I ricercatori di Microsoft hanno individuato una serie di attacchi effettuati dal gruppo russo Seashell Blizzard contro aziende che gestiscono infrastrutture critiche in diversi paesi. Durante la campagna BadPilot hanno sfruttato varie vulnerabilità software per ottenere l’accesso alle reti interne, rubare credenziali e distribuire malware.
Descrizione degli attacchi BadPilot
Seashell Blizzard è uno dei numerosi gruppi che operano per conto del governo russo (in questo caso dell’intelligence militare). I cybercriminali sono specializzati nelle attività di cyberspionaggio, ma spesso effettuano attacchi distruttivi contro i sistemi di controllo industriale. Tra i bersagli ci sono le infrastrutture di telecomunicazione, energia, trasporti, logistica e militari.
La recente campagna BadPilot è stata attuata da un sottogruppo di Seashell Blizzard. Gli attacchi sono stati effettuati contro aziende occidentali in diversi paesi europei (anche in Italia), negli Stati Uniti, in Canada, Australia e Regno Unito, sfruttando le vulnerabilità di otto software, tra cui Microsoft Exchange, per accedere alle reti aziendali.
Usando ad esempio le vulnerabilità di ConnectWise ScreenConnect e Fortinet FortiClient EMS hanno successivamente mantenuto la persistenza con tool RMM (monitoraggio e gestione remota). In altri casi hanno ottenuto lo stesso obiettivo attraverso l’installazione di web shell o l’inserimento di codice JavaScript nelle pagine di login di Outlook Web Access.
I cybercriminali hanno quindi usato tool di tunneling per creare un collegamento diretto, rubare le credenziali di login e installare malware. Microsoft ha descritto in dettaglio le tecniche utilizzate dai cybercriminali russi e le misure da implementare per proteggere reti, software e dati sensibili.
Ti potrebbe interessare
17 feb 2025