Proofpoint con il suo team di esperti ha recentemente scoperto una campagna profondamente mirata, basata su email, che diffonde un malware poliglotta multistage, che ha colpito nello specifico una serie di organizzazioni negli Emirati Arabi Uniti, con un interesse particolare per aviazione e comunicazioni satellitari, oltre che per le infrastrutture critiche di trasporto.
Come spiega Joshua Miller, Senior Threat Researcher di Proofpoint: “Il basso volume, la natura particolarmente mirata della campagna e i numerosi tentativi di offuscare il malware indicano un avversario con un obiettivo chiaro. Una più ampia analisi dell’infrastruttura indica possibili connessioni con attaccanti allineati all’Iran già monitorati da partner fidati.”
I risultati principali della ricerca
- Una campagna altamente mirata: i messaggi dannosi sono stati inviati da un’entità compromessa in un rapporto commerciale di fiducia con gli obiettivi e hanno utilizzato esche personalizzate per ognuno.
- Identificazione della nuova backdoor Sosano: denominata così da Proofpoint, la backdoor ha sfruttato tecniche diverse per offuscare il malware e il suo payload.
- Un nuovo cluster di minacce, tracciato come UNK_CraftyCamel*: in questa fase, l’attività non si sovrappone a nessun altro cluster identificato e monitorato da Proofpoint.
- Compromissione dell’infrastruttura: nell’autunno del 2024, UNK_CraftyCamel* ha sfruttato una società di elettronica indiana compromessa per colpire organizzazioni negli Emirati Arabi Uniti con un file ZIP pericoloso che ha fatto leva su più file poliglotti per installare Sosano, la backdoor Go personalizzata.
Joshua Miller aggiunge: “Questa campagna è un esempio di come gli attori delle minacce sfruttino le relazioni di fiducia per fornire malware personalizzato e offuscato a obiettivi altamente selezionati.”
Gli attori di minacce avanzate prenderanno di mira in modo specifico terze parti fidate che operano come fornitori a monte e che interagiscono frequentemente con i loro clienti; questo permette loro di condurre una compromissione della catena di approvvigionamento, che riduce la probabilità di rilevamento iniziale delle minacce basate su email. Oltre alle opportunità di rilevamento descritte, le organizzazioni dovrebbero addestrare gli utenti a diffidare di contenuti inattesi o non riconosciuti provenienti da contatti noti e a identificare le caratteristiche comuni dei contenuti dannosi, come l’impersonificazione dei domini utilizzando domini di primo livello alternativi.
