Gruppo TIM
Gruppo TIM

Siti legittimi usati come Cobalt Strike C2 contro il Governo indiano

Introduzione

Il team di Threat Intelligence di Telsy ha osservato un attacco contro membri del governo indiano o di istituzioni locali, che utilizza temi di ingegneria sociale come, ad esempio, un indagine per un attacco informatico o il classico tema COVID-19. 

La campagna, probabilmente effettuata tramite una e-mail di spear-phishing, inizia con l’apertura di un allegato PDF legittimo contenente un URL dannoso da cui scaricare un file ISO.

Il file ISO contiene file LNK e una DLL dannosa che esegue un beacon Cobalt Strike in memoria. L’utilizzo di un portale legittimo come C2 e una comunicazione HTTPS criptata rende la campagna molto silente. 

Cobalt Strike è uno strumento commerciale di penetration test, che dà ai pentester l’accesso a una grande varietà di capacità di attacco.

Questa piattaforma di attacco combina ingegneria sociale, strumenti di accesso non autorizzato, offuscamento delle comunicazioni di rete e un sofisticato meccanismo per distribuire codice eseguibile malevolo sui sistemi compromessi.

Pertanto Cobalt Strike, sebbene sia uno strumento legittimo utilizzato dagli hacker etici, è anche ampiamente utilizzato dai threat actor per lanciare attacchi reali contro le organizzazioni.

La maggior parte dei threat actor utilizza versioni non leciti di Cobalt Strike, o semplicemente sostituisce il valore del watermark per eludere i tentativi di attribuzione.

Il watermark 1359593325 di Cobalt Strike e la catena di infezione analizzata potrebbero far pensare al threat actor Nobelium aka APT29 a causa delle somiglianze, sia nei componenti che nel modo in cui il target viene infettato così come descritte in precedenza dalle società di sicurezza Volexity e Microsoft.

Purtroppo, non ci sono evidenze chiare per attribuire queste campagne a questo threat actor.

 

Compila il form per scaricare il report completo

     

    Leggi gli altri report cyber sul nostro blog.

    Questo report è stato prodotto dal team “Cyber ​​Threat Intelligence” di Telsy con l’aiuto della sua piattaforma CTI, che consente di analizzare e rimanere aggiornati su avversari e minacce che potrebbero avere un impatto sul business dei clienti.