Una campagna in corso che prende di mira i ministeri degli affari esteri dei paesi allineati alla NATO indica il coinvolgimento di attori minacciosi russi.
Utilizzo di Zulip per il controllo e il comando
Gli attacchi di phishing presentano documenti PDF con esche diplomatiche, alcuni dei quali sono mascherati come provenienti dalla Germania, per consegnare una variante di un malware chiamato “Duke”, attribuito ad APT29 (anche noto come BlueBravo, Cloaked Ursa, Cozy Bear e altri). “L’attore della minaccia ha utilizzato Zulip, un’applicazione di chat open-source, per il comando e il controllo, per eludere e nascondere le sue attività dietro il legittimo traffico web”, ha dichiarato la società di cybersecurity olandese EclecticIQ nella sua analisi.
Sequenza di infezione
La sequenza di infezione è la seguente: l’allegato PDF, denominato “Farewell to Ambassador of Germany”, è incorporato con un codice JavaScript che avvia un processo multi-fase per rilasciare il malware. Se un potenziale bersaglio cade nella trappola di phishing aprendo il file PDF, viene avviato un dropper HTML maligno che esegue JavaScript per rilasciare un file di archivio ZIP, che a sua volta contiene un file HTA progettato per distribuire il malware Duke.
Abuso di Zulip e obiettivi principali
È interessante notare che l’abuso di Zulip è in linea con il gruppo sponsorizzato dallo stato, che ha una storia di sfruttamento di una vasta gamma di servizi Internet legittimi come Google Drive, Microsoft OneDrive e altri per C2. Gli obiettivi principali di APT29 sono governi, sottappaltatori governativi, organizzazioni politiche, aziende di ricerca e settori critici negli Stati Uniti e in Europa.
Ulteriori sviluppi e attacchi
Il Computer Emergency Response Team dell’Ucraina ha avvertito di una nuova serie di attacchi di phishing contro le organizzazioni statali dell’Ucraina utilizzando un toolkit post-sfruttamento open-source basato su Go chiamato Merlin. Il paese, devastato dalla guerra, ha anche affrontato continui assalti informatici da parte di Sandworm, un’unità di hacking d’élite affiliata all’intelligence militare russa.