Le due campagne più recenti del gruppo di hacker russi Cloaked Ursa hanno colpito per la prima volta i servizi cloud storage di Google Drive e Dropbox. Le ultime campagne di Cloaked Ursa (noti anche come APT 29 / Nobelium / Cozy Bear) mostrano grande sofisticatezza. Oltre alla capacità di integrare rapidamente i servizi cloud più diffusi per evitare il rilevamento.
L’uso di servizi cloud affidabili e legittimi non è del tutto nuovo per questo gruppo. Unit 42 di Palo Alto Networks ha scoperto che le due campagne più recenti delgruppo hanno sfruttato per la prima volta i servizi cloud storage di Google Drive e Dropbox. Il fatto che milioni di clienti in tutto il mondo li utilizzano ogni giorno rendono la loro inclusione nel processo di distribuzione del malware da parte di questa APT eccezionalmente preoccupante.
Chi è il gruppo Cloaked Ursa
Il mondo della cybersecurity considera da tempo il gruppo Cloaked Ursa particolarmente vicino al governo russo. Indicazione evidente già dalle prime campagne di malware lanciate contro la Cecenia e altri Paesi dell’ex blocco sovietico nel 2008. Negli ultimi anni, questo gruppo è stato collegato all’attacco hacker del Comitato nazionale democratico degli Stati Uniti nel 2016 e alla compromissione di SolarWinds nel 2020. Recentemente, sia gli Stati Uniti che il Regno Unito hanno pubblicamente ricondotto questo gruppo ai servizi segreti esteri russi.
Hacker russi
Le campagne più recenti sono state mirate a obiettivi diplomatici, con missioni occidentali prese di mira tra maggio e giugno 2022. In particolare, sono state attaccate un’ambasciata straniera in Portogallo e un’ambasciata straniera in Brasile. In entrambi i casi, i documenti di phishing contenevano un link a un file HTML dannoso (EnvyScout). Esso fungeva da dropper per altri file dannosi nella rete di destinazione, compreso un payload Cobalt Strike.
Cloaked Ursa mette sotto attacco i cloud aziendali
Dall’inizio di maggio, Cloaked Ursa ha fatto evolvere ulteriormente le proprie capacità di distribuire malware utilizzando i più diffusi servizi di archiviazione online. Le due campagne più recenti dimostrano la loro sofisticazione e la loro capacità di offuscare la distribuzione del malware attraverso l’uso dei servizi DropBox e Google Drive. Si tratta di una tattica nuova per questo attore, che si rivela particolarmente difficile da rilevare. Questo a causa della natura onnipresente di questi servizi e del fatto che riscuotono la fiducia quotidiana di milioni di clienti in tutto il mondo.
Per questo motivo è importante che i CIO spingano le loro organizzazioni rivedere le proprie politiche di posta elettronica e di utilizzo di servizi cloud. Così da affrontare in modo efficace questa minaccia.