Il settore della difesa in Ucraina e nell’Europa orientale è stato preso di mira da un nuovo backdoor basato su .NET chiamato DeliveryCheck, capace di consegnare payload di prossima fase. Il team di intelligence sulle minacce di Microsoft, in collaborazione con il Computer Emergency Response Team dell’Ucraina (CERT-UA), ha attribuito gli attacchi a un attore di stato-nazione russo noto come Turla.
La backdoor DeliveryCheck
“DeliveryCheck viene distribuito tramite email come documenti con macro dannose”, ha affermato l’azienda in una serie di tweet. “Persiste tramite un’attività pianificata che scarica e lancia in memoria. Contatta anche un server C2 per recuperare i compiti, che possono includere il lancio di payload arbitrari incorporati in fogli di stile XSLT.”
L’implant Kazuar
L’accesso iniziale di successo è accompagnato in alcuni casi dalla distribuzione di un noto impianto Turla chiamato Kazuar, che è attrezzato per rubare file di configurazione dell’applicazione, registri degli eventi e una vasta gamma di dati dai browser web.
L’obiettivo degli attacchi
L’obiettivo finale degli attacchi è esfiltrare i messaggi dall’app di messaggistica Signal per Windows, consentendo all’avversario di accedere a conversazioni sensibili, documenti e immagini sui sistemi bersaglio.
La capacità di DeliveryCheck
Un aspetto degno di nota di DeliveryCheck è la sua capacità di violare i server Microsoft Exchange per installare un componente lato server utilizzando PowerShell Desired State Configuration (DSC), una piattaforma di gestione PowerShell che aiuta gli amministratori ad automatizzare la configurazione dei sistemi Windows.
La divulgazione arriva mentre la Cyber Police dell’Ucraina ha smantellato una massiccia bot farm con più di 100 individui che presumibilmente diffondevano propaganda ostile che giustificava l’invasione russa, trapelando informazioni personali appartenenti ai cittadini ucraini e impegnandosi in vari schemi di frode.