E’ stata scoperta dalla Trellix una campagna di spionaggio multi-stadio mirata a funzionari governativi di alto rango impegnati nella sicurezza nazionale ed interessata ad acquisire informazioni da individui correlati all’industria della difesa nell’Asia occidentale.

L’attacco è unico in quanto sfrutta Microsoft OneDrive come server Command-and-Control (C2) ed è suddiviso in un massimo di sei tappe per rimanere il più nascosto possibile.

“Questo tipo di comunicazione consente al malware di passare inosservato nei sistemi delle vittime poiché si collegherà solo ai legittimi domini Microsoft e non mostrerà alcun traffico di rete sospetto“, ha spiegato Trellix in esclusiva a the hackernews.

Si dice che i primi segnali di attività associati all’operazione segreta si siano iniziati già il 18 giugno 2021, con due vittime riportate il 21 settembre e 29, seguite da 17 in più in un breve lasso di tre giorni tra il 6 e 8 ottobre.

Trellix attribuito gli attacchi al gruppo APT28 con sede a Russia, denominato Fancy Bear.

“Siamo sicuri che abbiamo a che fare con un attore molto qualificato in base a come sono stati stataimplementati l’infrastruttura, la codifica malware e il funzionamento“, ha detto il ricercatore di Trellix Security, Marc Elias.

La catena di infezione inizia con l’esecuzione di un file Microsoft Excel contenente un exploit per la vulnerabilità dell’esecuzione del codice remoto MSHTML (CVE-2021-40444), che viene utilizzato per eseguire un file binario dannoso che funge da downloader di un malware di terzo-stadio denominato Grafite.

L’eseguibile DLL utilizza OneDrive come server C2 tramite l’API Microsoft Graph per recuperare ulteriore malware che alla fine scarica ed esegue Empire, un quadro post-sfruttamento basato su POWERSHELL open source ampiamente utilizzato dagli attori della minaccia per le attività di follow-on.