Cover Image

Gruppo APT "estremamente attivo" destinato a Microsoft Office, Outlook

11 Giugno 2020 - Tempo di lettura: 5 minuti

Il gruppo Gamaredon ha intensificato l'attività negli ultimi mesi e non fa alcuno sforzo per rimanere sotto il radar, riferiscono i ricercatori.

Il gruppo "estremamente attivo" APT di Gamaredon ha utilizzato numerosi strumenti di attacco post-compromesso precedentemente non documentati in campagne malevole, che secondo i ricercatori di ESET sono aumentati negli ultimi mesi. Molti di questi strumenti sono destinati a Microsoft Office e Outlook.

Gamaredon è attivo da almeno il 2013 e ha preso di mira principalmente le istituzioni ucraine, il team di ricerca riferisce in una nuova analisi, citando i rapporti del CERT-UA e delle istituzioni ucraine. Un recente aumento dell'attività ha portato "ondate costanti" di e-mail dannose con allegati che comprimono macro dannose che, una volta eseguite, provano a scaricare diverse varianti di malware.

"Gli strumenti utilizzati da Gamaredon sono molto semplici e sono progettati per raccogliere informazioni sensibili da sistemi compromessi e per diffondersi ulteriormente", affermano i ricercatori in un post sul blog. Anche se i suoi strumenti potrebbero scaricare file binari più sottili, il gruppo sembra principalmente concentrato sulla diffusione in lungo e in largo nelle reti di destinazione. A differenza di altri gruppi APT, Gamaredon non fa alcuno sforzo per nascondersi.

Uno sguardo più attento agli strumenti post-compromesso ha rivelato una macro VBA destinata a Microsoft Outlook che utilizza l'account e-mail di una vittima per inviare e-mail di spear-phishing ai contatti nella loro rubrica di Office. L'uso di macro di Outlook per inviare malware è raro nelle campagne dannose, osservano i ricercatori.

La loro analisi ha anche ispezionato varianti di moduli che il gruppo Gamaredon utilizza per iniettare macro dannose o modelli remoti in documenti sul sistema compromesso. Questo è un modo efficiente di spostarsi all'interno di una rete perché i dipendenti comunemente condividono file. E poiché le macro vengono eseguite all'apertura dei file, è un modo pratico per rimanere persistenti poiché i file vengono spesso aperti più volte. Questi moduli sono in grado di regolare le impostazioni di sicurezza della macro di Office, hanno scoperto i ricercatori, il che significa che una vittima non sa di essere compromessa quando aprono file dannosi.

intopic.it