Cozy Bear ha continuato ad espandere il suo arsenale di malware con nuovi strumenti e tecniche che sono stati distribuiti già in attacchi risalenti al 2019, capaci di mantenere un accesso persistente per anni.
Secondo la società di cybersicurezza CrowdStrike, che ha dettagliato le nuove tattiche adottate dal gruppo di hacker Nobelium la scorsa settimana, due sofisticate famiglie di malware sono state collocate sui sistemi delle vittime – una variante Linux di GoldMax e un nuovo soprannominato TrailBlazer – molto prima che la portata degli attacchi venisse alla luce.
GoldMax, che è stato scoperto da Microsoft e FireEye nel marzo 2021, è un malware basato su Golang che agisce come una backdoor command-and-control, stabilendo una connessione sicura con un server remoto per eseguire comandi arbitrari sulla macchina compromessa.
Mandiant ha anche sottolineato che gli attori di Dark Halo hanno usato il malware in attacchi che risalgono almeno all’agosto 2020, o quattro mesi prima che SolarWinds scoprisse che i suoi aggiornamenti Orion erano stati manomessi con malware progettato per far cadere impianti post-compromissione contro migliaia di suoi clienti.
Nel settembre 2021, Kaspersky ha rivelato i dettagli di una seconda variante della backdoor GoldMax chiamata Tomiris che è stata distribuita contro diverse organizzazioni governative in uno stato membro CIS senza nome nel dicembre 2020 e gennaio 2021.
L’ultima iterazione è un’implementazione Linux precedentemente non documentata ma funzionalmente identica del malware di secondo livello che è stata installata negli ambienti delle vittime a metà 2019, precedendo tutti gli altri campioni identificati costruiti per la piattaforma Windows fino ad oggi.
Sempre nello stesso periodo è stato consegnato TrailBlazer, una backdoor modulare che offre agli aggressori un percorso di spionaggio informatico, mentre condivide punti in comune con GoldMax nel modo in cui maschera il suo traffico command-and-control (C2) come legittime richieste HTTP di Google Notifications.
Altri canali non comuni utilizzati dall’attore per facilitare gli attacchi includono –
- Credential hopping per oscurare il movimento laterale
- Office 365 (O365) Service Principal e Application hijacking, impersonificazione e manipolazione, e Furto di cookie del browser per bypassare l’autenticazione a più fattori
- Inoltre, gli operatori hanno effettuato più istanze di furto di credenziali di dominio a distanza di mesi, ogni volta sfruttando una tecnica diversa, tra cui l’uso di Mimikatz password stealer in-memory, da un host già compromesso per garantire l’accesso per lunghi periodi di tempo.
