Il gruppo di hacker iraniano noto come APT34 è stato collegato a un nuovo attacco di phishing che porta al lancio di una variante di un backdoor chiamato SideTwist. Secondo un rapporto pubblicato la scorsa settimana da NSFOCUS Security Labs, APT34 dispone di una tecnologia di attacco di alto livello, può progettare diversi metodi di intrusione per diversi tipi di obiettivi e ha la capacità di attaccare la catena di fornitura.
Caratteristiche dell’APT34
L’APT34, conosciuto anche con i nomi Cobalt Gypsy, Hazel Sandstorm (precedentemente Europium), Helix Kitten e OilRig, ha un lungo storico di attacchi a settori come le telecomunicazioni, il governo, la difesa, il petrolio e i servizi finanziari nel Medio Oriente dal 2014, utilizzando esche di spear-phishing che culminano nel lancio di vari backdoor. Una delle principali caratteristiche del gruppo è la sua capacità di creare strumenti nuovi e aggiornati per minimizzare le possibilità di rilevamento e mantenere una presenza prolungata sui sistemi compromessi.
Dettagli sull’attacco SideTwist
Il backdoor SideTwist è stato documentato per la prima volta come utilizzato da APT34 nell’aprile 2021, con Check Point che lo descrive come un impianto in grado di scaricare/uploadare file e eseguire comandi. La catena di attacco identificata da NSFOCUS inizia con un documento Word di Microsoft che funge da esca, incorporando un macro malevolo che estrae e lancia il payload codificato in Base64 contenuto nel file. Questo payload è una variante di SideTwist compilata utilizzando GCC e stabilisce una comunicazione con un server remoto per ricevere ulteriori comandi.
Altre campagne di phishing correlate
Questa scoperta segue quella di Fortinet FortiGuard Labs, che ha identificato una campagna di phishing che diffonde una nuova variante di Agent Tesla attraverso un documento Excel di Microsoft appositamente creato che sfrutta la vulnerabilità CVE-2017-11882, una vulnerabilità di corruzione della memoria vecchia di sei anni nel Equation Editor di Microsoft Office, e CVE-2018-0802. “Il modulo core di Agent Tesla raccoglie informazioni sensibili dal dispositivo della vittima”, ha dichiarato il ricercatore di sicurezza Xiaopeng Zhang. Queste informazioni includono le credenziali salvate di alcuni software, le informazioni di keylogging della vittima e gli screenshot.
Secondo i dati condivisi dalla società di cybersecurity Qualys, CVE-2017-11882 rimane una delle falle più sfruttate ad oggi, sfruttata da “467 malware, 53 attori minacciosi e 14 ransomware” fino al 31 agosto 2023. Questo segue anche la scoperta di un altro attacco di phishing che utilizza esche di file immagine ISO per lanciare ceppi di malware come Agent Tesla, LimeRAT e Remcos RAT su host infetti.