Secondo Proofpoint, per la prima volta stanno cambiando le tattiche del gruppo TA450, legato all’Iran. La nuova campagna malware consiste nel cercare di effettuare la distribuzione di un URL malevolo in un allegato Pdf , al posto del collegamento diretto del file in un messaggio di posta elettronica. Inoltre ha impiegato un account email del mittente corrispondente al contenuto dell’esca.
Nel mirino dell’attore di minacce pro Iran, famoso anche come MuddyWater, Mango Sandstorm e Static Kitten, sono utenti israeliani che appartengono ad aziende multinazionali, contro cui sfrutta esche in lingua ebraica e account israeliani compromessi.
“L’attore APT TA450 è noto per la sua focalizzazione sull’area medio orientale ed in particolare Israele”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus: “Negli anni le capacità offensive e di spionaggio del gruppo sono cresciute notevolmente e le tattiche, tecniche, e procedure (TTP) da esso adottate sono evolute diventando sempre più efficaci quanto evasive”.
“La metodologia basata sui link inseriti nei Pdf non è nuova, anzi, sono svariati anni che viene utilizzata ma è sempre efficace”, spiega Paolo Dal Checco, informatico forense.
Ecco perché è temibile e come mitigare il rischio.
Indice degli argomenti
Gruppo TA450: evolvono le tattiche della catena di attacco
Da ottobre scorso, al principio della guerra fra Israele e Hamas, il gruppo allineato all’Iran, sta colpendo entità israeliane, stanno intensificando una campagna malware che ora si concentra sulle imprese globali del settore manifatturiero, tecnologico e della cyber sicurezza.
Il ruolo geopolitico del gruppo TA450: attenzione alle tattiche
Nel gennaio 2022, il Cyber Command degli Stati Uniti ha fornito l’attribuzione del gruppo al ministero dell’Intelligence e della Sicurezza dell’Iran.
“L’attività del gruppo è spesso stata caratterizzata da campagne mirate, di breve durata, con elementi innovativi e distintivi rispetto alle precedenti a sottolineare la capacità dell’attore malevolo di adattare il suo modus operandi alle soggiunte esigenze e di sperimentare nuove tattiche”, evidenzia Paganini: “La campagna osservata da ProofPoint ne è la dimostrazione, i link malevoli sono stati inseriti all’interno degli allegati Pdf invece che nel corpo delle mail”.
La campagna rappresenta una svolta nelle tattiche di TA450. “L’interesse in questa campagna è principalmente legato all’attuale contesto geopolitico e al ruolo dell’Iran nella regione“, aggiunge Paganini: “Dobbiamo essere preparati a campagne come queste che potrebbero prendere di mira anche organizzazioni governative occidentali vicine ad Israele. Oggi l’intelligence riconosce nel cyber spionaggio la sua principale fonte di informazione”.
La catena d’attacco
La nuova campagna di phishing, che si è svolta dal 7 marzo fino alla settimana dell’11 marzo scorso, ha visto TA450 spedire email con allegati Pdf contenenti link dannosi. Il gruppo non è completamente estraneo a questo metodo, anche se recentemente l’attore aveva evitato di introdurre questo nuovo passaggio.
“La catena di attacco, infatti, non è dissimile da alcune usate in passato da TA450”, spiega Paganini, “dove le vittime, una volta cliccato il link e lanciato il file installer, si vedevano installato un software di amministrazione remota, AteraAgent, già usato in passato dal gruppo iraniano”.
Secondo Proofpoint, gli stessi target hanno ricevuto più email di phishing con allegati Pdf contenenti link inglobati lievemente differenti, che atterravano in siti di condivisione di file, inclusi Egnyte, Onehub, Sync e TeraBox. I messaggi di posta sfruttavano anche un account mittente compromesso. Inoltre, per esempio, una campagna ha utilizzato un account salary[@]<compromisedorg>co[.]il, coerente con l’oggetto a tema retributivo del messaggio di posta.
“La metodologia è sempre efficace, perché la ricezione del documento da parte della vittima non desta sospetti né attiva rilevamenti da parte di antivirus, che lasciano spesso passare file Pdf anche se contengono all’interno dei link, dato che è piuttosto usuale produrre e condividere documenti di tale tipologia”, spiega Dal Checco: “Il ‘dropper’, quindi, non è un software ma un normale documento e l’azione di scaricare il malware è delegata all’utente, cosa anche questa che rende meno identificabile l’attacco”.
I dettagli
Quando la vittima apriva l’allegato ed effettuava il clic sul link incluso, eseguiva il download di un archivio ZIP contenente un MSI compresso che alla fine installava AteraAgent, un programma di amministrazione remota di cui TA450 solitamente abusa.
“Il problema nasce proprio quando l’utente clicca sul link“, sottolinea Dal Checco, “incuriosito dal contento del Pdf che si presenta, per esempio, come una fattura da pagare e scarica un documento, in genere un archivio ZIP, contenuto tipicamente su siti di file sharing/hosting. Anche in questo caso, i controlli sulla posta elettronica non possono agire perché il clic proviene al di fuori del software con il quale si visualizzano e si inviano le email“.
“A questo punto, se l’utente apre ciò che ha scaricato, si avvia l’installazione di un sistema di controllo remoto e da lì il computer subisce l’infezione“, mette in guardia Dal Checco.
Gruppo TA450: come mitigare il rischio di queste tattiche
L’attacco prevede che l’utente sia attivo e non passivo in fase d’attacco, di fatto collabora all’infezione del suo Pc. “L’aspetto positivo di questi attacchi multi-stage”, conferma Dal Checco, “è che l’utente deve compiere diverse azioni per essere infettato e quindi ha diversi momenti in cui potrebbe capire di essere oggetto di un attacco. Il problema è che spesso, tramite tecniche d’ingegneria sociale, l’utente ritiene ciò che sta accadendo (email, pdf, link, archivio zip, etc…) parte di un normale processo e quindi è concentrato nell’arrivare al termine (visualizzare la fattura che teme di dover pagare) piuttosto che su ciò che deve fare per arrivarvi”.
Contro il phishing e il social engineering, occorre infatti maggiore consapevolezza. “La soluzione è quella di porre sempre attenzione a email che contengono allegati che puntano a siti da cui poi scaricare archivi zip da decomprimere e all’interno dei quali lanciare applicativi o aprire documenti”, avverte Dal Checco.
“Ovviamente l’utente medio può sottovalutare questi aspetti. E, in tal caso, è importante che sul suo sistema sia installato un antivirus, con capacità di azione anche all’interno delle mailbox, con antimalware e anche eventualmente sistemi di web filtering“, conclude Dal Checco. L’obiettivo infatti è quelllo di “aiutare l’utente a comprendere che la procedura che sta intraprendendo non è sicura”.
