Una campagna di spear-phishing sconosciuta precedentemente attribuita ad APT29 ha preso di mira la Commissione Europea. Secondo quanto analizzato dal ricercatore di cybersecurity specializzato in digital forensics e incident response per il settore delle telecomunicazioni Gianluca Tiepolo, il 13 febbraio 2023 è stato inviato il primo messaggio di phishing, che si mascherava come un avviso amministrativo relativo ai documenti disponibili per il download su eTrustEx, una piattaforma di scambio web che garantisce la trasmissione sicura di documenti tra i membri della Commissione.
L’attacco ha distribuito un’immagine ISO maligna che conteneva un nuovo campione del downloader VaporRage. Il malware è stato osservato sfruttare l’API di Notion per distribuire beacon di Cobalt Strike. Si è notato che i mittenti degli account email compromessi sono probabilmente organizzazioni governative legittime. Il file ISO è impostato per il download automatico quando il sito web viene visitato dalla vittima. L’ISO contiene due file: un file di collegamento Windows (Instructions.lnl) e una DLL maligna (BugSplatRc64.dll). Il campione di VaporRage sfrutta il comando e controllo comunicando tramite HTTPS utilizzando le API di Notion. L’APT29 ha utilizzato VaporRage per distribuire beacon di cobalt strike al fine di mantenere la persistenza sul sistema della vittima.
Ad oggi non vi sono riscontri in rete su questo attacco dell’apt russa collegata spesso alle attività dei servizi su cui Matrice Digitale ha raccontato la lunga storia in più articoli.
