I ricercatori di Kaspersky hanno fornito ulteriori dettagli sulla campagna APT CommonMagic, rivelando attività dannose più sofisticate da parte dello stesso attore delle minacce. L’indagine ha identificato che il framework appena scoperto ha ampliato la sua tipologia di vittime, coinvolgendo organizzazioni dell’Ucraina centrale e occidentale, oltre alle aziende dell’area del conflitto russo-ucraino. Inoltre, gli esperti di Kaspersky hanno ricollegato l’attore sconosciuto a precedenti campagne APT come Operation BugDrop e Operation Groundbai (Prikormka).
A marzo 2023, Kaspersky ha segnalato una nuova campagna APT nell’area del conflitto russo-ucraino, chiamata CommonMagic, che utilizza impianti PowerMagic e CommonMagic per attività di spionaggio. In corso dal settembre 2021, sfrutta un malware non ancora identificato per raccogliere dati dalle aziende prese di mira. Sebbene l’attore responsabile di questo attacco sia tuttora sconosciuto, gli esperti di Kaspersky hanno continuato a indagare per ottenere ulteriori informazioni, riconducendo l’attività a campagne ormai dimenticate.
La campagna recentemente scoperta utilizzava un framework modulare chiamato CloudWizard. La ricerca di Kaspersky ha identificato un totale di 9 moduli all’interno di questo framework, ciascuno responsabile di attività dannose distinte come la raccolta di file, il keylogging, l’acquisizione di screenshot, la registrazione di input del microfono e il furto di password. In particolare, uno dei moduli si concentra sull’esfiltrazione dei dati dagli account Gmail. Grazie all’estrazione dei cookie di Gmail dai database del browser, questo modulo può accedere e sottrarre i registri delle attività, gli elenchi dei contatti e tutti i messaggi e-mail associati agli account presi di mira.
Inoltre, i ricercatori hanno scoperto che la campagna ha ampliato il suo raggio d’azione: se gli obiettivi precedenti erano principalmente situati nelle regioni di Donetsk, Luhansk e Crimea, ora l’area si è estesa coinvolgendo singoli utenti, organizzazioni diplomatiche e di ricerca nell’Ucraina occidentale e centrale.
Dopo aver condotto un’approfondita ricerca su CloudWizard, gli esperti di Kaspersky sono riusciti ad attribuirlo a un attore noto. Hanno, infatti, osservato notevoli corrispondenze tra CloudWizard e due campagne precedentemente documentate, Operation Groundbait e Operation BugDrop, che presentavano somiglianze relative al codice, ai modelli di denominazione ed elencazione dei file, all’hosting da parte di servizi di hosting ucraini e ai profili delle vittime condivisi nell’Ucraina occidentale e centrale, nonché nell’area di conflitto dell’Europa orientale.
Inoltre, CloudWizard rivela anche analogie con la campagna CommonMagic, recentemente segnalata. Alcune sezioni del codice sono identiche, utilizzano la stessa libreria di crittografia, seguono un formato di denominazione dei file simile e condividono l’ubicazione delle vittime nell’area di conflitto dell’Europa orientale.
Sulla base di questi risultati, gli esperti di Kaspersky hanno concluso che le campagne dannose di Prikormka, Operation Groundbait, Operation BugDrop, CommonMagic e CloudWizard possono essere attribuite allo stesso attore.
“Il responsabile di queste operazioni ha dimostrato un impegno costante nel cyberspionaggio, migliorando continuamente il proprio set di strumenti e prendendo di mira organizzazioni di interesse per oltre quindici anni. I fattori geopolitici continuano a essere una motivazione significativa per gli attacchi APT e, data la tensione prevalente nell’area del conflitto russo-ucraino, prevediamo che questo attore continuerà a svolgere le sue attività anche in futuro”, ha commentato Georgy Kucherin, Security Researcher di Kaspersky’s Global Research and Analysis Team.
Il report completo sulla campagna CloudWizar è disponibile su Securelist.
Per proteggersi da attacchi mirati da parte di un attore noto o sconosciuto, i ricercatori di Kaspersky consigliano di:
- Fornire al proprio team SOC la possibilità di accedere alle informazioni più recenti sulle minacce (TI). Kaspersky Threat Intelligence Portal è un unico punto di accesso per l’intelligence sulle minacce dell’azienda, che fornisce dati sui cyberattacchi e insight raccolti da Kaspersky in oltre 20 anni.
- Aggiornare il proprio team di cybersecurity per affrontare le minacce mirate più recenti grazie a sessioni di formazione online di Kaspersky realizzate dagli esperti del GReAT.
- Per monitorare, analizzare e risolvere tempestivamente gli incidenti a livello di endpoint, implementare soluzioni EDR come Kaspersky Endpoint Detection and Response.
- Oltre ad adottare una protezione degli endpoint, è importante implementare una soluzione di sicurezza aziendale che rilevi precocemente le minacce avanzate a livello di rete, come Kaspersky Anti Targeted Attack Platform.
- Dato che molti attacchi mirati iniziano con il phishing o altre tecniche di social engineering, è importante prevedere training di sensibilizzazione alla sicurezza e trasmettere le competenze pratiche al proprio team, ad esempio attraverso Kaspersky Automated Security Awareness Platform.