A partire da marzo 2023, i ricercatori di Proofpoint hanno osservato il gruppo TA422, identificato di provenienza russa e specializzato in minacce persistenti avanzate (APT) utilizzare costantemente vulnerabilità patchate per colpire aziende in Europa e Nord America.
TA422 si sovrappone agli alias APT28, Forest Blizzard, Pawn Storm, Fancy Bear e BlueDelta ed è attribuito dalla Intelligence Community degli Stati Uniti alla Direzione principale dell’intelligence dello Stato Maggiore russo (GRU). Durante questo periodo, TA422 ha condotto attività tradizionali mirate sfruttando Mockbin e InfinityFree per il reindirizzamento degli URL, ma Proofpoint ha osservato una significativa deviazione dai volumi previsti di email inviate in campagne che sfruttano CVE-2023-23397, una vulnerabilità di elevazione dei privilegi di Microsoft Outlook.
Tra queste, oltre 10.000 email sono state inviate dall’attaccante, attraverso un unico provider di posta elettronica, a enti del settore di difesa, aerospaziale, tecnologico, governativo e manifatturiero e, occasionalmente, volumi minori a enti di istruzione superiore, edilizia e consulenza. Non è chiaro se si sia trattato di un errore dell’operatore o di uno sforzo consapevole per raccogliere le credenziali dell’obiettivo. I ricercatori di Proofpoint hanno anche identificato campagne di TA422 che sfruttano una vulnerabilità di esecuzione remota di WinRAR, CVE-2023-38831.
“Con una mossa interessante, l’APT russo TA422 ha continuato ad abusare di vulnerabilità note in massicce campagne email rivolte a governo, difesa, aerospazio, settore manifatturiero e istruzione superiore in Nord America ed Europa. Le loro azioni evidenziano il tentativo di individuare reti facilmente sfruttabili che abbiano un interesse strategico per l’avversario. Tuttavia, non è chiaro se la quantità di email – più di 10.000 in totale da agosto 2023 – sia stata una decisione tattica o un errore dell’operatore. In ogni caso, payload, tattiche e tecniche utilizzate in queste campagne riflettono il passaggio definitivo di TA422 dal malware creato per ottenere accesso persistente a reti mirate a uno più leggero e orientato alle credenziali,” sottolinea Greg Lesnewich, Senior Threat Researcher di Proofpoint.
Sebbene i ricercatori di Proofpoint attribuiscano questa attività a TA422, attore di minacce che opera per l’intelligence militare russa, sulla base delle entità prese di mira e dell’uso ripetuto delle tecniche su larga scala, non è possibile affermare con certezza il perché questo autore abbia continuato a utilizzare vulnerabilità divulgate e patchate nelle sue campagne di phishing. Il gruppo ha fatto ampio affidamento sullo sfruttamento di queste falle per ottenere accesso iniziale ed è probabile che l’attore della minaccia continui a sfruttarle nella speranza che gli obiettivi non abbiano ancora applicato le patch necessarie.