Microsoft e il CERT (Computer Emergency Response Team) dell’Ucraina hanno rilevato nuovi attacchi effettuati dal gruppo russo Turla contro le aziende che operano nel settore della difesa. L’obiettivo è rubare dati riservati durante le attività di cyberspionaggio effettuate con la backdoor DeliveryCheck. Il malware sfrutta i server Exchange come server C2 (command and control).
DeliveryCheck risparmia sui server
L’attacco inizia con l’invio di un’email di phishing. L’allegato Excel XLSM contiene macro che, se attivate, eseguono script PowerShell e creano un’attività pianificata impersonando il servizio di aggiornamento del browser Firefox. In realtà viene scaricata DeliveryCheck (nota anche come CapiBar o GAMEDAY).
La backdoor, che viene caricata in memoria, si collega al server C2, dal quale riceve comandi e scarica altri malware nascosti in fogli di stile XSLT. I cybercriminali russi del gruppo Turla sfruttano la backdoor per l’accesso remoto e la sottrazione dei dati con il tool Rclone.
I server C2 fanno parte dell’infrastruttura sviluppata dai cybercriminali. In questo caso sono stati utilizzati server Microsoft Exchange compromessi, installando un componente specifico tramite Desired State Configuration (DSC), un modulo PowerShell che consente agli amministratori di creare configurazioni standardizzate da applicare ai dispositivi.
In pratica, il modulo DSC è stato usato per caricare un eseguibile che trasforma un server legittimo in server distributore di malware. Durante l’attacco può essere installata anche KAZUAR, una backdoor con funzionalità di info-stealer che può rubare token di autenticazione e cookie da browser e vari software. È in grado anche di accedere ai messaggi della versione desktop di Signal.