Globale - Agenzia stampa Ekhbary
Hacker russi-statali sfruttano la patch urgente di Microsoft Office, compromettendo entità globali
In una chiara dimostrazione dell'escalation della velocità e della sofisticazione della guerra cibernetica sponsorizzata dallo stato, un noto gruppo di hacker sostenuto dalla Russia, ampiamente conosciuto come APT28 o Fancy Bear, non ha perso tempo per sfruttare una vulnerabilità critica di Microsoft Office. Meno di 48 ore dopo che Redmond ha rilasciato un aggiornamento di sicurezza urgente e non programmato il mese scorso, gli attori della minaccia hanno trasformato in arma la falla, identificata come CVE-2026-21509, per lanciare una campagna altamente mirata. Questa audace operazione ha compromesso con successo i dispositivi all'interno di organizzazioni diplomatiche, marittime e di trasporto in almeno nove paesi, principalmente nell'Europa orientale, sottolineando la finestra di tempo sempre più ridotta per i difensori per applicare patch ai sistemi critici.
I ricercatori di sicurezza di Trellix hanno svelato i dettagli di questa rapida sfruttamento, evidenziando la capacità del gruppo di eseguire il reverse engineering della patch di Microsoft entro due giorni e sviluppare exploit avanzati. Questi exploit hanno poi installato due nuovi impianti backdoor, mai visti prima, denominati BeardShell e NotDoor. L'intera campagna è stata meticolosamente progettata per la furtività, impiegando tecniche che hanno reso la compromissione praticamente non rilevabile dalle misure di protezione degli endpoint convenzionali. Ciò includeva la crittografia degli exploit e dei payload, la loro esecuzione esclusivamente in memoria e l'utilizzo di canali apparentemente legittimi per il comando e il controllo, rendendo il loro intento malevolo eccezionalmente difficile da individuare.
Leggi anche
- Rapporto: Il Kennedy Space Center non è pronto per l'era dei super razzi pesanti
- GM installa robot a Detroit mentre 1.300 lavoratori restano disoccupati
- Quali servizi di streaming offrono prove gratuite nel 2026?
- Mondiali 2026: Come vedere Norvegia-Senegal in streaming gratuito
- Offerte Cuffie Prime Day 2026: Sony XM6 e AirPods Max 2 in primo piano
Il vettore iniziale di questa sofisticata intrusione spesso proveniva da account governativi precedentemente compromessi in vari paesi, suggerendo che gli attaccanti avessero sfruttato violazioni o credenziali esistenti che erano probabilmente familiari ai destinatari delle e-mail mirate. Inoltre, l'infrastruttura di comando e controllo era ospitata all'interno di servizi cloud legittimi, che sono tipicamente inseriti in whitelist nelle reti sensibili, consentendo al traffico malevolo di fondersi senza soluzione di continuità con l'attività di rete regolare. Questa scelta strategica di canali fidati, combinata con tecniche fileless, ha permesso agli attaccanti di "nascondersi in bella vista", come notato dai ricercatori di Trellix.
La campagna di spear phishing di 72 ore è iniziata il 28 gennaio e ha consegnato almeno 29 esche e-mail distinte a organizzazioni in nove paesi, principalmente nell'Europa orientale. Trellix ne ha nominati otto: Polonia, Slovenia, Turchia, Grecia, Emirati Arabi Uniti, Ucraina, Romania e Bolivia. Le organizzazioni target erano ministeri della difesa (40 percento), operatori di trasporto/logistica (35 percento) ed entità diplomatiche (25 percento). Questo profilo di targeting si allinea perfettamente con gli obiettivi geopolitici spesso associati ad attori allineati allo stato come APT28, che si impegnano frequentemente nello spionaggio cibernetico contro entità cruciali per la sicurezza nazionale e le relazioni internazionali.
