Buon sabato e ben ritrovato caro cyber User. Oggi colgo l'occasione per divulgare una interessante analisi di Gianluca Tiepolo sulle ultime attività di APT29. In questo momento storico in cui si guarda con allarme gli attacchi provenienti dalla Russia, che spesso ci si sofferma agli strati più superficiali della propaganda cyber (i banali DDoS di Killnet!), osservare i movimenti di gruppi criminali come APT29, è sicuramente guardare in faccia i reali problemi dell'interferenza russa sulla sicurezza delle nostre infrastrutture critiche.
Gli attacchi dalla Russia contro l'Europa
Noto dal 2008, APT29 è un gruppo criminale informatico collegato allo stato russo.
Conosciuto anche tramite diversi nomi (CozyBear, The Dukes, Group 100, CozyDuke, EuroAPT, CozyCar, Cozer, Office Monkey, YTTRIUM, Iron Hemlock, Iron Ritual, Cloaked Ursa, Nobelium, Group G0016, UNC2452, Dark Halo, NobleBarron), è considerato un prodotto del Foreign Intelligence Service (SVR) del governo russo.
Con i suoi malware, APT29 ha aperto la strada alla raccolta di informazioni geopolitiche con tecniche di comando e controllo (C2) di prima fase da noti siti Web pubblici come Twitter, Dropbox e GitHub, per apparire in una prima fase, insospettabile.
In una recente campagna è stato individuato abusare di Notion (il programma per la gestione delle annotazioni), contro target afferenti la Commissione Europea.
Alcuni fatti riguardanti APT29
2015: APT29 ottiene l'accesso iniziale alla rete del Pentagono tramite phishing e introduce la tecnica "Hammertoss" per utilizzare account Twitter fittizi per le comunicazioni C2
2016: in una campagna nota come "GRIZZLY STEPPE", APT29 ha violato i server del Comitato nazionale democratico vicino alle elezioni statunitensi tramite una campagna di phishing che ordinava alle vittime di cambiare le proprie password utilizzando un sito Web contraffatto
2019: Compromessi a tre ministeri per gli affari nazionali dell'UE e un'ambasciata con sede a Washington DC di uno stato nazionale dell'UE
2020: esegue la scansione delle vulnerabilità degli indirizzi IP pubblici per compromettere gli sviluppatori di vaccini COVID-19 in Canada, Stati Uniti e Regno Unito
2020: Distribuisce il malware SUNBURST che attacca il software SolarWinds Orion per eliminare un trojan di accesso remoto (RAT) che ha avuto un impatto su molte organizzazioni globali
Lo sfruttamento dei servizi noti per il C2
Come evidenziato da Tiepolo nella ricerca, questo gruppo di minacce ha una storia di utilizzo di servizi cloud affidabili e legittimi ( come servizi di social media e Google Drive ) per i propri attacchi informatici nel tentativo di integrarsi nel normale traffico di rete ed eludere il rilevamento. Il malware distribuito da APT29 contiene anche la capacità di esfiltrare dati su quegli stessi canali C2. Per esempio:
Il malware MiniDuke del gruppo ha cercato tweet specifici che contenevano URL per accedere ai server C2.
di APT29 Il malware CosmicDuke e PolyglotDuke ha anche la capacità di utilizzare Twitter per ottenere URL C2, così come altri servizi di social media come Imgur e Reddit.
di APT29 La backdoor HAMMERTOSS utilizza GitHub, Twitter e servizi di cloud storage per la comunicazione C2.
La campagna contro la Commissione Europea
Parte a febbraio di quest'anno con una campagna di spear phishing, mirata e ben targetizzata contro indirizzi email specifici di dipendenti interni all'organizzazione della Commissione. L'email che la ricerca analizza contiene un file .iso, in grado di scaricare il malware VaporRage, che sfrutta le API Notion per distribuire un beacon di Cobalt Strike.
Quando la vittima viene invitata ad effettuare il download, si atterra su una pagine Web malevola, appositamente predisposta, ospitata sull'indirizzo hxxps://literaturaelsalvador[.]com/Instructions.html.
Il contenuto Web forzerà l'avvio del download tramite alcune righe di JavaScript, per scaricare il file .iso sul computer Windows della vittima. Infatti all'interno della ISO, se montata con doppio click, vi sarò un file .lnk (LINK - collegamento) che metterà in esecuzione una DLL malevola che farà tutto il resto, fino ad arrivare all'infezione con CobaltStrike.
A questo punto il gruppo criminale avrà accesso alla macchina della vittima, presumibilmente interna all'organizzazione governativa, o della quale ne conserva documenti e atti di interesse. Per i dettagli sull'utilizzo delle API di Notion, rimando all'esposizione precisa e ricca di informazioni, della ricerca.
La ricerca si conclude con la riflessione secondo la quale, la lunga storia di APT29 e delle sue operazioni o il tempo prolungato sugli obiettivi, indicano che il gruppo è un attore malevolo ben finanziato ed eccezionalmente sofisticato e continuerà sicuramente a rappresentare una minaccia durante il 2023.
Evento: Expo Security & Cyber Security Forum
INSICUREZZA DIGITALE sarà MEDIA PARTNER della settima edizione di Expo Security & Cyber Security Forum, uno dei principali eventi italiani sulla Sicurezza Informatica, che si terrà il 24 , 25 e 26 Maggio 2023 presso il Padiglione Espositivo del Marina di Pescara.
Expo Security & Cyber Security Forum è l'evento di riferimento per il centro sud Italia per l'intera filiera della Cybersecurity nella sua accezione global e local: sicurezza fisica, sicurezza logica e sicurezza integrata.
Anche quest'oggi abbiamo concluso, ti ringrazio per il tempo e l'attenzione che mi hai dedicato, augurandoti buon fine settimana, ti rimando al mio blog e alla prossima settimana per un nuovo appuntamento con NINAsec.