L’attore di minacce collegato alla Russia, noto come APT29, ha preso di mira le missioni diplomatiche europee e i ministeri degli affari esteri come parte di una serie di campagne di spear-phishing montate in ottobre e novembre 2021.
Secondo il Threat Report di ESET, le intrusioni hanno aperto la strada per la distribuzione di Cobalt Strike Beacon sui sistemi compromessi, seguiti da uno sfruttamento del punto d’appoggio per rilasciare un ulteriore malware a raccogliere informazioni sugli host e sulle altre macchine nella stessa rete.
Rintracciato anche con i nomi The Dukes, Cozy Bear e Nobelium, il gruppo advanced persistent threat è un famigerato gruppo di spionaggio informatico che è stato attivo per più di un decennio, con i suoi attacchi rivolti all’Europa e agli Stati Uniti, prima di ottenere un’attenzione diffusa per la compromissione della catena di fornitura di SolarWinds, portando a ulteriori infezioni in diverse entità a valle, comprese le agenzie governative statunitensi nel 2020.
Gli attacchi di spear-phishing sono iniziati con un’e-mail di phishing a tema COVID-19 che impersonava il Ministero degli Affari Esteri iraniano e conteneva un allegato HTML che, quando aperto, richiedeva ai destinatari di aprire o salvare quello che sembrava essere un file immagine disco ISO (“Covid.iso”).
Se la vittima sceglie di aprire o scaricare il file, “un piccolo pezzo di JavaScript decodifica il file ISO, che è incorporato direttamente nell’allegato HTML”. Il file immagine del disco, a sua volta, include un’applicazione HTML che viene lanciata utilizzando mshta.exe per eseguire un pezzo di codice PowerShell che alla fine carica il Cobalt Strike Beacon sul sistema infetto.
ESET ha anche caratterizzato l’affidamento di APT29 su HTML e immagini disco ISO (o file VHDX) come una tecnica di evasione orchestrata appositamente per eludere le protezioni Mark of the Web (MOTW), una caratteristica di sicurezza introdotta da Microsoft per determinare l’origine di un file.
“Un’immagine disco ISO non propaga il cosiddetto Mark of the Web ai file all’interno dell’immagine disco“, hanno detto i ricercatori. “Come tale, e anche se l’ISO fosse scaricata da Internet, nessun avvertimento arriverebbe alla vittima quando l’HTA viene aperto“.
Dopo aver ottenuto con successo l’accesso iniziale, l’attore della minaccia ha fornito una varietà di strumenti off-the-shell per:
- interrogare l’Active Directory del bersaglio (AdFind),
- eseguire comandi su una macchina remota utilizzando il protocollo SMB (Sharp-SMBExec),
- effettuare la ricognizione (SharpView),
- utilizzare e anche un exploit per un difetto di escalation dei privilegi di Windows (CVE-2021-36934) per effettuare attacchi successivi.
“Gli ultimi mesi hanno dimostrato che Cozy Bear è una seria minaccia per le organizzazioni occidentali, soprattutto nel settore diplomatico e sono molto persistenti, hanno una buona sicurezza operativa e sanno come creare messaggi di phishing convincenti”.
