I ricercatori di Proofpoint hanno osservato, a partire dal mese di marzo 2023, il gruppo TA422 di proivenienza russa e specializzato in minacce persistenti avanzate (APT), utilizzare costantemente vulnerabilità patchate per colpire aziende in Europa e Nord America.
Come agisce TA422
TA422 si sovrappone agli alias APT28, Forest Blizzard, Pawn Storm, Fancy Bear e BlueDelta ed è attribuito dalla Intelligence Community degli Stati Uniti alla Direzione principale dell’intelligence dello Stato Maggiore russo (GRU). Durante questo periodo, TA422 ha condotto attività tradizionali mirate sfruttando Mockbin e InfinityFree per il reindirizzamento degli URL, ma Proofpoint ha osservato una significativa deviazione dai volumi previsti di email inviate in campagne che sfruttano CVE-2023-23397, una vulnerabilità di elevazione dei privilegi di Microsoft Outlook.
Oltre 10.000 email sono state inviate dall’attaccante, attraverso un unico provider di posta elettronica, a enti del settore di difesa, aerospaziale, tecnologico, governativo e manifatturiero e, occasionalmente, volumi minori a enti di istruzione superiore, edilizia e consulenza. Non è chiaro se si sia trattato di un errore dell’operatore o di uno sforzo consapevole per raccogliere le credenziali dell’obiettivo. I ricercatori di Proofpoint hanno anche identificato campagne di TA422 che sfruttano una vulnerabilità di esecuzione remota di WinRAR, CVE-2023-38831.
“Con una mossa interessante, l’APT russo TA422 ha continuato ad abusare di vulnerabilità note in massicce campagne email rivolte a governo, difesa, aerospazio, settore manifatturiero e istruzione superiore in Nord America ed Europa. Le loro azioni evidenziano il tentativo di individuare reti facilmente sfruttabili che abbiano un interesse strategico per l’avversario. Tuttavia, non è chiaro se la quantità di email – più di 10.000 in totale da agosto 2023 – sia stata una decisione tattica o un errore dell’operatore. In ogni caso, payload, tattiche e tecniche utilizzate in queste campagne riflettono il passaggio definitivo di TA422 dal malware creato per ottenere accesso persistente a reti mirate a uno più leggero e orientato alle credenziali,” sottolinea Greg Lesnewich, Senior Threat Researcher di Proofpoint.
Nonostante l’attribuzione di questa attività a TA422, operante per l’intelligence militare russa, sulla base delle entità prese di mira e dell’uso ripetuto delle tecniche su larga scala, non è possibile agli specialisti affermare con certezza il perché questo autore abbia continuato a utilizzare vulnerabilità divulgate e patchate nelle sue campagne di phishing. Il gruppo ha fatto ampio affidamento sullo sfruttamento di queste falle per ottenere accesso iniziale ed è probabile che l’attore della minaccia continui a sfruttarle nella speranza che gli obiettivi non abbiano ancora applicato le patch necessarie.
