Il cloud aziendale è il nuovo campo di battaglia dei threat actors. I ricercatori di Palo Alto Networks hanno individuato un’operazione di cyber-spionaggio che sfrutta i servizi sulla nuvola, in particolare Dropbox e Google Drive, per sottrarre dati sensibili a obiettivi di alto profilo come governi e ambasciate e per rendere i loro attacchi estremamente difficili da rilevare.
Al centro dell’indagine di Palo Alto Network il gruppo Cloaked Ursa (noto anche come APT29, Nobelium o Cozy Bear), gruppo collegato all’International Intelligence Service russo e responsabile di numerosi importanti attacchi informatici, tra cui quello a SolarWinds.
Secondo i ricercatori di Unit 42, Cloaked Ursa integra i servizi cloud più diffusi per mascherarsi evitando il rilevamento. Negli ultimi sei mesi questo attore ha lanciato diverse campagne di phishing rivolte a missioni diplomatiche estere e, dall’inizio di maggio, ha continuato a evolvere le proprie capacità di fornire malware utilizzando i popolari servizi di archiviazione online.
L’uso di servizi cloud affidabili e legittimi non è del tutto nuovo per questo gruppo. Estendendo questa tendenza, i ricercatori hanno scoperto che le loro due campagne più recenti hanno sfruttato per la prima volta i servizi cloud storage di Google Drive e Dropbox, dimostrando la loro sofisticatezza e la loro capacità di integrare rapidamente i servizi di archiviazione cloud più diffusi per evitare il rilevamento.
Le due campagne più recenti hanno preso di mira diverse missioni diplomatiche occidentali tra maggio e giugno 2022. In particolare, sarebbero state prese di mira un’ambasciata straniera in Portogallo e un’ambasciata straniera in Brasile. In entrambi i casi, i documenti di phishing contenevano un collegamento a un file HTML dannoso (EnvyScout) che fungeva da dropper per file dannosi aggiuntivi nella rete di destinazione, incluso un payload Cobalt Strike.
Le due e-mail di phishing sono state inviate allo stesso paese di destinazione a poche ore di distanza l’una dall’altra. Entrambe le e-mail contenevano lo stesso documento di richiamo denominato Agenda.pdf, che forniva un collegamento a un’agenda per un prossimo incontro con un ambasciatore in Portogallo. Questo documento PDF conteneva informazioni che si rivolgevano all’ambasciata della nazione straniera, utilizzando persino il logo ufficiale del governo portoghese.
“Le loro due campagne più recenti dimostrano la loro sofisticatezza e la loro capacità di offuscare l’implementazione del loro malware attraverso l’uso dei servizi DropBox e Google Drive. Questa è una nuova tattica per questo attore e si rivela difficile da rilevare a causa della natura onnipresente di questi servizi e del fatto che milioni di clienti in tutto il mondo si fidano di essi”, concludono i ricercatori.
https://unit42.paloaltonetworks.com/cloaked-ursa-online-storage-services-campaigns/