Il malware EnvyScout (APT29) è stato veicolato anche in Italia

APT 2年前 (2022) admin
910 0 0
Il malware EnvyScout (APT29) è stato veicolato anche in Italia

Questo CERT ha avuto evidenza oggi di una e-mail fraudolenta veicolata in Italia lo scorso 29 giugno.

Il messaggio, che pretende di provenire da “Cancelliere governo.it” (ma l’indirizzo email utilizzato non ha nulla a che vedere con il dominio “governo.it”), invita i destinatari a prendere visione dell’allegato PDF per una informativa inerente la vaccinazione COVID-19.

Il malware EnvyScout (APT29) è stato veicolato anche in Italia
File PDF Dekret.pdf

Il PDF allegato presenta un link che punta ad una pagina HTML (i.html) di un dominio localizzato in Serbia. Il file HTML contiene uno script che ha il compito di acquisire l’indirizzo IP della vittima e lo User-Agent, di comunicarlo ad una pagina PHP (t.php) sempre sullo stesso dominio e di rilasciare un file ISO (Decret.iso) codificato in Base64.

Il malware EnvyScout (APT29) è stato veicolato anche in Italia
Comunica IP della vittima
Il malware EnvyScout (APT29) è stato veicolato anche in Italia
Converte Base64 in Decret.iso

La data di creazione del file “Decret.iso” conferma la data di inizio della campagna. Il file ISO infatti risulta essere stato creato alle 08:58 del 29 giugno 2022 mentre l’e-mail è stata ricevuta alle ore 14:10 dello stesso giorno.

Il malware EnvyScout (APT29) è stato veicolato anche in Italia
Exif data file Decret.iso

L’archivio ISO presenta all’interno quattro file: uno con estensione LNK, un file EXE e 2 file DLL.

Come è possibile osservare dal collegamento presente nel file “DECRET.lnk”, del quale si hanno precedenti evidenze, viene eseguito il file “HP2.exe” (firmato digitalmente da HP Inc. ma con certificato scaduto il 22/04/2022) che, in sequenza, ha il compito di caricare “VERSION.DLL” e “HPSCANAP.DLL”.

Il malware EnvyScout (APT29) è stato veicolato anche in Italia
Contenuto del file Decret.iso

Tutta la catena di infezione è chiaramente riconducibile ad una variante di EnvyScout, utilizzato dal gruppo APT29 denominato Nobelium, già noto per aver veicolato campagne a tema Covid-19 contro agenzie governative per azioni di spionaggio tramite l’uso di beacon CobaltStrike.

Indicatori di compromissione (IoC)

Ulteriori analisi sono in corso. Al fine di rendere pubblici i dettagli della campagna si riportano di seguito gli IoC al momento rilevati e già condivisi con le organizzazioni accreditate alla ricezione del flusso di IoC del CERT-AgID.

Link: Download IoC

Aggiornamento (11/07/2022): Download IoC

 

 

版权声明:admin 发表于 2022年7月18日 下午1:49。
转载请注明:Il malware EnvyScout (APT29) è stato veicolato anche in Italia | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...