Il governo polacco avverte che un gruppo di cyber-spionaggio legato ai servizi segreti russi sta prendendo di mira i ministeri diplomatici ed esteri degli Stati membri della NATO e dell’UE in una campagna in corso che utilizza payload di malware precedentemente non documentati. Il gruppo, noto nel settore della sicurezza come APT29, Cozy Bear e NOBELIUM, si ritiene faccia parte dei servizi segreti esteri russi (SVR) ed è il gruppo dietro l’attacco del 2020 contro l’azienda di software SolarWinds, che ha portato alla compromissione di migliaia di organizzazioni in tutto il mondo.

Nella nuova campagna di attacco, scoperta e indagata dal Servizio Militare di Controspionaggio della Polonia e dal CERT Polska (CERT.PL), gli hacker dell’APT29 hanno preso di mira personale selezionato delle sedi diplomatiche con email di spear phishing che si presentavano come messaggi delle ambasciate dei paesi europei che li invitavano a riunioni o a collaborare su documenti. Le e-mail contenevano allegati in formato PDF con link a calendari presumibilmente esterni, dettagli di riunioni o file di lavoro. I link portavano a pagine web che utilizzavano un codice JavaScript per decodificare un payload e offrirlo per il download. Questo script, che utilizza una tecnica chiamata HTML Smuggling, serviva file con allegati .ISO, .ZIP o .IMG.

La campagna di attacco utilizza il DLL sideloading

APT29 ha già utilizzato file .ISO per la distribuzione di malware, ma l’uso di file .IMG (immagine disco) è una tecnica nuova. Sia i file ISO che quelli IMG vengono montati automaticamente come disco virtuale quando vengono aperti in Windows e l’utente può accedere ai file contenuti. In questo caso, i file erano scorciatoie di Windows (LNK) che lanciavano un eseguibile legittimo, che a sua volta caricava una DLL dannosa.

Questa tecnica è nota come DLL sideloading e prevede che gli aggressori consegnino un file eseguibile appartenente a un’applicazione legittima che è nota per caricare una libreria DLL con un nome particolare dalla stessa directory. Gli aggressori devono solo fornire una DLL dannosa con lo stesso nome da allegare al file. Utilizzando un file legittimo per caricare codice dannoso in memoria, gli aggressori sperano di eludere il rilevamento da parte degli strumenti di sicurezza che potrebbero avere quel file nella whitelist.

Il primo payload dell’attacco è un dropper malware personalizzato che i ricercatori polacchi hanno battezzato SNOWYAMBER. Si tratta di un programma leggero che raccoglie informazioni di base sul computer e contatta un server di comando e controllo ospitato su Notion.so, un servizio di collaborazione online. L’obiettivo di questo dropper è quello di scaricare ed eseguire ulteriore malware e i ricercatori hanno visto gli aggressori di APT29 utilizzarlo per distribuire i beacon Cobalt Strike e BruteRatel. Entrambi sono framework commerciali di post-exploitation destinati ai penetration tester ma che sono stati adottati anche dagli aggressori.

Whats-Next-For-Cyber-Warfare

Una variante di SNOWYAMBER è stata individuata e segnalata pubblicamente da Recorder Future nell’ottobre del 2022, ma una nuova variante con ulteriori routine anti-rilevamento è stata individuata dai ricercatori polacchi nel febbraio del 2023. SNOWYAMBER non è l’unico malware dropper utilizzato da APT29. A febbraio, il gruppo è stato infatti visto utilizzare un altro payload soprannominato HALFRIG, anch’esso usato per distribuire Cobalt Strike. A marzo, gli hacker sono stati visti utilizzare anche un altro strumento, denominato QUARTERRIG, che condivide parte della sua base di codice con HALFRIG.

L’uso di più dropper in un periodo di tempo relativamente breve suggerisce che gli aggressori si stanno rapidamente adattando e sostituendo gli strumenti identificati dalla comunità della sicurezza e che non garantiscono più lo stesso tasso di successo.

La campagna di spionaggio di APT29 è in corso

“Al momento della pubblicazione del rapporto, la campagna è ancora in corso e in fase di sviluppo”, ha dichiarato il governo polacco nel suo avviso. “L’obiettivo della pubblicazione dell’avviso è quello di interrompere la campagna di spionaggio in corso, imporre costi aggiuntivi per le operazioni contro le nazioni alleate e consentire l’individuazione, l’analisi e il monitoraggio dell’attività da parte delle parti interessate e del settore della sicurezza informatica in generale”.

L’elenco degli obiettivi nell’area di interesse dell’APT29 include enti governativi, enti diplomatici (ministeri stranieri, ambasciate, personale diplomatico e coloro che lavorano in enti internazionali), organizzazioni internazionali e organizzazioni non governative. Sebbene gli attacchi si siano concentrati principalmente sulle entità dell’UE e della NATO, sono stati osservati alcuni obiettivi anche in Africa.

Il Servizio Militare di Controspionaggio polacco e il CERT.PL raccomandano alle organizzazioni che pensano di essere un bersaglio di implementare le seguenti misure difensive:

  • Bloccare la possibilità di montare immagini disco sul file system, poiché la maggior parte degli utenti non ha bisogno di questa funzionalità
  • Monitorare il montaggio di file immagine da parte di utenti con ruoli di amministratore
  • Abilitare e configurare le regole di riduzione della superficie di attacco
  • Configurare i criteri di restrizione del software
  • Bloccare la possibilità di avviare file eseguibili da posizioni insolite (in particolare, directory temporanee, %localappdata% e sottodirectory e supporti esterni).

L’avviso del governo polacco include anche degli indicatori di compromissione che possono essere utilizzati per costruire il rilevamento dei campioni di malware conosciuti.