Mandiant ha scoperto nuove campagne di phishing attuate contro varie organizzazioni diplomatiche dal gruppo APT29 (noto anche come Cozy Bear o Nobelium) che si presume legato al servizio di intelligence russo SVR. Gli attacchi sono stati eseguiti con due nuovi malware, denominati BEATDROP e BOOMMIC, ma soprattutto sfruttando il servizio Trello di Atlassian.
Phishing e spionaggio con Trello
I cybercriminali russi hanno inviato email di spear phishing ai singoli diplomatici, utilizzando indirizzi legittimi recuperati dai siti delle ambasciate. Sfruttando una tecnica nota come HTML smuggling è stato scaricato sul computer il dropper ROOTSAW (nascosto nel file HTML allegato). Quest’ultimo scarica immagini ISO o IMG che contengono file .lnk e .dll. Se l’utente clicca sul file .lnk viene caricata la DLL che in realtà è il downloader BEATDROP.
Gli esperti di Mandiant hanno scoperto che il dowloader utilizza il servizio Trello di Atlassian per le comunicazioni C2 (command and control). In altri casi, BEATDROP è stato sostituito da BEACON, un loader basato su Cobalt Strike. I malware raccolgono numerose informazioni sul sistema e sull’utente (credenziali di login incluse), registrano i tasti premuti e scattano screenshot.
Successivamente BEATDROP distribuisce BOOMMIC, un altro downloader che stabilisce la persistenza dell’infezione, modificando le chiavi del registro di Windows. A questo punto, il gruppo APT29 esegue numerose operazioni, tra cui l’escalation di privilegi, la scansione della rete e l’installazione di certificati.
Gli attacchi sono prevalentemente indirizzati verso target di alto profilo, essendo una chiara attività di cyberspionaggio. Sul mercato esistono numerose soluzioni di sicurezza che possono rilevare e bloccare le email di phishing. Tra le più affidabili c’è Avast Premium Security.