IBM X-Fforce analizza le attività di APT28 che colpiscono la diplomazia e le accademie con la Backdoor HeadLace

Il gruppo di hacker di APT28 utilizza delle honeypot collegate al conflitto tra Israele e Hamas per distribuire una backdoor HeadLace personalizzata per ottenere informazioni di intelligence. Lo riferiscono gli specialisti di IBM X-Force che stanno monitorando le attività del gruppo.

La nuova campagna si rivolge a target in almeno 12 paesi, tra cui Ungheria, Turchia, Australia, Polonia, Belgio, Germania, Azerbaigian, Arabia Saudita, Kazakistan, Italia, Lettonia e Romania. 

Durante gli attacchi gli aggressori utilizzano documenti falsi destinati principalmente alle organizzazioni europee che influenzano la distribuzione degli aiuti umanitari. Tra le esche ci sono documenti relativi all’ONU, alla Banca d’Israele, al Public Policy Research Institute del Congresso americano, al Parlamento europeo e ai think tank.

Alcuni attacchi utilizzano archivi RAR che sfruttano la vulnerabilità CVE-2023-38831 (CVSS: 7.8) in WinRAR per distribuire la backdoor HeadLace. Il bug consente a un criminale informatico di eseguire codice arbitrario quando un utente tenta di visualizzare un file protetto in un archivio. Se la vittima ha installato l’applicazione vulnerabile WinRAR e apre l’archivio, il documento esca viene visualizzato mentre il dropper Headlace viene eseguito in background.

In altri casi, l’infezione utilizza il metodo di dirottamento DLL, che fornisce un file binario Microsoft Calc.exe legittimo che risulta suscettibile al dirottamento DLL sul dispositivo di destinazione. Quando la vittima fa clic su Calc.exe, una DLL dannosa viene scaricata e inserita insieme a Calc in un archivio dannoso. A questo punto la DLL avvia Headlace. Per indurre la vittima a eseguire l’eseguibile, Calc.exe viene rinominato e contiene spazi prima dell’estensione, il che potrebbe impedire all’utente di rilevare l’estensione .EXE.

Un’altra opzione Headlace si maschera da aggiornamento di Windows. Quando uno script viene eseguito, subito dopo che i suoi componenti dannosi sono stati consegnati ed eseguiti, Headlace visualizza a intervalli regolari messaggi falsi sullo stato dell’aggiornamento.

Va notato che dopo aver stabilito il controllo sul sistema, APT28 utilizza metodi aggiuntivi per intercettare i dati degli account NTLM o gli hash SMB e cerca anche di penetrare nella rete tramite TOR.

X-Force afferma con grande fiducia che il gruppo continuerà ad attaccare i centri diplomatici e accademici per ottenere informazioni sulle nuove decisioni politiche. APT28 può adattarsi ai cambiamenti nelle capacità di minaccia informatica sfruttando i CVE disponibili al pubblico e sfruttando le infrastrutture disponibili in commercio.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.