La Russia nel mirino dello spear-phishing

A marzo alcune e-mail dannose hanno preso di mira diversi istituti di ricerca sulla difesa con sede in Russia.

Negli ultimi due mesi, Check Point Research (CPR), la divisione di Threat Intelligence di Check Point® Software Technologies, ha osservato diversi gruppi hacker APT che hanno cercato di sfruttare il conflitto tra Russia e Ucraina e le sanzioni contro le aziende russe come esca per operazioni di spionaggio.

L’attività è stata attribuita a un hacker cinese, con possibili collegamenti a Stone Panda (alias APT10), un hacker sofisticato ed esperto sostenuto da uno Stato nazionale, e a Mustang Panda, un altro gruppo di spionaggio informatico in Cina.

Gli hacker utilizzano nuovi strumenti: un sofisticato loader multistrato e una backdoor denominata SPINNER. Questi strumenti utilizzano tecniche avanzate di evasione e anti-analisi, come caricatori in-memory multistrato e offuscamenti a livello di compilatore.

Campagna di spear-phishing

Per definizione, lo spear-phishing è un attacco phishing molto specifico. Come ogni altro attacco di phishing, può essere effettuato attraverso una serie di mezzi di comunicazione diversi – e-mail, SMS, social media, ecc. – ma le e-mail di spear-phishing sono le più comuni. Opera in modo molto simile agli altri attacchi di phishing, ma il processo di creazione del messaggio è leggermente diverso.

La Russia nel mirino dello spear-phishing, La Russia nel mirino dello spear-phishingIl 23 marzo, alcune e-mail dannose hanno preso di mira diversi istituti di ricerca sulla difesa con sede in Russia. Le e-mail, che avevano come oggetto “List of <target institute name> persons under US sanctions for invading Ukraine”, contenevano un link a un sito controllato dall’aggressore che imitava il Ministero della Salute della Russia minzdravros[.]com e un documento dannoso allegato. Tutti i documenti allegati sono stati realizzati in modo da sembrare documenti ufficiali del Ministero della Salute russo, con il suo simbolo e titolo ufficiale.

Gli istituti di ricerca sulla difesa che CPR ha identificato come obiettivi di questo attacco appartengono a una holding del conglomerato statale russo della difesa Rostec Corporation. Si tratta della più grande holding russa nel settore della radioelettronica e gli istituti di ricerca presi di mira si occupano principalmente dello sviluppo e della produzione di sistemi di guerra elettronica, di apparecchiature radioelettroniche militari di bordo, di stazioni radar aeree e di mezzi di identificazione statale.

Questa campagna si basa su tecniche di social engineering e in particolare sullo spear-phishing. Lo scopo dell’operazione di spionaggio è probabilmente quello di raccogliere informazioni da obiettivi all’interno dell’industria della difesa russa ad alta tecnologia per sostenere la Cina nel suo progresso tecnologico e nel suo piano a lungo termine.

LEGGI ANCHE

Gli ultimi articoli