In una recente dichiarazione, il Computer Emergency Response Team dell’Ucraina (CERT-UA) ha annunciato di aver sventato un attacco cibernetico contro una struttura critica nel settore energetico del paese. L’attacco, orchestrato dal noto gruppo di minacce russe APT28 (noto anche come BlueDelta, Fancy Bear, Forest Blizzard o FROZENLAKE), ha avuto inizio con un’email di phishing contenente un link a un archivio ZIP malevolo che avrebbe innescato la catena di infezione.
Dinamica dell’attacco
L’attacco è iniziato con un’email di phishing che conteneva un link malevolo. Una volta cliccato, il link avrebbe scaricato un archivio ZIP contenente tre immagini JPG (utilizzate come esche) e un file BAT denominato “weblinks.cmd” sul computer della vittima. Quando viene eseguito il file CMD, vengono aperte diverse pagine web fasulle e vengono creati file .bat e .vbs, con il file VBS che avrebbe poi eseguito il file BAT.
In una fase successiva dell’attacco, veniva eseguito il comando “whoami” sul host compromesso, con l’obiettivo di esfiltrare le informazioni e scaricare il servizio nascosto TOR per instradare il traffico malevolo. La persistenza dell’attacco era garantita attraverso un’attività pianificata e l’esecuzione di comandi remoti veniva implementata utilizzando cURL attraverso un servizio legittimo chiamato webhook.site, recentemente rivelato come strumento utilizzato da un altro attore delle minacce noto come Dark Pink.
Misure preventive e risultati
Fortunatamente, l’attacco è stato sventato con successo, principalmente grazie alle restrizioni imposte all’accesso a Mocky e al Windows Script Host (wscript.exe). È interessante notare che in passato APT28 ha già utilizzato le API di Mocky per condurre attacchi simili.
Il CERT-UA ha sottolineato che l’attacco non ha avuto successo, un risultato che evidenzia l’importanza delle misure preventive e delle restrizioni imposte ai servizi e alle applicazioni potenzialmente vulnerabili.
Contesto più ampio
Questa rivelazione arriva in un momento in cui l’Ucraina continua a essere bersaglio di attacchi di phishing, alcuni dei quali utilizzano un motore di offuscamento del malware chiamato ScruptCrypt per distribuire AsyncRAT. Un altro attacco cibernetico, condotto da GhostWriter (anche noto come UAC-0057 o UNC1151), ha sfruttato una recente vulnerabilità zero-day in WinRAR (CVE-2023-38831, punteggio CVSS: 7.8) per distribuire PicassoLoader e Cobalt Strike.