Deepfake russo incolpa Kiev dell’attentato a Mosca, scoperti AcidPour e PhantomCore, segnalate diverse operazioni APT

Disinformazione: Mosca incolpa Kiev del recente attentato terroristico

Il 22 marzo 2024, alcuni individui armati hanno condotto un attentato terroristico al Crocus City Hall di Mosca provocando numerose vittime. L’attacco, che è stato rivendicato su Telegram da Amaq – l’agenzia di stampa ufficiale dell’ISIS – ha alimentato diverse speculazioni da parte del Cremlino sul coinvolgimento ucraino e statunitense. Il 25 marzo, il presidente Putin ha ammesso che i responsabili dell’attentato sono terroristi islamisti ma, allo stesso tempo, ha suggerito come gli Stati Uniti stiano cercando di convincere gli alleati sull’estraneità dell’Ucraina nell’evento criminale. Le accuse sono state respinte prontamente da Kiev e Washington. Parallelamente, diverse affermazioni fasulle e video fake estrapolati dal loro contesto originario hanno iniziato a circolare nel web. Tra questi materiali online spicca un deepfake inizialmente diffuso su Telegram da un canale televisivo russo che ritrae il segretario del Consiglio di Sicurezza e Difesa Nazionale dell’Ucraina Oleksii Danilov nell’atto di affermare come Kiev sia coinvolta nell’attacco. Tuttavia, il video appare essere un falso in quanto realizzato grazie all’intelligenza artificiale (AI) sulla base di precedenti interviste del capo dell’Intelligence ucraina Kyrylo Budanov e dello stesso Danilov. Nel filmato fittizio, infatti, i conduttori del programma sono stati ripresi da un’intervista del 16 marzo di Budanov, mentre il busto di Danilov è stato estrapolato e modificato da un’intervista del 19 marzo. La clip falsa mostrava gli stessi movimenti del corpo di Danilov del video originale, ma con un labiale diverso. In questo senso, gli autori del deepfake hanno impiegato l’AI per cercare di rendere coerente il movimento della bocca del segretario ucraino con le affermazioni che attribuivano a Kiev le responsabilità dell’attentato al Crocus City Hall.

Russia-Ucraina: rivelazioni sul wiper AcidPour e sul gruppo PhantomCore

Nelle ultime settimane di marzo, si è fatta luce su una presunta variante del wiper AcidRain, coinvolto nell’attacco informatico alla rete satellitare KA-SAT di Viasat del 24 febbraio 2022, soprannominata AcidPour. Il sample analizzato è un file ELF basato su C e compilato per architetture x86, che è stato caricato dall’Ucraina il 16 marzo 2024 alle ore 14:42:53 (orario UTC). La minaccia amplia le capacità e il potenziale distruttivo di AcidRain, includendo la logica UBI (Unsorted Block Image) e DM (Device Mapper) di Linux per colpire meglio gli array RAID e i device di archiviazione di grandi dimensioni. Tale set di funzionalità consente all’implant di colpire un’ampia gamma di dispositivi, compresi quelli di rete, IoT, RAID e probabilmente anche ICS in esecuzione su distribuzioni Linux x86. Le analisi effettuate finora confermano il legame tra AcidRain e AcidPour, collegando di fatto quest’ultimo a cluster precedentemente associati all’intelligence militare russa. Dal canto suo, il CERT-UA ha attribuito questa attività all’APT Sandworm (UAC-0165), legato al GRU (Glavnoe razvedyvatel’noe upravlenie). Ciononostante, al momento non è possibile confermare che AcidPour sia stato usato contro realtà ucraine, in quanto i suoi target non sono ancora stati identificati. D’altro canto, ricercatori di sicurezza hanno scoperto un nuovo gruppo di spionaggio chiamato PhantomCore – presumibilmente attivo dal gennaio 2024 e localizzato in Ucraina – che prende di mira aziende russe sfruttando la vulnerabilità di WinRAR CVE-2023-38831 al fine di veicolare un trojan di accesso remoto inedito denominato PhantomRAT.  Quest’ultimo è un RAT basato su .NET che usa il protocollo RSocket su TCP per le comunicazioni C2 ed è in grado di: scaricare file da un server di comando e controllo; caricare file da un host compromesso a un C2; ed eseguire comandi dal prompt della riga di comando cmd.exe. Dal momento che alcuni sample di prova, probabilmente utilizzati per testare il malware, sono stati scaricati dall’Ucraina, si ritiene con un livello di confidenza medio che l’attaccante dietro le offensive potrebbe trovarsi proprio in tale Stato dell’Europa orientale.

APT: fermento in Eurasia e Medio Oriente

Il russo APT 29 ha condotto una campagna di phishing rivolta per la prima volta contro partiti politici tedeschi, sfruttando un’esca a tema Unione Cristiano-Democratica di Germania (CDU) al fine di veicolare la backdoor WINELOADER tramite EnvyScout. Sempre inerente a Mosca, sono emersi nuovi dettagli sulla kill chain impiegata da Turla Group nell’offensiva basata su TinyTurla-NG e rivolta contro le ONG polacche. Questi hanno portato alla luce l’uso di un beacon Chisel custom, oltre a un’analisi più dettagliata delle TTP impiegate. Passando in Corea del Nord, sono state identificate due diverse operazioni attribuite a ScarCruft. La prima ha previsto la distribuzione di un dropper camuffato da installer di un presunto programma di un’istituzione pubblica sudcoreana, al fine di installare sul sistema target l’infostealer Troll Stealer. La seconda, invece, consiste in attacchi volti a veicolare in modalità fileless RokRAT contro target nordcoreani, che hanno sfruttato servizi di cloud storage come Dropbox e pCloud. Spostandoci in Cina, due APT di Pechino hanno sferrato campagne di spionaggio contro entità e Paesi membri dell’Associazione delle Nazioni del Sudest Asiatico (ASEAN). In particolare, si tratta di: Mustang Panda, che ha creato due pacchetti di malware che si ritiene siano stati veicolati in offensive rivolte contro realtà in Myanmar, nelle Filippine, in Giappone e a Singapore; e di un attaccante senza nome che ha compromesso un’organizzazione affiliata all’ASEAN. Dal canto suo, APT31 è stato accusato da Stati Uniti e Gran Bretagna di aver portato a termine operazioni informatiche malevole volte alla repressione di dissidenti, allo spionaggio economico e a obiettivi di intelligence estera. Ad esse si sono aggiunte anche Nuova Zelanda e Finlandia; quest’ultima nello specifico ha confermato che il gruppo sarebbe il responsabile di una violazione del Parlamento nazionale resa nota nel marzo 2021. La Repubblica Popolare Cinese, tuttavia, ha respinto le accuse, definendole completamente inventate e pari a calunnie. Rimanendo in Asia, ma spostandoci a sud, alcuni analisti hanno tracciato una campagna di spionaggio denominata Operation FlightNight, associata a un avversario non specificato, che ha previsto l’uso di una versione modificata dell’infostealer open-source HackBrowserData per colpire entità governative e aziende energetiche private indiane. Infine, in Medio Oriente è stata rilevata un’attività di phishing dell’iraniano MuddyWater rivolta contro dipendenti israeliani di grandi organizzazioni multinazionali. In aggiunta sono emerse nuove rivelazioni sulla backdoor FalseFont presente nell’arsenale del suo connazionale APT33.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center. Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.