Rilevamento Attacchi Storm-0978: Hacker Collegati alla Russia Sfruttano CVE-2023-36884 per Diffondere un Backdoor Mirato a Organizzazioni del Settore Difensivo e Pubblico
Indice:
I ricercatori di cybersecurity hanno svelato una nuova operazione offensiva lanciata dal gruppo Storm-0978 sostenuto dalla Russia, noto anche come DEV-0978, che è anche tracciato come RomCom in base al nome del nefasto backdoor con cui sono associati. In questa campagna, gli hacker stanno prendendo di mira le organizzazioni di difesa e le autorità pubbliche in Europa e Nord America sfruttando il vettore di attacco phishing mediante l’utilizzo di una vulnerabilità RCE CVE-2023-36884 e le esche legate al Congresso Mondiale Ucraino.
Rilevamento degli Attacchi Storm-0978
Con l’aumento delle operazioni malevole attribuite al gruppo di hacking Storm-0978 supportato dalla Russia, noto per una serie di attacchi contro l’Ucraina e i suoi alleati, i difensori stanno cercando modi per rafforzare la loro resilienza cibernetica. Per aiutare le organizzazioni a individuare tempestivamente l’ultima campagna phishing legata all’abuso della falla CVE-2023-36884, il team SOC Prime cura una pertinente regola Sigma disponibile tramite il link sottostante:
Processo Figlio MSOffice Sospetto (tramite cmdline)
Questa regola Sigma è adattata per oltre 20 soluzioni SIEM, EDR, XDR e Data Lake ed è mappata su MITRE ATT&CK affrontando le tattiche di Accesso Iniziale ed Esecuzione insieme a rilevanti tecniche di Phishing (T1566) e Sfruttamento per Esecuzione del Cliente (T1203).
Per ottenere l’elenco completo delle regole Sigma per rilevamento degli attacchi Storm-0978, clicca il Esplora Rilevamenti pulsante qui sotto. Per una ricerca semplificata dei contenuti di rilevamento, tutte le regole Sigma pertinenti sono filtrate dai tag personalizzati “Storm-0978” o “DEV-0978”. Ottieni approfondimenti sul contesto delle minacce cibernetiche dietro gli attacchi del gruppo, consulta le nostre referenze CTI e ATT&CK, esplora mitigazioni e approfondisci i metadati più attuabili per risparmiare tempo nella tua ricerca delle minacce.
I difensori cibernetici possono anche raggiungere l’intero stack delle regole Sigma per il rilevamento RomCom per difendersi proattivamente da qualsiasi minaccia esistente o emergente associata a questo malware e collegata agli avversari responsabili della sua distribuzione.
Analisi degli Attacchi Storm-0978: Attività di Cyber-Spionaggio e Ransomware
Il team di ricerca Microsoft ha scoperto una nuova campagna phishing del gruppo Storm-0978 aka DEV-0978 che prende di mira organizzazioni di difesa ed enti del settore pubblico. Gli attori della minaccia abusano di CVE-2023-36884 zero-day sfruttato in natura, la vulnerabilità RCE in Microsoft Windows e Office con un punteggio CVSS di 8.3, che è stato aggiunto all’aggiornamento di sicurezza Microsoft di luglio 2023. Nella più recente campagna avversaria, gli attaccanti sfruttano le esche legate al Congresso Mondiale Ucraino.
Storm-0978 è un gruppo legato alla Russia che ha lanciato diverse operazioni ransomware e campagne malevole finalizzate alla raccolta di informazioni e al furto di dati sensibili. Il collettivo hacker è anche noto come sviluppatore e distributore del backdoor RomCom. Nell’autunno 2022, anche gli organismi statali ucraini sono stati il bersaglio dell’infezione da malware RomCom a causa di una campagna phishing mirata riportata da CERT-UA. DEV-0978 è anche tracciato come RomCom in base alle corrispondenti versioni malevole dietro cui si celano. Nell’ultima campagna dell’estate 2023, lo sfruttamento di CVE-2023-36884 porta alla diffusione di un backdoor simile a RomCom.
L’attività di Storm-0978 rivela principalmente motivazioni finanziarie e di cyber-spionaggio dietro le loro operazioni offensive con diversi settori industriali utilizzati come bersagli principali. Per quanto riguarda le campagne legate allo spionaggio, si osserva che gli attori della minaccia Storm-0978 prendono di mira organismi statali e organizzazioni militari in Ucraina e tra i loro alleati abusando del vettore di attacco phishing e sfruttando argomenti politici legati all’Ucraina come esche. Mentre l’attività ransomware di Storm-0978 è principalmente diretta verso il settore delle telecomunicazioni e le entità finanziarie.
Per quanto riguarda i TTP degli avversari utilizzati negli attacchi, il gruppo sfrutta versioni trojanizzate di software legittimi per distribuire il malware RomCom e registra domini malevoli mascherati come utilità legittime.
Gli operatori di RomCom hanno lanciato una serie di operazioni di cyber-spionaggio dalla seconda metà del 2022. Oltre all’ultima campagna di giugno che sfrutta il CVE-2023-36884, gli attori Storm-0978 erano anche dietro un’ondata di attacchi phishing contro funzionari ucraini, prendendo di mira specificamente gli utenti del sistema DELTA e diffondendo i malware FateGrab/StealDeal all’inizio del 2022. Un’altra campagna avversaria si è svolta a metà dell’autunno 2022 con il gruppo che ha generato siti web di installazione fraudolenti prendendo di mira organizzazioni militari e del settore pubblico ucraino e diffondendo RomCom per ottenere credenziali degli utenti.
Microsoft ha emesso un elenco di misure di mitigazione per aiutare le organizzazioni a mitigare la minaccia relativa ai tentativi di sfruttamento di CVE-2023-36884. Le aziende che utilizzano Microsoft Defender per Office non saranno impattate, tuttavia, altri clienti potrebbero affrontare rischi di potenziali attacchi. Utilizzare la Regola di Riduzione della Superficie di Attacco che impedisce a tutte le applicazioni Office di generare processi figlio ostacolerà i tentativi di sfruttamento avversari. Un altro passo di mitigazione che può essere applicato prevede la configurazione della chiave di registro FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION.
Esplora la Piattaforma SOC Prime per la difesa cibernetica collettiva per accedere al più grande repository mondiale di regole Sigma e dotare il tuo team di Uncoder AI e Attack Detective per rendere le tue procedure di ingegneria del rilevamento più veloci e semplici, identificare tempestivamente i punti ciechi nella tua infrastruttura e dare priorità alle tue operazioni di caccia per una postura di cybersecurity a prova di proiettile.
