La campagna recentemente scoperta utilizzava un framework modulare chiamato CloudWizard. La ricerca di Kaspersky ha identificato un totale di 9 moduli all’interno di questo framework, ciascuno responsabile di attività dannose distinte come la raccolta di file, il keylogging, l’acquisizione di screenshot, la registrazione di input del microfono e il furto di password. In particolare, uno dei moduli si concentra sull’esfiltrazione dei dati dagli account Gmail. Grazie all’estrazione dei cookie di Gmail dai database del browser, questo modulo può accedere e sottrarre i registri delle attività, gli elenchi dei contatti e tutti i messaggi e-mail associati agli account presi di mira.

Inoltre, i ricercatori hanno scoperto che la campagna ha ampliato il suo raggio d’azione: se gli obiettivi precedenti erano principalmente situati nelle regioni di Donetsk, Luhansk e Crimea, ora l’area si è estesa coinvolgendo singoli utenti, organizzazioni diplomatiche e di ricerca nell’Ucraina occidentale e centrale.

Dopo aver condotto un’approfondita ricerca su CloudWizard, gli esperti di Kaspersky sono riusciti ad attribuirlo a un attore noto. Hanno, infatti, osservato notevoli corrispondenze tra CloudWizard e due campagne precedentemente documentate, Operation Groundbait e Operation BugDrop, che presentavano somiglianze relative al codice, ai modelli di denominazione ed elencazione dei file, all’hosting da parte di servizi di hosting ucraini e ai profili delle vittime condivisi nell’Ucraina occidentale e centrale, nonché nell’area di conflitto dell’Europa orientale.

Inoltre, CloudWizard rivela anche analogie con la campagna CommonMagic, recentemente segnalata. Alcune sezioni del codice sono identiche, utilizzano la stessa libreria di crittografia, seguono un formato di denominazione dei file simile e condividono l’ubicazione delle vittime nell’area di conflitto dell’Europa orientale.

Sulla base di questi risultati, gli esperti di Kaspersky hanno concluso che le campagne dannose di Prikormka, Operation Groundbait, Operation BugDrop, CommonMagic e CloudWizard possono essere attribuite allo stesso attore.

“Il responsabile di queste operazioni ha dimostrato un impegno costante nel cyberspionaggio, migliorando continuamente il proprio set di strumenti e prendendo di mira organizzazioni di interesse per oltre quindici anni. I fattori geopolitici continuano a essere una motivazione significativa per gli attacchi APT e, data la tensione prevalente nell’area del conflitto russo-ucraino, prevediamo che questo attore continuerà a svolgere le sue attività anche in futuro”, ha commentato Georgy Kucherin, Security Researcher di Kaspersky’s Global Research and Analysis Team.

Per proteggersi da attacchi mirati da parte di un attore noto o sconosciuto, i ricercatori di Kaspersky consigliano di:

Contatti di redazione:COPYRIGHT LASICILIA.IT © RIPRODUZIONE RISERVATA