La Cloud Werewolf APT prende di mira istituzioni in Russia e Bielorussia con raffinati metodi di spear-phishing.
Una recente campagna di spear-phishing orchestrata dal gruppo APT (Advanced Persistent Threat) denominato Cloud Werewolf ha sollevato preoccupazioni nelle organizzazioni russe e bielorusse. Con attività risalenti al 2014, Cloud Werewolf inietta email fasulle trappola contenenti documenti di Microsoft Office, per carpire l’attenzione dei dipendenti e indurli al clic con contenuti di possibile rilevanza professionale.
Due fattori rendono gli attacchi del gruppo particolarmente efficaci: l’antiquata infrastruttura IT dei bersagli statali e una mancanza di formazione adeguata del personale. Queste lacune consentono agli hacker di sfruttare le vulnerabilità già note da tempo senza incontrare ostacoli significativi.
Il modus operandi di Cloud Werewolf include l’utilizzo di strumenti legittimi ma deviati dai loro scopi originari. Esempi di tali strumenti sono LaZagne per il recupero delle password, Advanced IP Scanner per l’analisi delle reti, AnyDesk per l’accesso remoto in caso di necessità e 7-zip per la compressione dei file.
Inoltre, la strategia di scansione di vulnerabilità viene condotta in modo tale da ingannare le deboli difese, caricando i contenuti nocivi su server remoti.
Analizzando alcuni documenti sospetti, come allegati di natura amministrativa o relativi a system health voucher, si è rilevato che la vera minaccia si nasconde entro file HTA che contengono script Visual Basic. Questi script sono programmati per eseguire una serie di azioni nefaste, tra cui ridimensionare la finestra dell’applicazione fuori dallo schermo, manipolare le chiavi di registro e cancellare file temporanei. In ultimo, eseguono una connessione persistente con server C2 (Comando e Controllo).
La pericolosità di Cloud Werewolf è accentuata dalla sua capacità di agire sotto le spoglie di un gruppo statuale di cyber spionaggio, simile in questo a formazioni come l’APT29, riconducibile a Stato-nazione. Il loro principale obiettivo sembra essere quello di esfiltrare dati da organizzazioni governative e settori industriali e scientifici, utilizzando tecniche di remote desktop e SSH per navigare all’interno delle reti infettate.
Apprendere dalle strategie di Cloud Werewolf può aiutarci a rafforzare le difese nei confronti di tali minacce diffuse e persistenti. In un’era di digitalizzazione crescente, la sensibilizzazione alla cybersecurity non può essere trascurata né sottovalutata. È essenziale intraprendere un percorso di formazione continua per ogni membro di un’organizzazione, al fine di mitigare il rischio dell’elemento umano e rinforzare la resilienza ai cyber attacchi attraverso un approfondito riconoscimento degli IoC (Indicatori di Compromissione) e un aggiornamento costante sulle TTP (tattiche, tecniche e procedure).
Ricordando le parole di Sun Tzu, “Se conosci il nemico e conosci te stesso, non devi temere il risultato di cento battaglie”. Conoscere le strategie degli avversari è fondamentale quanto conoscere e incrementare le proprie capacità difensive.