L’intelligence russa prende di mira le vittime in tutto il mondo con attacchi informatici a fuoco rapido

Gli hacker statali russi stanno conducendo campagne di phishing mirate in almeno nove paesi sparsi in quattro continenti. Le loro e-mail pubblicizzano affari governativi ufficiali e, in caso di successo, minacciano non solo dati organizzativi sensibili, ma anche informazioni geopolitiche di importanza strategica.

Una trama così sofisticata e su più fronti poteva essere realizzata solo da un gruppo così prolifico come Orso Fancy (noto anche come APT28, Forest Blizzard, Frozenlake, Sofacy Group, Strontium, UAC-028 e molti altri alias ancora), che IBM X-Force traccia come ITG05 in un nuovo rapporto.

Oltre alle convincenti esche a tema governativo e alle tre nuove varianti di backdoor personalizzate, la campagna si distingue soprattutto per le informazioni a cui si rivolge: Fancy Bear sembra mirare a informazioni altamente specifiche utili al governo russo.

Esche di phishing governative

Fancy Bear ha utilizzato almeno 11 esche uniche in campagne rivolte a organizzazioni in Argentina, Ucraina, Georgia, Bielorussia, Kazakistan, Polonia, Armenia, Azerbaigian e Stati Uniti.

Le esche sembrano documenti ufficiali associati ai governi internazionali, che coprono temi ampi come la finanza, le infrastrutture critiche, gli impegni esecutivi, la sicurezza informatica, la sicurezza marittima, l’assistenza sanitaria e la produzione industriale della difesa.

Alcuni di questi sono documenti legittimi e accessibili al pubblico. Altri, curiosamente, sembrano essere interni a specifiche agenzie governative, sollevando in primo luogo la questione di come Fancy Bear abbia messo le mani su di loro.

"X-Force non ha informazioni sul fatto che ITG05 sia riuscito a compromettere con successo le organizzazioni impersonificate", osserva Claire Zaboeva, cacciatrice di minacce per IBM X-Force. "Poiché è possibile che l'ITG05 abbia sfruttato l'accesso non autorizzato per raccogliere documenti interni, abbiamo informato tutte le parti imitate dell'attività prima della pubblicazione come parte della nostra politica di divulgazione responsabile."

In alternativa, Fancy Bear/ITGO5 potrebbe aver semplicemente imitato file reali. "Ad esempio, alcuni dei documenti scoperti presentano errori evidenti come errori di ortografia dei nomi delle parti principali in quelli che sembrano essere contratti governativi ufficiali", ha affermato.

Un potenziale motivo?

Un'altra qualità importante di queste esche è che sono abbastanza specifiche.

Esempi in lingua inglese includono un documento politico sulla sicurezza informatica di una ONG georgiana e un itinerario di gennaio che descrive in dettaglio il Meeting and Practice Bell Buoy (XBB2024) del 24 per i partecipanti al Pacific Indian Ocean Shipping Working Group (PACIOSWG) della Marina statunitense.

E ci sono le attrattive a tema finanziario: un documento bielorusso con raccomandazioni per la creazione di condizioni commerciali per facilitare le imprese interstatali entro il 2025, in linea con un’iniziativa dell’Unione economica eurasiatica, un documento di politica di bilancio del Ministero dell’Economia argentino che offre “linee guida strategiche” per assistere il presidente con la politica economica nazionale, e altro in questo senso.

"È probabile che la raccolta di informazioni sensibili riguardanti problemi di bilancio e la posizione di sicurezza delle entità globali sia un obiettivo ad alta priorità dato lo spazio di missione stabilito da ITG05", ha affermato X-Force nel suo rapporto sulla campagna.

L’Argentina, ad esempio, ha recentemente rifiutato un invito ad aderire all’organizzazione commerciale BRICS (Brasile, Russia, India, Cina, Sud Africa), quindi “è possibile che ITG05 cerchi di ottenere un accesso che possa fornire informazioni sulle priorità del governo argentino ", ha detto X-Force.

Attività post-sfruttamento

Oltre alla specificità e all’apparenza di legittimità, gli aggressori utilizzano un altro trucco psicologico per intrappolare le vittime: presentare loro inizialmente solo una versione sfocata del documento. Come nell'immagine qui sotto, i destinatari possono vedere dettagli sufficienti per capire che questi documenti appaiono ufficiali e importanti, ma non abbastanza per evitare di doverli cliccare sopra.

Documento di richiamo campione; Fonte: IBM

Quando le vittime sui siti controllati dagli aggressori fanno clic per visualizzare i documenti di esca, scaricano una backdoor Python chiamata “Masepie”. Scoperto per la prima volta a dicembre, è in grado di stabilire la persistenza in una macchina Windows e di consentire il download e il caricamento di file e l'esecuzione arbitraria di comandi.

Uno dei file che Masepie scarica sulle macchine infette è "Oceanmap", uno strumento basato su C# per l'esecuzione di comandi tramite Internet Message Access Protocol (IMAP). La variante originale di Oceanmap – non quella usata qui – aveva funzionalità di furto di informazioni che da allora sono state eliminate e trasferite su “Steelhook”, l'altro payload scaricato da Masepie associato a questa campagna.

Steelhook è uno script di PowerShell il cui compito è esfiltrare dati da Google Chrome e Microsoft Edge tramite un webhook.

Più notevole del suo malware è l'immediatezza d'azione di Fancy Bear. COME descritta per la prima da parte del Computer Emergency Response Team ucraino (CERT-UA), infezioni da Fancy Bear con la prima ora di atterraggio sul computer della vittima, download di backdoor e conduzione di ricognizioni e movimenti laterali tramite hash NTLMv2 rubati per attacchi di inoltro.

Pertanto le potenziali vittime devono agire rapidamente o, meglio ancora, prepararsi in anticipo alle infezioni. Possono farlo seguendo l'elenco completo di raccomandazioni di IBM: monitoraggio delle e-mail con URL forniti dal provider di hosting di Fancy Bear, FirstCloudIT, e traffico IMAP sospetto verso server sconosciuti, affrontando le sue vulnerabilità preferite, come CVE-2024-21413, CVE-2024 -21410, CVE-2023-23397, CVE-2023-35636 – e molto altro ancora.

“L’ITG05 continuerà a sfruttare gli attacchi contro i governi mondiali e i loro apparati politici per fornire alla Russia informazioni avanzate sulle decisioni politiche emergenti”, hanno concluso i ricercatori.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.darkreading.com/threat-intelligence/russian-intelligence-targets-victims-worldwide-in-rapid-fire-cyberattacks