In un recente sviluppo nel campo della sicurezza informatica, una campagna di phishing denominata “Operation RusticWeb” sta prendendo di mira enti governativi indiani e il settore della difesa. Questa operazione, rilevata per la prima volta nell’ottobre 2023 dalla società di sicurezza SEQRITE, utilizza malware basato sul linguaggio di programmazione Rust per raccogliere informazioni di intelligence.
Catena di infezione
La campagna inizia con email di phishing che sfruttano tecniche di ingegneria sociale per indurre le vittime a interagire con file PDF dannosi. Questi file, una volta aperti, rilasciano payload basati su Rust che operano in background per enumerare il file system, mentre mostrano un file finto alla vittima. Il malware raccolto è progettato per raccogliere file di interesse e informazioni sul sistema, trasmettendoli a un server di comando e controllo (C2). Tuttavia, a differenza di altri malware stealer più avanzati presenti nel sottobosco della cybercriminalità, questo sembra avere funzionalità limitate.
Un aspetto interessante di questa campagna è l’uso di Rust, un linguaggio di programmazione noto per le sue caratteristiche di sicurezza e performance. L’adozione di Rust potrebbe indicare un tentativo da parte degli attaccanti di rendere il loro malware più difficile da rilevare e analizzare.
SEQRITE ha anche identificato una seconda catena di infezione che utilizza uno script PowerShell per l’enumerazione e l’esfiltrazione dei dati. In questo caso, il payload finale viene lanciato tramite un eseguibile Rust chiamato “Cisco AnyConnect Web Helper”, e le informazioni raccolte vengono caricate su un motore di condivisione file pubblico anonimo chiamato OshiUpload.
Collegamenti con gruppi collegati al Pakistan
L’analisi di SEQRITE suggerisce che ci possano essere collegamenti tra Operation RusticWeb e gruppi collegati al Pakistan, come Transparent Tribe e SideCopy. Questi gruppi sono noti per aver preso di mira organizzazioni in vari paesi per scopi di cyberspionaggio strategico.
Implicazioni per la Sicurezza Globale
La rivelazione di Operation RusticWeb evidenzia la continua evoluzione delle minacce informatiche e la necessità per le organizzazioni governative e del settore della difesa di rimanere vigili e implementare robuste misure di sicurezza informatica. Questa campagna sottolinea anche come i gruppi APT stiano adottando nuove tecnologie e linguaggi di programmazione per condurre le loro attività malevole.
In conclusione, Operation RusticWeb rappresenta un esempio significativo di come i gruppi APT stiano evolvendo nel loro approccio al cyberspionaggio, utilizzando strumenti e tecniche sofisticate per infiltrarsi e raccogliere informazioni da obiettivi di alto profilo.