Un nuovo attacco informatico in Ucraina sfrutta Excel per diffondere il malware Cobalt Strike. Scopriamo come gli hacker hanno orchestrato questa sofisticata operazione.
Recentemente, gli esperti di Fortinet hanno identificato un’operazione dannosa di grande portata rivolta ai dispositivi in Ucraina. L’obiettivo principale degli attaccanti è l’implementazione di Cobalt Strike, un potente strumento di attacco, per prendere il controllo dei dispositivi compromessi.
Secondo Cara Yi-Ping Lin, ricercatrice di sicurezza presso Fortinet, l’attacco ha inizio con un file Microsoft Excel dannoso che contiene uno script VBA incorporato. Questo script dà il via a un’infezione multi-fase che, alla fine, stabilisce una connessione con il server C2 degli attaccanti.
Cobalt Strike, sviluppato originariamente da Fortra per simulare attacchi a scopo di test di sicurezza, è ora utilizzato in versioni compromesse dagli aggressori per scopi criminali. L’attacco in questione inizia con un documento Excel in lingua ucraina. Nonostante Microsoft abbia bloccato le macro in Office per impostazione predefinita a partire da luglio 2022, gli hacker sono riusciti a utilizzare l’ingegneria sociale per incoraggiare le vittime ad abilitare il supporto macro.
Una volta abilitate le macro, viene avviato un loader DLL in background tramite l’utilità regsvr32. Questo loader monitora i processi attivi per Avast Antivirus e Process Hacker. Se rileva questi processi, si arresta. In caso contrario, si connette a un server remoto per scaricare la fase successiva del malware, ma solo se il dispositivo si trova in Ucraina.
Il file risultante è una DLL che esegue un’altra DLL che funge da iniettore. Questo iniettore è fondamentale per estrarre ed eseguire il malware finale. La fase finale dell’attacco prevede l’impiego di un Cobalt Strike Beacon, che stabilisce una connessione con il server C2 degli hacker.
“I controlli basati sulla geolocalizzazione durante i download dei payload consentono agli aggressori di nascondere attività sospette evitando l’attenzione degli analisti”, ha spiegato Lin. “L’uso di stringhe codificate aiuta a nascondere importanti stringhe importate, semplificando la distribuzione di DLL e la decrittografia dei payload successivi.”
Inoltre, l’uso della funzione di autodistruzione facilita il bypass delle misure di sicurezza e l’injector DLL applica ritardi e termina i processi principali per evitare l’analisi sandboxing e i meccanismi anti-debug.
Questa operazione dannosa dimostra un alto grado di sofisticazione e di presa di mira di obiettivi ucraini. Gli aggressori utilizzano tattiche di ingegneria sociale, filtraggio della geolocalizzazione, aggirando antivirus e sandbox per distribuire con successo il malware Cobalt Strike.