Trello utilizzato per eseguire attacchi phishing

Trello utilizzato per eseguire attacchi phishing

Mandiant ha scoperto numerosi attacchi effettuati da cybercriminali russi attraverso email di phishing e il noto servizio Trello di Atlassian.
Mandiant ha scoperto numerosi attacchi effettuati da cybercriminali russi attraverso email di phishing e il noto servizio Trello di Atlassian.

Mandiant ha scoperto nuove campagne di phishing attuate contro varie organizzazioni diplomatiche dal gruppo APT29 (noto anche come Cozy Bear o Nobelium) che si presume legato al servizio di intelligence russo SVR. Gli attacchi sono stati eseguiti con due nuovi malware, denominati BEATDROP e BOOMMIC, ma soprattutto sfruttando il servizio Trello di Atlassian.

Phishing e spionaggio con Trello

I cybercriminali russi hanno inviato email di spear phishing ai singoli diplomatici, utilizzando indirizzi legittimi recuperati dai siti delle ambasciate. Sfruttando una tecnica nota come HTML smuggling è stato scaricato sul computer il dropper ROOTSAW (nascosto nel file HTML allegato). Quest’ultimo scarica immagini ISO o IMG che contengono file .lnk e .dll. Se l’utente clicca sul file .lnk viene caricata la DLL che in realtà è il downloader BEATDROP.

Gli esperti di Mandiant hanno scoperto che il dowloader utilizza il servizio Trello di Atlassian per le comunicazioni C2 (command and control). In altri casi, BEATDROP è stato sostituito da BEACON, un loader basato su Cobalt Strike. I malware raccolgono numerose informazioni sul sistema e sull’utente (credenziali di login incluse), registrano i tasti premuti e scattano screenshot.

Successivamente BEATDROP distribuisce BOOMMIC, un altro downloader che stabilisce la persistenza dell’infezione, modificando le chiavi del registro di Windows. A questo punto, il gruppo APT29 esegue numerose operazioni, tra cui l’escalation di privilegi, la scansione della rete e l’installazione di certificati.

Gli attacchi sono prevalentemente indirizzati verso target di alto profilo, essendo una chiara attività di cyberspionaggio. Sul mercato esistono numerose soluzioni di sicurezza che possono rilevare e bloccare le email di phishing. Tra le più affidabili c’è Avast Premium Security.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione.

Fonte: Mandiant
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 2 mag 2022
Link copiato negli appunti