Nuove famiglie di malware BEATDROP e BOOMMIC utilizzate da APT29: Campagne di phishing con tecniche di HTML Smuggling, accesso a lungo termine per scopi di spionaggio
Indice:
APT29 è un gruppo di spionaggio russo sponsorizzato dallo stato, noto anche agli esperti di sicurezza informatica come Nobelium APT. L’ampiezza dei loro attacchi corrisponde agli attuali obiettivi geopolitici della Russia. I loro attacchi recenti sono caratterizzati dall’utilizzo dei loader BEATDROP e BEACON per distribuire il malware BOOMIC (VaporRage).
Gli analisti di sicurezza riferiscono che le ultime campagne di phishing erano progettate per colpire diplomatici e diverse agenzie governative con l’obiettivo di mantenere l’accesso a un ambiente per scopi di spionaggio.
Rileva l’attività di APT29: nuovo malware BEATDROP e BOOMIC
Le regole seguenti rilevano la presenza malevola di APT29 dai seguenti indicatori: i movimenti laterali degli attori della minaccia muovendosi lateralmente deploiando tramite un’attività pianificata chiamata SharedRealitySvcDLC; SMB BEACON su più sistemi per facilitare la messa in scena di BEACON su sistemi remoti; rilevazione del payload SMB BEACON tramite pipe_event logs. Le regole sviluppate dai nostri sviluppatori di Threat Bounty di alto livello Nattatorn Chuensangarun, Emir Erdogan, Kaan Yeniyol:
Possibile movimento laterale del gruppo APT29 con messa in scena di SMB BEACON (process_creation)
Possibile movimento laterale di APT29 tramite l’uso del compito pianificato BEACON (via cmdline)
Movimento laterale sospetto di APT29 tramite l’uso di SMB Beacon (via pipe_event)
Le campagne di phishing di APT 29 scaricano i malware BEATDROP e BOOMIC (via process_creation)
Premere Visualizza tutto pulsante per controllare l’elenco completo delle rilevazioni associate a APT29, disponibile nel repository Threat Detection Marketplace della piattaforma SOC Prime.
Desideroso di connetterti con i leader del settore e sviluppare i tuoi contenuti? Unisciti all’iniziativa crowdsourced di SOC Prime come collaboratore di contenuti e condividi le tue regole Sigma e YARA con la comunità globale della cybersicurezza rafforzando la difesa informatica collaborativa in tutto il mondo.
Visualizza le rilevazioni Unisciti a Threat Bounty
Dettagli della campagna di phishing APT29
La prima nozione riguardo questa campagna di phishing multifattoriale è apparsa all’inizio del 2022. I ricercatori di Mandiant hanno scoperto che APT29 inviava email di spear-phishing, imitando avvisi amministrativi delle ambasciate, utilizzando indirizzi email legittimi ma violati originariamente appartenenti a enti diplomatici. Probabilmente, l’uso di servizi cloud legittimi come Trello di Atlassian per il comando e controllo è un tentativo di rendere l’identificazione e la mitigazione più difficili per le vittime.
In questa campagna di phishing, gli attaccanti hanno utilizzato il contrabbando di HTML, che è un metodo di phishing che utilizza HTML5 e JavaScript per crittografare le stringhe in un allegato HTML o una pagina web per nascondere payload dannosi. Quando un utente apre un allegato o clicca un link, il browser decodifica queste stringhe. Gli attori di APT29 lo hanno usato per consegnare file IMG e ISO – questo è il loro metodo collaudato che ha dimostrato la sua efficienza in attacchi alla catena di fornitura celebri come SolarWinds .
Successivamente, gli analisti di sicurezza hanno rilevato il deployment di downloader BEATDROP scritti in C e BEACON in C++. BEATDROP si connette a Trello per la comunicazione C2 e opera in memoria dopo essersi stabilito e iniettato in un thread sospeso. Secondo i dati attuali, è ora sostituito con un BEACON C++ più efficiente che gli avversari usano per abilitare la scansione delle porte, fare screenshot, catturare sequenze di tasti e l’esfiltrazione dei dati.
BEATDROP e BEACON sono utilizzati per impiantare BOOMIC alias VaporRage per stabilire la persistenza in un sistema compromesso.
Unisciti alla piattaforma Detection as Code di SOC Prime per ottenere profitti ricorrenti mentre utilizzi i vantaggi delle migliori pratiche di difesa collaborativa. SOC Prime ha anche rilasciato una significativa collezione di regole Sigma gratuite disponibili nella nostra piattaforma Detection as Code alla luce dell’invasione russa dell’Ucraina e del crescente numero di attacchi informatici sponsorizzati dallo stato legati alla Russia. I contenuti di rilevamento aiutano i professionisti della difesa cyber a individuare attacchi lanciati da APT di alto profilo collegati alla Russia, potenziati dalla ricerca approfondita del team SOC Prime e degli sviluppatori del Threat Bounty Program.