{"id":563,"date":"2018-12-05T19:02:32","date_gmt":"2018-12-05T17:02:32","guid":{"rendered":"https:\/\/fortgale.com\/news\/?p=563"},"modified":"2022-03-30T09:47:20","modified_gmt":"2022-03-30T09:47:20","slug":"apt28-evento-nato","status":"publish","type":"post","link":"https:\/\/fortgale.com\/blog\/cyber-security-news\/apt28-evento-nato\/","title":{"rendered":"APT28 sfrutta l’evento NATO"},"content":{"rendered":"

Fra la mole di attacchi informatici registrati giornalmente, ne esistono alcuni di natura pi\u00f9 sofisticata, gli Advanced Persistent Threat<\/strong> (APT<\/strong>). Questo tipo di minacce, spesso state-sponsored<\/em><\/strong>, appare riconducibile in alcuni casi ad uno scenario di Cyber Warfare<\/strong>.<\/p>\n

Gli obiettivi di questo tipo di attacchi sono solitamente il know-how<\/strong>, le informazioni personali <\/strong>o le transazioni bancarie<\/strong>.<\/p>\n

Per identificare e contrastare queste minacce \u00e8 necessario un team di analisti dotato di competenze e strumenti difensivi adeguati.<\/p>\n

Proponiamo di seguito la descrizione di un attacco caratterizzato dall’utilizzo di documenti apparentemente attendibili come vettore di compromissione.<\/p>\n

Ricostruzione dell’attacco<\/h1>\n

Dalle informazioni rilevate, l’attacco risulta riconducibile al gruppo APT28 (aka Fancy Bear o Sofacy), probabilmente di nazionalit\u00e0 russa, che utilizza lo stesso modus operandi da alcuni anni.<\/strong><\/p>\n

Nell’analisi dell’attacco si riscontra l’utilizzo di un documento Word relativo ad un evento NATO che si terr\u00e0 tra l\u201911 e il 13 Dicembre negli Stati Uniti (LINK AL DOCUMENTO WORD NATO<\/a>). Tale documento, usato come vettore, risulta armato con del codice malevolo sovrapponibile a quello utilizzato in precedenza dal gruppo APT28.<\/p>\n

 <\/p>\n

\"\"<\/p>\n

 <\/p>\n

Il documento Word utilizzato dagli attaccanti differisce dall’originale a causa dell’inserimento di una macro (protetta da password) e dell’innesto del malware SedUploader<\/em> al suo interno:<\/p>\n

\"NATO

NATO Word Malware<\/p><\/div>\n

Il Malware<\/h1>\n

L\u2019apertura del documento e la conseguente esecuzione del codice consente l’avvio del processo di compromissione del sistema e, di conseguenza, la creazione dei file \u201cUpdaterUI.dll\u201d e \u201cUplist.dat\u201d e della chiave di registro \u201cUlMgr\u201d per ottenere persistenza.<\/p>\n\n\n\n\n
\"\"<\/td>\n<\/tr>\n
\"\"<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

 <\/p>\n\n\n\n
\"\"<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n
\"\"<\/td>\n\"\"<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n
\"\"<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

 <\/p>\n

Server di Comando e Controllo<\/h1>\n

Il malware procede contattando il server di comando e controllo<\/strong> registrato al dominio “beatguitar.com<\/strong>”  <\/em>con indirizzo IP185.99.133.72<\/a><\/em><\/p>\n

\n
\n
\n
Il malware adotta una tecnica di anti-analisi<\/strong> che controlla l’eventuale presenza del software Wireshark<\/strong> all’interno del sistema. In caso positivo, il malware procede contattando invece il dominio “google.com<\/em>“.<\/div>\n<\/div>\n<\/div>\n<\/div>\n

L’attribuzione – APT28\/Fan.Bear\/Sofacy<\/h1>\n

L’attribuzione di un attacco alla giusta fonte risulta fondamentale per identificare gli obiettivi e i possibili moventi dell’azione. Tali informazioni appaiono indispensabili per eseguire le attivit\u00e0 di Incident Response<\/strong> all\u2019interno dell\u2019infrastruttura.<\/p>\n

In questo caso, l’identificazione del gruppo APT28<\/strong> come fonte dell’attacco risulta confermata anche dall\u2019utilizzo della regola yara creata ad hoc per questo tipo di minaccia e condivisa dagli analisti all\u2019interno del progetto Github<\/a>:<\/p>\n\n\n\n\n
\"\"<\/p>\n

Regola Yara<\/p>\n<\/td>\n<\/tr>\n

\n

\"\"Esito regola<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Anche l’analisi di “Code Intelligence<\/em>” conferma la sovrapponibilit\u00e0 di 97 stringhe<\/strong> di codice del malware estratto con i precedenti sample del gruppo APT28<\/strong> (o Sofacy<\/strong>):<\/p>\n\n\n\n
\"\"<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

 <\/p>\n

\n
\n
\n
Riferimenti<\/span><\/div>\n<\/div>\n<\/div>\n<\/div>\n

L’analisi di Fortgale nasce dalle evidenze raccolte da un team di Threat Hunting<\/em><\/strong>, <\/em>composto da @MD0ugh<\/strong><\/em>, <\/span>@DrunkBinary<\/strong><\/em>, <\/span>@r0ny_123<\/strong><\/em>, <\/span>@Manu_De_Lucia<\/strong>, <\/em>che ha individuato e analizzato la minaccia. Ulteriori dettagli al link<\/a>.<\/p>\n

 <\/p>\n","protected":false},"excerpt":{"rendered":"

Fra la mole di attacchi informatici registrati giornalmente, ne esistono alcuni di natura pi\u00f9 sofisticata, gli Advanced Persistent Threat (APT). Questo tipo di minacce, spesso state-sponsored, appare riconducibile in alcuni casi ad uno scenario di Cyber Warfare. Gli obiettivi di questo tipo di attacchi sono solitamente il know-how, le informazioni personali o le transazioni bancarie. Per identificare e […]<\/p>\n","protected":false},"author":1,"featured_media":567,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[32,33,141,435,208,241,328],"class_list":["post-563","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cyber-security-news","tag-apt","tag-apt28","tag-fancy-bear","tag-fortgale-report","tag-macro","tag-nato","tag-sofacy"],"_links":{"self":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/563","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/comments?post=563"}],"version-history":[{"count":1,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/563\/revisions"}],"predecessor-version":[{"id":4499,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/563\/revisions\/4499"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/media?parent=563"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/categories?post=563"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/tags?post=563"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}