GUERRA FUTURA. Quando la guerra cognitiva serve agli hacker…

54
Screenshot

Google Mandiant ha pubblicato un rapporto sull’APT42 iraniano (aka Mint Sandstorm, Charming Kitten, TA453), analizzando in dettaglio i suoi tre cluster di attività principali, nonché una panoramica degli attacchi recenti e dell’attuale arsenale di malware.

APT utilizza vari schemi di ingegneria sociale per ottenere l’accesso alle reti delle vittime, compresi gli ambienti cloud, prendendo di mira le ONG occidentali e mediorientali, i media, il mondo accademico, i servizi legali e gli attivisti. In alcuni casi, gli hacker si sono spacciati per giornalisti e organizzatori di eventi, consegnando inviti a conferenze o documentazione alle vittime.

Questo è un caso classico di “ottenimento della fiducia”. Nelle lezioni di marketing avanzato o di analisi comportamentale ti dicono che la prima cosa che bisogna fare per costringere qualcuno a fare qualcosa che “vuoi tu” è quello di entrare nella sfera della fiducia della “vittima”. In questo caso hanno consegnato qualcosa per entrare nella sfera della fiducia come inviti a conferenza per entrare nei loro cloud. E le vittime hanno consegnato in fiducia i loro segreti senza saperlo.

Schemi avanzati di ingegneria sociale hanno consentito all’APT42 iraniano di raccogliere credenziali e ottenere l’accesso agli ambienti cloud. Successivamente, i dati di interesse strategico per l’Iran sono stati rubati, facendo affidamento su funzioni integrate e strumenti open source per eludere il rilevamento.

Inoltre, i ricercatori notano le recenti operazioni APT42 che coinvolgono malware, tra cui due nuove backdoor: NICECURL e TAMECAT. Forniscono agli hacker l’accesso iniziale come interfaccia per eseguire comandi o distribuire malware aggiuntivo.

Mandiant ha identificato e descritto tre cluster di infrastrutture APT42 per la raccolta di credenziali da obiettivi nei settori politico e pubblico, media e ONG.

Hanno tutti TTP simili per prendere di mira le credenziali delle vittime (e-mail di spear phishing), ma differiscono in diversi domini, modelli di cloaking, trappole e temi.

Queste backdoor forniscono un’interfaccia flessibile di esecuzione del codice che può essere utilizzata come punto di partenza per distribuire malware aggiuntivo o eseguire manualmente comandi sul dispositivo.

NICECURL è scritto in VBScript e può caricare moduli aggiuntivi per l’esecuzione, incluso il data mining e l’esecuzione di comandi arbitrari.

È stato rilevato per la prima volta nel gennaio 2024 e la catena di infezione è stata precedentemente documentata anche da Volexity

Più tardi, a marzo, Mandiant trovò un campione di TAMECAT. Serve come fulcro per l’esecuzione di contenuti PowerShell o C# arbitrari.

Entrambi sono stati utilizzati in una campagna di spear phishing su larga scala per prendere di mira organizzazioni non governative, governative e intergovernative in tutto il mondo.

Nel rapporto sono presentati in dettaglio esempi di phishing e un’analisi tecnica completa degli attacchi monitorati e degli strumenti IOC.

Graziella Giangiulio

Segui i nostri aggiornamenti su Spigolature geopolitiche: https://t.me/agc_NW e sul nostro blog Le Spigolature di AGCNEWS: https://spigolatureagcnews.blogspot.com/