighting Ursa o APT28 sottolinea la necessità di rafforzare le difese delle organizzazioni per ottenere un vantaggio competitivo contro i crescenti attacchi informatici del gruppo. La piattaforma SOC Prime per la difesa informatica collettiva cura una collezione di algoritmi di rilevamento per aiutare i team di sicurezza a sventare proattivamente gli attacchi di Fighting Ursa, inclusa l’ultima campagna contro i diplomatici che diffondono il malware HeadLace.
Clicca sul Esplora i Rilevamenti pulsante qui sotto per raggiungere le regole Sigma curate filtrate dal tag corrispondente basato sull’identificativo del gruppo. Gli algoritmi di rilevamento forniti sono arricchiti con informazioni pertinenti sulle minacce, mappate al framework MITRE ATT&CK®, e sono pronti per essere immediatamente convertiti nel formato del linguaggio SIEM, EDR o Data Lake scelto tra oltre 30 piattaforme supportate.
Gli ingegneri della sicurezza alla ricerca di contenuti di rilevamento di alta qualità per analizzare retrospettivamente i TTP di APT28 possono seguire anche questo link. Per ulteriori contenuti correlati del SOC, le organizzazioni possono cercare nel Threat Detection Marketplace di SOC Prime utilizzando il tag “Forest Blizzard” basato su un altro gruppo identificato o seguire questo link.
Analisi degli attacchi di Fighting Ursa
I ricercatori di Palo Alto hanno recentemente scoperto una campagna malevola in corso che prende di mira principalmente i diplomatici ed è attribuita al collettivo di hacker collegato alla Russia seguito come Fighting Ursa (alias APT28, Fancy Bear, Forest Blizzard, STRONTIUM, Pawn Storm o Sofacy Group). Da almeno marzo 2024, un noto gruppo sostenuto dalla nazione ha pubblicizzato un’auto in vendita come esca di phishing per diffondere un backdoor modulare per Windows noto come HeadLace, che opera a fasi, probabilmente per eludere il rilevamento e ostacolare l’analisi del malware.
APT28, un gruppo supportato dal GRU associato all’Unità 26165 dell’agenzia di intelligence militare russa, è stato osservato nell’arena delle minacce cibernetiche per due decenni. Dalla invasione su vasta scala dell’Ucraina da parte della Russia, la banda di hacker ha anche lanciato una serie di campagne offensive sfruttando il vettore di attacco phishing, prendendo di mira principalmente gli enti statali ucraini insieme agli alleati del paese.
Notevolmente, i gruppi di hacker russi hanno utilizzato temi di esche di phishing di auto diplomatiche in vendita per anni. Queste esche spesso attirano i diplomatici, invitando i bersagli a cliccare sul contenuto malevolo. Nel 2023, un altro collettivo di hacker supportato dalla Russia noto come APT29 (alias NOBELIUM o CozyBear) ha sfruttato una BMW in vendita come esca di phishing prendendo di mira le missioni diplomatiche in Ucraina. Fighting Ursa è noto per riutilizzare strategie avversarie di successo per le sue operazioni offensive, mostrando modelli comportamentali simili nella campagna più recente.
La catena di infezione è attivata da un URL falso ospitato dal servizio legittimo Webhook.site. Fighting Ursa ha sfruttato Webhook.site per creare un URL che ha distribuito una pagina HTML malevola. L’HTML armato contiene diversi elementi progettati per automatizzare l’attacco. Inizialmente, controlla se il computer visitatore funziona su Windows. Nel caso in cui il sistema non sia basato su Windows, reindirizza l’utente selezionato a un’immagine capriccio ospitata su ImgBB, specificamente un Audi Q7 Quattro SUV. L’annuncio fraudolento è intitolato “Diplomatic Car For Sale”. Poiché il payload finale prende di mira Windows, questo controllo del sistema operativo probabilmente garantisce che le azioni successive siano eseguite solo per gli utenti di Windows. L’HTML genera quindi un archivio ZIP dal testo Base64 all’interno dell’HTML, lo offre per il download, e tenta di aprirlo via JavaScript.
L’archivio malevolo contiene un eseguibile legittimo di calcolatrice Windows camuffato da file immagine, una DLL e uno script batch. L’eseguibile della calcolatrice carica la DLL malevola, parte del backdoor HeadLace, che esegue lo script batch. Quest’ultimo esegue un comando codificato in Base64 per recuperare un file da un altro URL Webhook.site, lo salva come file immagine nella cartella dei download, cambia l’estensione del file in .cmd per l’esecuzione, e poi lo elimina per rimuovere ogni traccia.
Con la sua infrastruttura in continua evoluzione, l’uso di esche diverse e la capacità di riproporre tattiche avversarie, Fighting Ursa rimane un giocatore persistente nell’arena delle minacce cibernetiche. L’affidamento del gruppo su servizi web legittimi per scopi offensivi incoraggia i difensori a limitare l’accesso a tali servizi e a scrutinarne l’uso per ridurre la superficie di attacco. Affidati a SOC Prime’s Attack Detective per massimizzare la visibilità delle minacce e affrontare efficacemente le lacune di copertura del rilevamento, ottenere casi d’uso SIEM prioritari per generare facilmente allarmi di alto valore e basso rumore, e fornire con successo capacità di caccia per agire più velocemente degli attaccanti.
