IBM X-Fforce analizza le attività di APT28 che colpiscono la diplomazia e le accademie con la Backdoor HeadLace

Il gruppo di hacker di APT28 utilizza delle honeypot collegate al conflitto tra Israele e Hamas per distribuire una backdoor HeadLace personalizzata per ottenere informazioni di intelligence. Lo riferiscono gli specialisti di IBM X-Force che stanno monitorando le attività del gruppo.

La nuova campagna si rivolge a target in almeno 12 paesi, tra cui Ungheria, Turchia, Australia, Polonia, Belgio, Germania, Azerbaigian, Arabia Saudita, Kazakistan, Italia, Lettonia e Romania. 

Durante gli attacchi gli aggressori utilizzano documenti falsi destinati principalmente alle organizzazioni europee che influenzano la distribuzione degli aiuti umanitari. Tra le esche ci sono documenti relativi all’ONU, alla Banca d’Israele, al Public Policy Research Institute del Congresso americano, al Parlamento europeo e ai think tank.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Alcuni attacchi utilizzano archivi RAR che sfruttano la vulnerabilità CVE-2023-38831 (CVSS: 7.8) in WinRAR per distribuire la backdoor HeadLace. Il bug consente a un criminale informatico di eseguire codice arbitrario quando un utente tenta di visualizzare un file protetto in un archivio. Se la vittima ha installato l’applicazione vulnerabile WinRAR e apre l’archivio, il documento esca viene visualizzato mentre il dropper Headlace viene eseguito in background.

In altri casi, l’infezione utilizza il metodo di dirottamento DLL, che fornisce un file binario Microsoft Calc.exe legittimo che risulta suscettibile al dirottamento DLL sul dispositivo di destinazione. Quando la vittima fa clic su Calc.exe, una DLL dannosa viene scaricata e inserita insieme a Calc in un archivio dannoso. A questo punto la DLL avvia Headlace. Per indurre la vittima a eseguire l’eseguibile, Calc.exe viene rinominato e contiene spazi prima dell’estensione, il che potrebbe impedire all’utente di rilevare l’estensione .EXE.

Un’altra opzione Headlace si maschera da aggiornamento di Windows. Quando uno script viene eseguito, subito dopo che i suoi componenti dannosi sono stati consegnati ed eseguiti, Headlace visualizza a intervalli regolari messaggi falsi sullo stato dell’aggiornamento.

Va notato che dopo aver stabilito il controllo sul sistema, APT28 utilizza metodi aggiuntivi per intercettare i dati degli account NTLM o gli hash SMB e cerca anche di penetrare nella rete tramite TOR.

X-Force afferma con grande fiducia che il gruppo continuerà ad attaccare i centri diplomatici e accademici per ottenere informazioni sulle nuove decisioni politiche. APT28 può adattarsi ai cambiamenti nelle capacità di minaccia informatica sfruttando i CVE disponibili al pubblico e sfruttando le infrastrutture disponibili in commercio.

Ti è piaciutno questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.