Da APT29 cyber attacchi agli USA con veri documenti pdf per sviare le vittime

Apt29 Cozybear Russia Hackers US Cybersecurity Cyberattacks Cyberwarfare Cyberespionage Yoroi Cybazezlab Italy Italia Infosec Malware Statedepartment Pdf

Yoroi – Cybaze ZLab ha analizzato un nuovo ceppo di malware che il gruppo APT29 (alias Cozy Bear, Office Monkeys, CozyCar, The Dukes e CozyDuke), collegato alla Russia, sta diffondendo contro obiettivi Usa

Il gruppo APT29, collegato alla Russia (alias Cozy Bear, Office Monkeys, CozyCar, The Dukes e CozyDuke), sta diffondendo un nuovo ceppo di malware contro obiettivi Usa. Gli esperti di cyber security di Yoroi – Cybaze ZLab lo hanno analizzato. I ricercatori hanno avuto accesso al pericoloso codice malevolo impiegato dagli hacker di stato. Questo sembra essere coinvolto nella recente ondata di attacchi informatici, diretti a molte importanti entità statunitensi. Dalle agenzie militari alle forze dell’ordine, agli appaltatori della Difesa, alle società Media e farmaceutiche. “Il Dipartimento è a conoscenza del recente evento cyber malevolo che ha coinvolto lo spoofing (impersonificazione) di un dipendente, segnalato dalla società per la sicurezza informatica statunitense FireEye. Nessuna rete del Dipartimento è stata compromessa da questo tentativo cyber malevolo”, si legge in una dichiarazione rilasciata dal Dipartimento di Stato americano e ripresa da Cyber Affairs.

APT29 utilizza documenti PDF reali per confondere le vittime, mentre il malware esegue le sue attività

APT29 ha effettuato uno spear phishing con un malware, impersonando un funzionario del Dipartimento di Stato, per tentare di compromettere gli obiettivi Usa. Il messaggio di posta elettronica contiene un file zip come allegato, che ha un link (.lnk) con capacità incredibili. Gli specialisti di cyber security di Yoroi – Cybaze riportano sul blog della società che quando la vittima fa doppio clic sul link, vengono avviate diverse attività malevole: si esegue un comando Powershell, con cui estrae un altro script PowerShell da una sezione nascosta del file. Ciò consente di creare due nuovi file: un documento pdf legittimo (ds7002.pdf) e un file dll (dynamic-link library, cyzfc.dat), che probabilmente contiene il vero payload. Ciò che è interessante è il pdf, un documento reale, aperto automaticamente dal malware se un visualizzatore è installato nel sistema infetto. L’obiettivo è confondere la vittima mentre il malware esegue altre attività.

La dll malevola contiene un payload generato con Cobalt Strike, tipicamente utilizzato da threat actors come la gang russa “Carbanak” o il gruppo iraniano “CopyKittens”. Il malware è stato anche configurato con una serie di trucchi per renderlo più invisibile

Secondo l’analisi di FireEye, la dll malevola di APT29 contiene un payload enerato con Cobalt Strike, noto framework di post-exploitation, tipicamente utilizzato dai Red-Teams in tutto il mondo e talvolta abusato da altri threat actors. Dalla gang russa “Carbanak” al gruppo iraniano “CopyKittens”. Quindi, probabilmente, la dll ha recuperato i comandi di attacco e altri moduli di payload dal dominio “pandorasong.com”. Inoltre il malware è stato configurato con una serie di trucchi per renderlo più invisibile. Ecco alcuni esempi: Il server di comando e controllo (C2) “pandorasong.com” richiama il legittimo nome di dominio “pandora.com”, di proprietà di uno dei più famosi servizi di streaming musicale negli Stati Uniti; Le interazioni con il C2 avvengono su canali SSL criptati; Le richieste HTTP sono create appositamente per limitare una comunicazione legittima ai server di Pandora.

Le conclusioni dell’analisi di Yoroi – Cybaze ZLab sul malware di APT29

L’utilizzo di un file di link contenente il payload completo è una tecnica potente, ancora difficile da rilevare con diverse soluzioni antivirus comuni. Lo hanno spiegato gli esperti di cyber security di Yoroi – Cybaze ZLab. Nonostante l’efficacia di questa strategia, la creazione del link “armato”, come quello analizzato, è abbastanza semplice. Molte risorse, infatti, sono disponibili pubblicamente e potrebbero aiutare gli hacker malevoli ad abusarne. Questa tecnica fa anche parte dell’arsenale di APT29 da molto tempo: un link contenente un malware autoestraente è stato (ab) usato nel 2016, quando il gruppo “Cozy Bear” ha cercato di sfruttare le elezioni presidenziali Usa appena concluse per attaccare le ONG e i think tank statunitensi, con una campagna di spear-phishing accuratamente preparata.

Gli hacker di stato russi sono scatenati in questo periodo. APT28 ha messo in circolazione una variante del malware Lojax (alias Double-Agent) e Gamaredon ha diffuso in Ucraina il codice malevolo Pterodo, che fa temere un prossimo cyber attacco su vasta scala contro il paese

Peraltro, questo sembra un periodo intenso per gli hacker di stato russi. Mentre APT29 prende di mira entità USA, APT28 (alias Sednit, Fancy Bear, Pawn Storm, Sofacy e STRONTIUM) ha messo in circolazione in circolazione una variante del famigerato malware Lojax (alias Double-Agent) per condurre cyber attacchi contro obiettivi nei Balcani e in Europa centrale. Inoltre, il gruppo Gamaredon (alias Pteradon) ha diffuso in Ucraina il codice malevolo Pterodo, una backdoor per Windows. Lo hanno scoperto il National Computer Emergency Response Team (CERT-UA) e l’intelligence del Paese. Il rischio è che ci possa essere presto un cyber attacco su vasta scala nella nazione, come avviene storicamente da anni a novembre.