Fancy Bear, un gruppo di cyber-spionaggio legato al Cremlino, è stato osservato da Microsoft mentre sfrutta due bug precedentemente corretti per campagne di phishing su larga scala contro obiettivi ad alto valore, come agenzie governative, di difesa e aerospaziali negli Stati Uniti e in Europa.

Dettagli delle Vulnerabilità Sfruttate

Le vulnerabilità sfruttate includono CVE-2023-23397, un difetto di elevazione dei privilegi in Microsoft Outlook, e CVE-2023-38831, un difetto di esecuzione di codice remoto in WinRAR che consente l’esecuzione di codice arbitrario. Microsoft ha inizialmente corretto il bug di Outlook a marzo, avvertendo che era già stato sfruttato da malintenzionati in Russia contro settori governativi, energetici e militari in Europa, con un focus specifico sull’Ucraina.

Attività di Fancy Bear

Fancy Bear, tracciato da Microsoft come Forest Blizzard e precedentemente noto come Strontium, è stato attivo dal 2012 e ha iniziato prendendo di mira entità governative sudcoreane, think tank e individui identificati come esperti in vari campi, prima di espandere il suo raggio d’azione a Europa, Russia e Stati Uniti. Alcuni degli account Outlook compromessi appartengono a organizzazioni pubbliche e private polacche, secondo il Cyber Command polacco (DKWOC), che ha collaborato con Microsoft nelle indagini. Qui la storia completa in esclusiva su Matrice Digitale

Metodologia dell’Attacco

L’attacco di Fancy Bear inizia con un’email di phishing contenente un allegato di appuntamento, utilizzando un file TNEF mascherato come un file CSV, Excel o Word. L’estensione maligna contiene un percorso UNC che indirizza il traffico a un listener SMB ospitato su un router Ubiquiti probabilmente compromesso. In passato, Fancy Bear ha utilizzato router compromessi per ospitare i suoi nodi di comando e controllo o listener NTLM.

Campagna di Phishing utilizzando WinRAR

Utilizzando un diverso set di indirizzi email Portugalmail, gli spie russe hanno anche inviato email di phishing sfruttando una vulnerabilità di WinRAR, CVE-2023-32231. Questa vulnerabilità, che consente ai malintenzionati di eseguire malware nascosto all’interno di file legittimi, è stata corretta ad agosto, ma apparentemente non è stata patchata da abbastanza persone.

Aspettative per il Futuro

Gli esperti di sicurezza prevedono che i criminali continueranno a sfruttare entrambi i bug in sistemi non aggiornati, riflettendo il passaggio definitivo di TA422 da malware compilato per accesso persistente a reti mirate a accesso orientato alle credenziali più leggero.

Un cittadino belga è in arresto ed è accusato per il suo ruolo in uno schema di contrabbando pluriennale per esportare elettronica di grado militare dagli Stati Uniti verso Russia e Cina.

Dettagli dell’Arresto e delle Accuse

Hans Maria De Geetere, 61 anni, è stato detenuto dalle forze dell’ordine belghe il 5 dicembre insieme ad altre cinque persone per interrogatorio. Il Dipartimento di Giustizia degli Stati Uniti ha anche reso pubbliche due incriminazioni che accusano De Geetere e altri di aver esportato illegalmente milioni di dollari di elettronica statunitense – utilizzata in missili, veicoli aerei senza pilota, ricevitori di guerra elettronica e radar militari – verso entità in Cina e Russia.

Azioni Internazionali Coordinate

I Dipartimenti del Commercio e del Tesoro degli Stati Uniti hanno aggiunto De Geetere e le sue aziende – Knokke-Heist Support Management Corporation e European Trading Technology BV – alla BIS Entity List e alla OFAC Specially Designated and Blocked Person List per aver trasferito la tecnologia di armi illecite. Le azioni internazionali coordinate dimostrano l’impegno a interrompere il flusso di elettronica critica statunitense verso la Repubblica Popolare Cinese e la Russia.

Dettagli delle indagini

Secondo un’incriminazione presentata in un tribunale del Texas, tra marzo 2016 e febbraio 2018, De Geetere e un uomo della Florida, Eddy Johan Coopmans, 62 anni, hanno cospirato per contrabbandare circuiti FPGA controllati all’esportazione verso la Russia e telecamere di sorveglianza a infrarossi a onda corta (SWIR) verso la Cina. In totale, i due uomini avrebbero effettuato pagamenti per oltre 1,2 milioni di dollari a individui che ritenevano potessero procurare loro i dispositivi.

Altre accuse

Un’altra incriminazione, presentata in un tribunale dell’Oregon, sostiene che De Geetere abbia tentato illegalmente di procurarsi accelerometri per esportarli in Cina tra aprile 2021 e agosto 2023. Questi dispositivi, del valore di oltre 930.000 dollari, svolgono un ruolo critico in vari sistemi, inclusi quelli di navigazione di armi e veicoli.

Possibili pene

Se condannato, De Geetere rischia un massimo di cinque anni di prigione per cospirazione al contrabbando di beni e per ciascuna accusa di false dichiarazioni, dieci anni per il contrabbando di beni e venti anni per cospirazione al riciclaggio di fondi.

Il gruppo di minaccia nordcoreano noto come Kimsuky è stato osservato mentre prendeva di mira istituti di ricerca in Corea del Sud come parte di una campagna di spear-phishing, con l’obiettivo finale di distribuire backdoor sui sistemi compromessi come denunciato da AhnLab.

Tecniche e Obiettivi di Kimsuky

L’attacco inizia con un’esca sotto forma di dichiarazione di importazione, che è in realtà un file JSE maligno contenente uno script PowerShell offuscato, un payload codificato in Base64 e un documento PDF di diversivo. L’apertura del file PDF funge da tattica diversiva, mentre lo script PowerShell viene eseguito in background per lanciare la backdoor. Il malware è configurato per raccogliere informazioni di rete e altri dati rilevanti e trasmettere i dettagli codificati a un server remoto. È inoltre in grado di eseguire comandi, eseguire payload aggiuntivi e terminare se stesso, trasformandosi in una backdoor per l’accesso remoto all’host infetto.

Espansione delle Attività di Kimsuky

Attivo dal 2012, Kimsuky ha iniziato prendendo di mira entità governative sudcoreane, think tank e individui identificati come esperti in vari campi, prima di espandere il suo raggio d’azione a Europa, Russia e Stati Uniti. All’inizio di questo mese, il Dipartimento del Tesoro degli Stati Uniti ha sanzionato Kimsuky per la raccolta di informazioni a sostegno degli obiettivi strategici della Corea del Nord, tra cui eventi geopolitici, politica estera e sforzi diplomatici.

Altre Attività di Gruppi Nordcoreani

Il rapporto arriva mentre la società di sicurezza blockchain SlowMist ha implicato il noto gruppo nordcoreano Lazarus Group in una vasta campagna di phishing su Telegram mirata al settore delle criptovalute. Inoltre, la Seoul Metropolitan Police Agency (SMPA) ha accusato il sottogruppo di Lazarus, Andariel, di aver rubato informazioni tecniche sui sistemi di armi antiaeree da aziende di difesa nazionali e di aver riciclato i proventi di attacchi ransomware in Corea del Nord.