Ancora Nobelium o operazione cyber criminale?
Il team Threat Intelligence di Telsy ha identificato una campagna di phishing che sembra colpire molteplici vittime con sede negli Stati Uniti, in Gran Bretagna e in Europa. La campagna sembra essere attiva almeno da ottobre 2021 ed è ancora in corso.
Introduzione
Il team Threat Intelligence di Telsy ha identificato una campagna di phishing che sembra prendere di mira vittime negli Stati Uniti, in Gran Bretagna e in Europa. La campagna sembra essere attiva almeno da ottobre 2021 ed è ancora in corso.
Le analisi hanno evidenziato la stessa tattica – ISO disk image -> LNK link file -> DLL implant -, una tattica descritta anche in due rapporti all’inizio di quest’anno da Volexity e Microsoft. Alcuni cambiamenti sono stati implementati come l’uso del framework Sliver in sostituzione di CobaltStrike, piuttosto che all’uso del linguaggio Rust come loader dell’impianto Sliver.
Anche se non c’è modo di dire con certezza chi ci sia dietro questo attacco e che tala catena di infezione viene utilizzata anche nelle campagne eCrime, alcuni attributi sono coerenti con le tattiche precedentemente utilizzate da APT29 (alias the Dukes, Cozy Bear, Nobelium), rese note a seguito del rilascio dell’advisory “Further TTPs associated with SVR cyber actors“, pubblicato dai governi del Regno Unito e degli Stati Uniti.
Il documento riporta le modifiche alle TTP che il threat actor ha apportato al fine di evitare tentativi di rilevamento e blocco da parte dei sistemi di monitoraggio. Queste modifiche includevano l’utilizzo dello strumento open source Sliver.
Sliver è uno strumento legittimo sviluppato dalla società Bishop Fox. È descritto come un framework di simulazione dell’avversario ed è progettato per essere un’alternativa open source a Cobalt Strike. Sliver supporta C2 crittografato asimmetricamente su DNS, HTTP, HTTPS e Mutual TLS utilizzando certificati X.509 anche firmati da un’autorità di certificazione e supporta la modalità multiplayer per la collaborazione.
Tuttavia, non è sorprendente se molti gruppi di cyber spionaggio utilizzino framework commerciali o disponibili pubblicamente per ragioni come la plausible deniability.
Questa campagna specifica diffonde immagini ISO che vengono aperte dal sistema in modo molto simile a un’unità esterna o di rete. Da qui, un file di collegamento (LNK) eseguirà una DLL di accompagnamento, che avvierà l’esecuzione dell’impianto Sliver sul sistema.
Molto probabilmente, le ISO vengono diffuse tramite un collegamento per il download all’interno di un’e-mail di phishing. Inoltre, non hanno informazioni contestuali sull’obiettivo, come di solito accade quando viene visualizzato un documento esca.
Leggi gli altri report cyber sul blog di Telsy.