Fancy Bear, un gruppo di cyber-spionaggio legato al Cremlino, è stato osservato da Microsoft mentre sfrutta due bug precedentemente corretti per campagne di phishing su larga scala contro obiettivi ad alto valore, come agenzie governative, di difesa e aerospaziali negli Stati Uniti e in Europa.
Dettagli delle Vulnerabilità Sfruttate
Le vulnerabilità sfruttate includono CVE-2023-23397, un difetto di elevazione dei privilegi in Microsoft Outlook, e CVE-2023-38831, un difetto di esecuzione di codice remoto in WinRAR che consente l’esecuzione di codice arbitrario. Microsoft ha inizialmente corretto il bug di Outlook a marzo, avvertendo che era già stato sfruttato da malintenzionati in Russia contro settori governativi, energetici e militari in Europa, con un focus specifico sull’Ucraina.
Attività di Fancy Bear
Fancy Bear, tracciato da Microsoft come Forest Blizzard e precedentemente noto come Strontium, è stato attivo dal 2012 e ha iniziato prendendo di mira entità governative sudcoreane, think tank e individui identificati come esperti in vari campi, prima di espandere il suo raggio d’azione a Europa, Russia e Stati Uniti. Alcuni degli account Outlook compromessi appartengono a organizzazioni pubbliche e private polacche, secondo il Cyber Command polacco (DKWOC), che ha collaborato con Microsoft nelle indagini. Qui la storia completa in esclusiva su Matrice Digitale
Metodologia dell’Attacco
L’attacco di Fancy Bear inizia con un’email di phishing contenente un allegato di appuntamento, utilizzando un file TNEF mascherato come un file CSV, Excel o Word. L’estensione maligna contiene un percorso UNC che indirizza il traffico a un listener SMB ospitato su un router Ubiquiti probabilmente compromesso. In passato, Fancy Bear ha utilizzato router compromessi per ospitare i suoi nodi di comando e controllo o listener NTLM.
Campagna di Phishing utilizzando WinRAR
Utilizzando un diverso set di indirizzi email Portugalmail, gli spie russe hanno anche inviato email di phishing sfruttando una vulnerabilità di WinRAR, CVE-2023-32231. Questa vulnerabilità, che consente ai malintenzionati di eseguire malware nascosto all’interno di file legittimi, è stata corretta ad agosto, ma apparentemente non è stata patchata da abbastanza persone.
Aspettative per il Futuro
Gli esperti di sicurezza prevedono che i criminali continueranno a sfruttare entrambi i bug in sistemi non aggiornati, riflettendo il passaggio definitivo di TA422 da malware compilato per accesso persistente a reti mirate a accesso orientato alle credenziali più leggero.