Alcuni enti in Armenia sono stati oggetto di un attacco informatico utilizzando una versione aggiornata di una Backdoor chiamato OxtaRAT, che consente l’accesso remoto e la sorveglianza del sistema.
“Le funzionalità dello strumento includono la ricerca e l’esfiltrazione di file dal computer infetto, la registrazione video dalla webcam e dal desktop, il controllo remoto della macchina compromessa con TightVNC, l’installazione di una shell web, la scansione delle porte e altro ancora“, ha dichiarato Check Point Research in un rapporto.
Si dice che l’ultima campagna sia iniziata nel novembre 2022 e segni la prima volta che i gruppi dietro all’attività hanno espanso il loro focus oltre l’Azerbaigian.
“Da diversi anni i gruppi dietro a questi attacchi hanno preso di mira organizzazioni per i diritti umani, dissidenti e media indipendenti in Azerbaigian“, lo ha spiegato la società di sicurezza informatica, definendo la campagna Operazione Silent Watch.
Le intrusioni del 2022 sono significative, non solo a causa dei cambiamenti nella catena di infezione, ma anche delle misure adottate per migliorare la sicurezza operativa ed equipaggiare la Backdoor con maggiori mezzi a disposizione.
Il punto di partenza della sequenza di attacco è un archivio autoestraente che imita un file PDF e presenta un’icona PDF. L’avvio del presunto “documento” apre un file esca, mentre esegue in modo furtivo il codice maligno nascosto all’interno di un’immagine.
Un file poliglotta che combina uno script AutoIT compilato e un’immagine, OxtaRAT presenta comandi che permettono all’autore della minaccia di eseguire comandi e file aggiuntivi, raccogliere informazioni sensibili, eseguire ricognizioni e sorveglianza tramite una webcam e persino passare ad altri dispositivi.
OxtaRAT è stato utilizzato fin dal giugno 2021, anche se con funzionalità significativamente ridotte, questo indica un tentativo di aggiornare costantemente il set di strumenti e trasformarlo in un malware “coltellino svizzero”.
L’attacco di novembre 2022 si distingue anche per alcune ragioni. La prima è che i file .SCR che attivano la catena di attacco contengono già l’impianto OxtaRAT anziché agire come downloader per recuperare il malware.
“Questo evita agli attori la necessità di effettuare ulteriori richieste di file binari al server C&C e di attirare attenzioni inutili, nonché nasconde il malware principale dall’essere facilmente scoperto sulla macchina infetta, poiché sembra un’immagine normale e supera le protezioni specifich“, ha spiegato Check Point.
Il secondo aspetto sorprendente è la geofencing dei domini di controllo e comando che ospitano gli strumenti ausiliari agli indirizzi IP armeni.
È anche importante la capacità di OxtaRAT di eseguire comandi per la scansione delle porte e per testare la velocità di una connessione Internet, quest’ultima probabilmente utilizzata come modo per nascondere l’estesa esfiltrazione di dati.
“OxtaRAT, che in precedenza aveva principalmente capacità di ricognizione e sorveglianza locali, può ora essere utilizzato come pivot per la ricognizione attiva di altri dispositivi“, ha detto Check Point.
“Questo potrebbe indicare che gli autori della minaccia si stanno preparando ad estendere il loro principale vettore di attacco, che attualmente è l’ingegneria sociale, agli attacchi basati sull’infrastruttura. Potrebbe anche essere un segnale che gli autori si stanno spostando dal targeting di individui a targeting di ambienti più complessi o aziendali“.
“Gli autori della minaccia hanno mantenuto lo sviluppo di malware basati su Auto-IT negli ultimi sette anni, e lo stanno utilizzando in campagne di sorveglianza il cui obiettivo è coerente con gli interessi azeri.”