I ricercatori di Proofpoint hanno scoperto una campagna profondamente mirata basata su email che diffonde un malware poliglotta multistage, che ha colpito nello specifico una serie di organizzazioni negli Emirati Arabi Uniti, con un interesse particolare per aviazione e comunicazioni satellitari, oltre che per le infrastrutture critiche di trasporto.
Come spiega Joshua Miller, senior threat researcher di Proofpoint, “il basso volume, la natura particolarmente mirata della campagna e i numerosi tentativi di offuscare il malware indicano un avversario con un obiettivo chiaro. Una più ampia analisi dell’infrastruttura indica possibili connessioni con attaccanti allineati all’Iran già monitorati da partner fidati”.
Indice degli argomenti
Campagna mirata
I risultati principali della ricerca, anzitutto, evidenziano una campagna altamente mirata: i messaggi dannosi sono stati inviati da un’entità compromessa in un rapporto commerciale di fiducia con gli obiettivi e hanno utilizzato esche personalizzate per ognuno. Poi l’dentificazione della nuova backdoor Sosano: denominata così da Proofpoint, la backdoor ha sfruttato tecniche diverse per offuscare il malware e il suo payload.
Nuovo cluster di minacce
In secondo luogo i ricercatori hanno scoperto un nuovo cluster di minacce, tracciato come Unk_CraftyCamel: in questa fase, l’attività non si sovrappone a nessun altro cluster identificato e monitorato da Proofpoint.
E da ultimo una hanno rilevato una compromissione dell’infrastruttura: nell’autunno del 2024, Unk_CraftyCamel ha sfruttato una società di elettronica indiana compromessa per colpire organizzazioni negli Emirati Arabi Uniti con un file zip pericoloso che ha fatto leva su più file poliglotti per installare Sosano, la backdoor Go personalizzata.
Relazioni di fiducia
Inoltre Miller aggiunge che “questa campagna è un esempio di come gli attori delle minacce sfruttino le relazioni di fiducia per fornire malware personalizzato e offuscato a obiettivi altamente selezionati”.
Gli attori di minacce avanzate prenderanno di mira in modo specifico terze parti fidate che operano come fornitori a monte e che interagiscono frequentemente con i loro clienti. Questo permette loro di condurre una compromissione della catena di approvvigionamento, che riduce la probabilità di rilevamento iniziale delle minacce basate su email.
Contenuti non riconosciuti
Oltre alle opportunità di rilevamento descritte, le organizzazioni dovrebbero addestrare gli utenti a diffidare di contenuti inattesi o non riconosciuti provenienti da contatti noti e a identificare le caratteristiche comuni dei contenuti dannosi, come l’impersonificazione dei domini utilizzando domini di primo livello alternativi.
