Il team di Threat Intelligence di Hossein Jazi e Malwarebytes ha pubblicato giovedì un rapporto che evidenzia un nuovo attore di minacce potenzialmente rivolto a individui russi e filorussi.
Gli aggressori hanno incluso un manifesto sulla Crimea, indicando che l'attacco potrebbe essere stato motivato politicamente. Gli attacchi includono un documento sospetto denominato “Manifest.docx” che scarica ed esegue in modo univoco vettori di doppio attacco: iniezione di modelli remoti e CVE-2021-26411, un exploit di Internet Explorer.
“Entrambe le tecniche sono state caricate da documenti dannosi utilizzando la tecnica di iniezione del modello. Il primo modello contiene un URL per scaricare un modello remoto che ha un VBA Rat completo incorporato. Questo Rat ha diverse funzionalità tra cui download, caricamento ed esecuzione di file, ” ha detto Jazi.
“Il secondo modello è un exploit per CVE-2021-26411 che esegue un codice shell per distribuire lo stesso VBA Rat. Il VBA Rat non è offuscato ma ha comunque utilizzato alcune tecniche interessanti per shell- iniezione di codice.”
Jazi ha attribuito l'attacco al conflitto in corso tra Russia e Ucraina, in parte incentrato sulla Crimea. Il rapporto rileva che gli attacchi informatici da entrambe le parti sono in aumento.
Ma Jazi fa notare che il manifesto e le informazioni sulla Crimea possono essere utilizzate come false flag dagli attori della minaccia.
Il team di Threat Intelligence di Malwarebytes ha scoperto “Манифест.docx” (“Manifest.docx”) il 21 luglio, scoprendo che scarica ed esegue i due modelli: uno è abilitato per le macro e l'altro è un html che contiene un exploit di Internet Explorer.
Gli analisti hanno scoperto che lo sfruttamento di CVE-2021-26411 assomigliava a un attacco lanciato dall'APT Lazarus.
Secondo il rapporto, gli aggressori hanno combinato l'ingegneria sociale e l'exploit per aumentare le loro possibilità di infettare le vittime.
Malwarebytes non è stato in grado di attribuire l'attacco a un attore specifico, ma ha affermato che alle vittime è stato mostrato un documento esca che conteneva una dichiarazione di un gruppo associato a una figura di nome Andrey Sergeevich Portyko, che presumibilmente si oppone alle politiche del presidente russo Vladimir Putin sulla Crimea Penisola.
Jazi ha spiegato che il documento esca viene caricato dopo che sono stati caricati i modelli remoti. Il documento è in russo ma è anche tradotto in inglese.
L'attacco include anche un ratto VBA che raccoglie le informazioni della vittima, identifica il prodotto AV in esecuzione sul computer della vittima, esegue codici shell, elimina file, carica e scarica file mentre legge anche informazioni su disco e file system.< /p>
Jazi ha notato che invece di utilizzare chiamate API ben note per l'esecuzione di codice shell che possono essere facilmente contrassegnate dai prodotti AV, l'attore delle minacce ha utilizzato il caratteristico EnumWindows per eseguire il proprio codice shell.
Sicurezza
Attacco ransomware Kaseya: cosa devi sapere Recensione di Surfshark VPN: è economico, ma è buono? I migliori browser per la privacy Sicurezza informatica 101: proteggi la tua privacy I migliori software e app antivirus Le migliori VPN per uso aziendale e domestico Le migliori chiavi di sicurezza per 2FA Come le vittime che pagano il riscatto incoraggiano più attacchi (ZDNet YouTube)
Argomenti correlati :
Developer Security TV Data Management CXO Data Center 