Il successo della catena di infezione ha portato all'installazione di BeardShell o NotDoor. BeardShell, una potente backdoor, ha fornito agli attaccanti ampie capacità di ricognizione del sistema, persistenza tramite l'iniezione di processi in Windows svchost.exe e un punto d'appoggio cruciale per il movimento laterale ad altri sistemi all'interno di una rete infetta. La sua esecuzione si basava su assembly .NET caricati dinamicamente, una tecnica progettata per lasciare artefatti forensi minimi su disco, complicando ulteriormente il rilevamento e l'analisi da parte dei team di sicurezza. Questa operazione in memoria è un segno distintivo delle minacce persistenti avanzate (APT) che cercano di eludere gli strumenti di sicurezza tradizionali.
NotDoor, la seconda backdoor, si è manifestata sotto forma di una macro VBA. È stata installata solo dopo che la catena di exploit ha disabilitato con successo i controlli di sicurezza delle macro di Outlook – un passo critico che dimostra la profonda comprensione degli attaccanti delle vulnerabilità dei client di posta elettronica. Una volta attiva, NotDoor ha monitorato meticolosamente le cartelle di posta elettronica, inclusi Posta in arrivo, Bozze, Posta indesiderata e Feed RSS. Ha quindi raggruppato i messaggi in un file .msg di Windows, che sarebbe poi stato inviato ad account controllati dagli attaccanti configurati sul servizio cloud filen.io. Per eludere i controlli di sicurezza sugli account ad alto privilegio progettati per limitare l'accesso a cavi classificati e altri documenti sensibili, la macro ha elaborato le e-mail con una proprietà personalizzata “AlreadyForwarded” e ha impostato “DeleteAfterSubmit” su true per eliminare i messaggi inoltrati dalla cartella Posta inviata.
Trellix ha attribuito la campagna a APT28 con "alta fiducia", basandosi su una confluenza di indicatori tecnici e sui modelli di targeting specifici osservati. Questa attribuzione è stata ulteriormente corroborata dal CERT-UA ucraino, che ha collegato indipendentemente gli attacchi a UAC-0001, un altro nome di tracciamento corrispondente ad APT28. APT28, noto anche come Fancy Bear, Sednit, Forest Blizzard e Sofacy, ha una lunga storia di spionaggio cibernetico e operazioni di influenza, spesso allineate con gli interessi dello stato russo. Il loro modus operandi tipicamente prevede malware sofisticato a più stadi, offuscamento esteso, abuso di servizi cloud legittimi e targeting persistente dei sistemi di posta elettronica per raggiungere i loro obiettivi.
Notizie correlate
- Trovare la Semplicità nel Labirinto delle Complessità Quotidiane
- Sudafrica Espelle un Alto Diplomatico Israeliano per "Violazioni del Protocollo Diplomatico"
- Africa: Il 99% Non Ha Bisogno di un Forum di Miliardari. Ha Bisogno di Potere Democratico
- Africa: La malattia della filaria di Guinea raggiunge il minimo storico con soli 10 casi umani segnalati nel 2025
- H₂O Davvero? Stellenbosch, la Capitale del Vino Sudafricana, Aggiunge un Nuovo Colpo di Scena con il Debutto delle Degustazioni d'Acqua
L'abilità impiegata in questa campagna, caratterizzata dalla rapida trasformazione di una vulnerabilità zero-day (o quasi zero-day) in arma, dall'uso di nuovi impianti, dall'esecuzione fileless e dallo sfruttamento di canali fidati, riflette le capacità di un avversario altamente dotato di risorse e avanzato. Questo incidente serve come un promemoria critico per le organizzazioni di tutto il mondo per dare priorità all'applicazione tempestiva di patch, migliorare le proprie capacità di rilevamento delle minacce per identificare attacchi in memoria e fileless e rafforzare le difese contro tentativi di spear phishing sofisticati. Le aziende di cybersicurezza come Trellix forniscono continuamente indicatori di compromissione (IOC) aggiornati per aiutare le organizzazioni a identificare e mitigare le potenziali minacce da questo avversario persistente ed in evoluzione.