Proofpoint svela una campagna di email con l’obiettivo di diffondere un malware poliglotta multistage, con un interesse particolare per aviazione e comunicazioni satellitari. Nello specifico il malware ha colpito una serie di organizzazioni negli Emirati Arabi Uniti, specializzate non solo in aviazione e comunicazioni satellitari, ma anche in infrastrutture critiche di trasporto.
Quali le presunte connessioni
Joshua Miller, Senior Threat Researcher di Proofpoint Il basso volume, la natura particolarmente mirata della campagna e i numerosi tentativi di offuscare il malware indicano un avversario con un obiettivo chiaro. Una più ampia analisi dell’infrastruttura indica possibili connessioni con attaccanti allineati all’Iran già monitorati da partner fidati.
Il malware poliglotta multistage offuscato dalla backdoor Sosano
I risultati principali della ricerca evidenziano:
una campagna altamente mirata. I messaggi dannosi sono stati inviati da un’entità compromessa in un rapporto commerciale di fiducia con gli obiettivi e hanno utilizzato esche personalizzate per ognuno.
Identificazione della nuova backdoor Sosano. Denominata così da Proofpoint, la backdoor ha sfruttato tecniche diverse per offuscare il malware e il suo payload.
Un nuovo cluster di minacce, tracciato come UNK_CraftyCamel. In questa fase, l’attività non si sovrappone a nessun altro cluster identificato e monitorato da Proofpoint.
Compromissionedell’infrastruttura. Nell’autunno del 2024, UNK_CraftyCamel ha sfruttato una società di elettronica indiana compromessa per colpire organizzazioni negli Emirati Arabi Uniti con un file ZIP pericoloso. Questo ha fatto leva su più file poliglotti per installare Sosano, la backdoor Go personalizzata.
Tra gli obiettivi compromettere la catena di approvvigionamento
Joshua Miller, Senior Threat Researcher di Proofpoint
Questa campagna è un esempio di come gli attori delle minacce sfruttino le relazioni di fiducia per fornire malware personalizzato e offuscato a obiettivi altamente selezionati.
Le minacce
Gli attori di minacce avanzate prenderanno di mira in modo specifico terze parti fidate che operano come fornitori a monte e che interagiscono frequentemente con i loro client. Questo permette loro di condurre una compromissione della catena di approvvigionamento, che riduce la probabilità di rilevamento iniziale delle minacce basate su email. Oltre alle opportunità di rilevamento descritte, le organizzazioni dovrebbero addestrare gli utenti a diffidare di contenuti inattesi o non riconosciuti provenienti da contatti noti. Oltre a identificare le caratteristiche comuni dei contenuti dannosi, come l’impersonificazione dei domini utilizzando domini di primo livello alternativi.
