Microsoft ha recentemente annunciato che un gruppo di criminali cibernetici noto come Gamaredon sta creando una serie di email di spear-phishing.
E’ stato anche rilevato che gli operatori del gruppo ACTINIUM stanno prendendo di mira i seguenti settori ucraini per rubare dati sensibili:
- Governo
- Militare
- ONG
- Magistratura
- Applicazione della legge
Questo gruppo di minacce prende continuamente di mira le entità ucraine e tutte le altre organizzazioni che sono associate al paese attualmente in conflitto con la Russia. Gli attacchi sono iniziati da ottobre 2021 e dopo un’adeguata indagine, il Microsoft Threat Intelligence Centre ha anche osservato che questo gruppo di attacco è stato rintracciato come Armageddon e ACTINIUM.
Tuttavia, gli esperti di cybersicurezza hanno utilizzato diversi modi per rintracciare l’attacco durante un’indagine. Al fine di rintracciare questi attacchi, gli operatori hanno incorporato un pixel di tracciamento simile a quello del Web che ha incorniciato quali binari sono stati distribuiti in questo attacco e come risultato dall’analisi si è arrivati a citare:
- PowerPunch
- Pterodo
- Quietsieve
- Stager e scaricatori
Inoltre, per sostenere il payload staging e la sua infrastruttura C2, Microsoft ha identificato più di 25 domini unici e oltre 80 indirizzi IP unici che vengono utilizzati dagli operatori del gruppo di hacker ACTINIUM.
In questo attacco di cybersicurezza, i ricercatori hanno rilevato sei stagers e downloaders menzionato qui sotto:
- DinoTrain
- DilongTrash
- Obfuberry
- PowerPunch
- DessertDown
- Obfumerry
In gennaio SSU ha bloccato 120 cyberattacchi
Oltre a Microsoft, anche Palo Alto Networks Unit 42 ha rilevato il gruppo di attacco. Tuttavia, gli esperti di Palo hanno affermato di aver intercettato una negoziazione di un’entità governativa Ucraina il 19 gennaio 2022.
Il tutto è stato innescato dagli attori della minaccia attraverso un attacco di spear-phishing, in cui hanno spinto un downloader di malware.
Oltre a questo, gli analisti del team Threat Hunter di Symantec hanno anche notato il gruppo di minacce Gamaredon distribuire documenti word con macro negli attacchi di spear-phishing. A parte questo, ci sono alcuni avvisi di sicurezza che hanno identificato i seguenti attacchi:
- Esecuzione sospetta di script.
- Libreria di collegamento dinamico sospetta caricata.
- Attività sospetta di cattura dello schermo.
- Messa in scena di dati sensibili.
- Un processo anomalo sta eseguendo il comando codificato.
- Questo tipo di allarme di minaccia può essere innescato da attività di minaccia non correlata, ed è per questo che è molto necessario stare all’erta.
Microsoft Threat Intelligence Center ha anche dichiarato che “Gli attori della minaccia stanno prendendo di mira i militari, le organizzazioni non governative (ONG), la magistratura, le forze dell’ordine e le organizzazioni no-profit e lo scopo della minaccia è quello di esfiltrare tutte le informazioni sensibili per mantenere l’accesso in modo da poter dirottare il sistema e utilizzarlo secondo le loro esigenze”.
