FortiGuard Labs è a conoscenza di varie campagne rivolte all’Ucraina da parte di attori di minacce noti come ACTINIUM/Gamaredon/DEV-0157. Il modus operandi di ACTINIUM si rivolge a vari settori verticali per condurre lo spionaggio informatico, inclusi, a titolo esemplificativo ma non esaustivo, organizzazioni governative, ONG, forze dell’ordine e organizzazioni senza scopo di lucro. Questa ultima campagna rivolta all’Ucraina è stata osservata dagli analisti della sicurezza di Microsoft. I TTP osservati di ACTINIUM includono e-mail di spearphishing che utilizzano documenti Microsoft Word appositamente predisposti che contengono macro dannose. Altre tattiche osservate utilizzano file di immagine nelle e-mail di dimensioni molto ridotte e segnalano al server di hosting in modo che l’attaccante possa verificare se l’e-mail è stata visualizzata o meno. Naturalmente, questo dipende dal fatto che il destinatario scelga di scaricare le immagini o meno. Le precedenti analisi su Gamaredon (un altro nome per ACTINIUM) condotte da FortiGuard Labs possono essere trovate qui. I FortiGuard Labs hanno anche documentato gli attacchi contro l’Ucraina qui. Quali sono i dettagli tecnici dell’attacco? ACTINIUM utilizza processi a più fasi che contengono payload che scaricano ed eseguono ulteriori payload aggiuntivi. Le tecniche di staging osservate contengono VBScript, PowerShell, archivi autoestraenti, file LNK e così via molto offuscati. Per rimanere persistente, ACTINIUM si basa su attività pianificate. Per eludere il rilevamento e l’analisi, l’uso di parole del dizionario generate casualmente da un elenco di parole predefinito è stato utilizzato per assegnare sottodomini, attività pianificate e nomi di file per confondere ulteriormente gli analisti. Altre osservazioni osservate sono l’utilizzo di record DNS che vengono modificati frequentemente e contengono nomi di dominio univoci che utilizzano più indirizzi IP ad essi attribuiti. Nel rapporto sono state documentate tre famiglie di malware: PowerPunch – Downloader e contagocce che utilizzano PowerShellPterodo – Malware che utilizza Vari algoritmi di hashing e schemi su richiesta per decrittografare i dati liberando spazio sugli heap allocato per eludere il rilevamento e l’analisi delle minacce. Il malware si sta evolvendo, con l’utilizzo di varie stringhe in contenuto POST utilizzando programmi utente contraffatti e vari comandi e attività pianificate.Sieve Sieve – Questi sono binari .NET pesantemente offuscati che agiscono principalmente come un infostealer.Chi/cosa c’è dietro questo attacco?Secondo a Microsoft, questo ultimo attacco è attribuito all’FSB russo. Questo secondo i precedenti rapporti del governo ucraino che collegavano gli attori di Gamaredon all’FSB. Si tratta di un attacco diffuso? No. Secondo Microsoft, gli attacchi sono limitati agli attacchi mirati in Ucraina. Qual è lo stato della copertura? I clienti Fortinet che eseguono le definizioni più recenti sono protetti dalle seguenti firme AV: MSIL/Pterodo.JJ!trMSIL/Pterodo_AGen.B!trMSIL/Pterodo .JK!trMSIL/Pterodo.JF!trMSIL/Pterodo.JI!trPossibleThreatW32/PossibleThreatVBS/SAgent!trW32/APosT.AUC!trW32/Pterodo.AWR!trW32/APoST!trW32/APoST.AWN!trVBA/Amphitryon.1918!trW32 /Pterodo.AVL!trW32/Pterodo.AUZ!trW32/Pterodo.ASQ!trW32/GenKryptik.FGHO!trRiskware/PterodoW32/Pterodo.APR!trW32/Pterodo.AQB!trTutti gli IOC di rete sono bloccati dal client WebFiltering.Qualsiasi altro suggerito Mitigazione? Poiché ACTINIUM utilizza tecniche di spearphishing come punto di ingresso, le organizzazioni sono incoraggiate a condurre sessioni di formazione continua per istruire e informare il personale sugli ultimi attacchi di phishing/spearphishing. Devono inoltre incoraggiare i dipendenti a non aprire mai gli allegati di persone che non conoscono e a trattare sempre con cautela le e-mail provenienti da mittenti non riconosciuti/non attendibili. Poiché è stato segnalato che vari attacchi di phishing e spearphishing sono stati sferrati tramite meccanismi di distribuzione di ingegneria sociale, è fondamentale che gli utenti finali all’interno di un’organizzazione siano informati dei vari tipi di attacchi forniti. Ciò può essere ottenuto attraverso sessioni di formazione regolari e test estemporanei utilizzando modelli predeterminati dal dipartimento di sicurezza interno di un’organizzazione. Un semplice training di sensibilizzazione dell’utente su come individuare le e-mail con allegati o collegamenti dannosi potrebbe anche aiutare a prevenire l’accesso iniziale alla rete. A causa della facilità di interruzione e del potenziale danno alle operazioni quotidiane, alla reputazione e al rilascio indesiderato di informazioni di identificazione personale (PII) , ecc., è importante mantenere aggiornate tutte le firme AV e IPS. È inoltre importante garantire che tutte le vulnerabilità note dei fornitori all’interno di un’organizzazione vengano affrontate e aggiornate per proteggersi dagli aggressori che stabiliscono un punto d’appoggio all’interno di una rete.
