Il gruppo di hacker russi APT28 mira a varie entità governative ucraine attraverso email malevole che fingono di contenere istruzioni per l’aggiornamento di Windows.
Attacco informatico contro l’Ucraina
Il Computer Emergency Response Team dell’Ucraina (CERT-UA) ha rivelato che gli hacker russi stanno prendendo di mira varie entità governative ucraine con email malevole che fingono di contenere istruzioni su come aggiornare Windows per difendersi dagli attacchi informatici.
Il gruppo di hacker APT28 dietro l’attacco
Secondo il CERT-UA, il gruppo di hacker sponsorizzato dallo stato russo APT28 (noto anche come Fancy Bear) è responsabile dell’invio di queste email, impersonando gli amministratori di sistema delle entità governative colpite per ingannare più facilmente le loro vittime.
Metodo dell’attacco e conseguenze
Gli aggressori hanno creato indirizzi email @outlook.com utilizzando nomi di dipendenti reali, ottenuti attraverso metodi sconosciuti nelle fasi preparatorie dell’attacco. Invece di fornire istruzioni legittime sull’aggiornamento dei sistemi Windows, le email malevole suggeriscono ai destinatari di eseguire un comando PowerShell. Questo comando scarica uno script PowerShell sul computer, simulando un processo di aggiornamento di Windows mentre scarica un payload PowerShell di secondo stadio in background. Il payload di secondo stadio è uno strumento di raccolta di informazioni di base che sfrutta i comandi ‘tasklist’ e ‘systeminfo’ per raccogliere dati e inviarli a un’API del servizio Mocky tramite una richiesta HTTP.
L’uso improprio di Mocky e le precauzioni
Mocky è un’applicazione legittima che aiuta gli utenti a generare risposte HTTP personalizzate, ma in questo caso, APT28 ne ha abusato per l’esfiltrazione dei dati. Il CERT-UA raccomanda agli amministratori di sistema di limitare la possibilità di avviare PowerShell sui computer critici e monitorare il traffico di rete per le connessioni all’API del servizio Mocky.
APT28 e gli attacchi in Ucraina
Il Threat Analysis Group di Google ha recentemente riferito che circa il 60% di tutte le email di phishing che mirano all’Ucraina nel primo trimestre del 2023 proviene da attori delle minacce russi, evidenziando APT28 come un importante responsabile di questa attività malevola. Nel marzo 2023, Microsoft ha corretto una vulnerabilità di Outlook conosciuta come CVE-2023-23397, che APT28 ha sfruttato fin dal 2022 per violare le reti di organizzazioni governative, militari, energetiche e dei trasporti europei.