Siti legittimi usati come Cobalt Strike C2 contro il Governo indiano

Introduzione

Il team di Threat Intelligence di Telsy ha osservato un attacco contro membri del governo indiano o di istituzioni locali, che utilizza temi di ingegneria sociale come, ad esempio, un indagine per un attacco informatico o il classico tema COVID-19. 

La campagna, probabilmente effettuata tramite una e-mail di spear-phishing, inizia con l’apertura di un allegato PDF legittimo contenente un URL dannoso da cui scaricare un file ISO.

Il file ISO contiene file LNK e una DLL dannosa che esegue un beacon Cobalt Strike in memoria. L’utilizzo di un portale legittimo come C2 e una comunicazione HTTPS criptata rende la campagna molto silente. 

Cobalt Strike è uno strumento commerciale di penetration test, che dà ai pentester l’accesso a una grande varietà di capacità di attacco.

Questa piattaforma di attacco combina ingegneria sociale, strumenti di accesso non autorizzato, offuscamento delle comunicazioni di rete e un sofisticato meccanismo per distribuire codice eseguibile malevolo sui sistemi compromessi.

Pertanto Cobalt Strike, sebbene sia uno strumento legittimo utilizzato dagli hacker etici, è anche ampiamente utilizzato dai threat actor per lanciare attacchi reali contro le organizzazioni.

La maggior parte dei threat actor utilizza versioni non leciti di Cobalt Strike, o semplicemente sostituisce il valore del watermark per eludere i tentativi di attribuzione.

Il watermark 1359593325 di Cobalt Strike e la catena di infezione analizzata potrebbero far pensare al threat actor Nobelium aka APT29 a causa delle somiglianze, sia nei componenti che nel modo in cui il target viene infettato così come descritte in precedenza dalle società di sicurezza Volexity e Microsoft.

Purtroppo, non ci sono evidenze chiare per attribuire queste campagne a questo threat actor.

 

Compila il form per scaricare il report completo

     

    Leggi gli altri report cyber sul nostro blog.

    Questo report è stato prodotto dal team “Cyber ​​Threat Intelligence” di Telsy con l’aiuto della sua piattaforma CTI, che consente di analizzare e rimanere aggiornati su avversari e minacce che potrebbero avere un impatto sul business dei clienti.