Gruppo APT "estremamente attivo" destinato a Microsoft Office, Outlook

Gruppo APT "estremamente attivo" destinato a Microsoft Office, Outlook

Il gruppo Gamaredon ha intensificato l'attività negli ultimi mesi e non fa alcuno sforzo per rimanere sotto il radar, riferiscono i ricercatori.

Il gruppo "estremamente attivo" APT di Gamaredon ha utilizzato numerosi strumenti di attacco post-compromesso precedentemente non documentati in campagne malevole, che secondo i ricercatori di ESET sono aumentati negli ultimi mesi. Molti di questi strumenti sono destinati a Microsoft Office e Outlook.

Gamaredon è attivo da almeno il 2013 e ha preso di mira principalmente le istituzioni ucraine, il team di ricerca riferisce in una nuova analisi, citando i rapporti del CERT-UA e delle istituzioni ucraine. Un recente aumento dell'attività ha portato "ondate costanti" di e-mail dannose con allegati che comprimono macro dannose che, una volta eseguite, provano a scaricare diverse varianti di malware.

"Gli strumenti utilizzati da Gamaredon sono molto semplici e sono progettati per raccogliere informazioni sensibili da sistemi compromessi e per diffondersi ulteriormente", affermano i ricercatori in un post sul blog. Anche se i suoi strumenti potrebbero scaricare file binari più sottili, il gruppo sembra principalmente concentrato sulla diffusione in lungo e in largo nelle reti di destinazione. A differenza di altri gruppi APT, Gamaredon non fa alcuno sforzo per nascondersi.

Uno sguardo più attento agli strumenti post-compromesso ha rivelato una macro VBA destinata a Microsoft Outlook che utilizza l'account e-mail di una vittima per inviare e-mail di spear-phishing ai contatti nella loro rubrica di Office. L'uso di macro di Outlook per inviare malware è raro nelle campagne dannose, osservano i ricercatori.

La loro analisi ha anche ispezionato varianti di moduli che il gruppo Gamaredon utilizza per iniettare macro dannose o modelli remoti in documenti sul sistema compromesso. Questo è un modo efficiente di spostarsi all'interno di una rete perché i dipendenti comunemente condividono file. E poiché le macro vengono eseguite all'apertura dei file, è un modo pratico per rimanere persistenti poiché i file vengono spesso aperti più volte. Questi moduli sono in grado di regolare le impostazioni di sicurezza della macro di Office, hanno scoperto i ricercatori, il che significa che una vittima non sa di essere compromessa quando aprono file dannosi.

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.