Sommario
Microsoft ha identificato una campagna di phishing condotta dal gruppo di minacce noto come Storm-0978, che mira a entità di difesa e governative in Europa e Nord America. La campagna ha coinvolto l’abuso di CVE-2023-36884, che include una vulnerabilità di esecuzione di codice remoto sfruttata prima della divulgazione a Microsoft tramite documenti Word, utilizzando esche relative al Congresso Mondiale Ucraino.
Il gruppo di minacce Storm-0978
Storm-0978 (DEV-0978; noto anche come RomCom, il nome del loro backdoor, da altri fornitori) è un gruppo di cybercriminali con base in Russia, noto per condurre operazioni opportuniste di ransomware e di estorsione, oltre a campagne mirate di raccolta di credenziali probabilmente a sostegno delle operazioni di intelligence. Storm-0978 gestisce, sviluppa e distribuisce il backdoor RomCom. L’attore distribuisce anche il ransomware Underground, strettamente correlato al ransomware Industrial Spy osservato per la prima volta nel maggio 2022.
Gli attacchi di Storm-0978
Le operazioni mirate di Storm-0978 hanno colpito principalmente organizzazioni governative e militari in Ucraina, così come organizzazioni in Europa e Nord America potenzialmente coinvolte negli affari ucraini. Gli attacchi identificati di ransomware hanno colpito le industrie delle telecomunicazioni e della finanza, tra gli altri.
Le raccomandazioni di Microsoft
Microsoft raccomanda l’attivazione della protezione fornita dal cloud in Microsoft Defender Antivirus o l’equivalente per il prodotto antivirus per coprire gli strumenti e le tecniche degli attaccanti in rapida evoluzione. Le protezioni basate su machine learning basate sul cloud bloccano la maggior parte delle nuove varianti sconosciute.
Mentre Storm-0978 continua a condurre attacchi, sarà interessante vedere come le organizzazioni rispondono per proteggere i loro utenti. Per ora, sembra che Storm-0978 abbia trovato un modo per sfruttare una vulnerabilità per causare danni significativi.
