“Cobalt Strike” contro il governo indiano
Il team di Threat Intelligence di Telsy ha osservato un attacco contro membri del governo indiano o di istituzioni locali, che utilizza temi di ingegneria sociale come, ad esempio, un’indagine per un attacco informatico o il classico tema COVID-19.
La campagna, probabilmente effettuata tramite una e-mail di spear-phishing, inizia con l’apertura di un allegato PDF legittimo contenente un URL dannoso da cui scaricare un file ISO. Il file ISO contiene file LNK e una DLL dannosa che esegue un beacon Cobalt Strike in memoria. L’utilizzo di un portale legittimo come C2 e una comunicazione HTTPS criptata rende la campagna molto silente.
Cobalt Strike è uno strumento commerciale di penetration test, che dà ai pentester l’accesso a una grande varietà di capacità di attacco. Questa piattaforma di attacco combina ingegneria sociale, strumenti di accesso non autorizzato, offuscamento delle comunicazioni di rete e un sofisticato meccanismo per distribuire codice eseguibile malevolo sui sistemi compromessi.
Pertanto Cobalt Strike, sebbene sia uno strumento legittimo utilizzato dagli hacker etici, è anche ampiamente utilizzato dai threat actor per lanciare attacchi reali contro le organizzazioni.
La maggior parte dei threat actor utilizza versioni non leciti di Cobalt Strike, o semplicemente sostituisce il valore del watermark per eludere i tentativi di attribuzione.
Il watermark 1359593325 di Cobalt Strike e la catena di infezione analizzata potrebbero far pensare al threat actor Nobelium aka APT29 a causa delle somiglianze, sia nei componenti che nel modo in cui il target viene infettato così come descritte in precedenza dalle società di sicurezza Volexity e Microsoft.
Purtroppo, non ci sono evidenze chiare per attribuire queste campagne a questo threat actor. Questo report è stato prodotto dal team “Cyber Threat Intelligence” di Telsy con l’aiuto della sua piattaforma CTI, che consente di analizzare e rimanere aggiornati su avversari e minacce che potrebbero avere un impatto sul business dei clienti.
Leggi gli altri report cyber sul blog di Telsy