“Cobalt Strike” contro il governo indiano
Il team di Threat Intelligence di Telsy ha osservato un attacco contro membri del governo indiano o di istituzioni locali, che utilizza temi di ingegneria sociale come, ad esempio, un’indagine per un attacco informatico o il classico tema COVID-19.
La campagna, probabilmente effettuata tramite una e-mail di spear-phishing, inizia con l’apertura di un allegato PDF legittimo contenente un URL dannoso da cui scaricare un file ISO. Il file ISO contiene file LNK e una DLL dannosa che esegue un beacon Cobalt Strike in memoria. L’utilizzo di un portale legittimo come C2 e una comunicazione HTTPS criptata rende la campagna molto silente.
Cobalt Strike è uno strumento commerciale di penetration test, che dà ai pentester l’accesso a una grande varietà di capacità di attacco. Questa piattaforma di attacco combina ingegneria sociale, strumenti di accesso non autorizzato, offuscamento delle comunicazioni di rete e un sofisticato meccanismo per distribuire codice eseguibile malevolo sui sistemi compromessi.
Pertanto Cobalt Strike, sebbene sia uno strumento legittimo utilizzato dagli hacker etici, è anche ampiamente utilizzato dai threat actor per lanciare attacchi reali contro le organizzazioni.
La maggior parte dei threat actor utilizza versioni non leciti di Cobalt Strike, o semplicemente sostituisce il valore del watermark per eludere i tentativi di attribuzione.
Il watermark 1359593325 di Cobalt Strike e la catena di infezione analizzata potrebbero far pensare al threat actor Nobelium aka APT29 a causa delle somiglianze, sia nei componenti che nel modo in cui il target viene infettato così come descritte in precedenza dalle società di sicurezza Volexity e Microsoft.
Purtroppo, non ci sono evidenze chiare per attribuire queste campagne a questo threat actor. Questo report è stato prodotto dal team “Cyber Threat Intelligence” di Telsy con l’aiuto della sua piattaforma CTI, che consente di analizzare e rimanere aggiornati su avversari e minacce che potrebbero avere un impatto sul business dei clienti.
Leggi gli altri report cyber sul blog di Telsy
Telsy Cyber Threat Intelligence TeamVedi tutti gli articoli
Il team "Cyber Threat Intelligence" di Telsy è formato da professionisti con oltre dieci anni di esperienza nel campo della sicurezza informatica. Al suo interno ci sono figure professionali con diverse capacità, acquisite in contesti come Red Team, Cyber Threat Intelligence, Incident Response, Malware Analysis, Threat Hunting. Il principale obiettivo del Team è la raccolta e l'analisi di informazioni al fine di caratterizzare possibili minacce cyber, in relazione a contesti operativi specifici. Tale attività consente di avere una knowledgebase degli avversari comprensiva delle loro Tecniche Tattiche e Procedure (TTP), dei loro principali target nonché l'impatto che potrebbero avere sul business dei clienti Telsy.