Il gruppo russo APT28 ha avviato una campagna di spear-phishing mirata a entità ucraine e alleati della NATO. L'obiettivo è l'implementazione di PRISMEX, un malware sconosciuto fino ad ora. Questa suite utilizza tecniche sofisticate per eludere i rilevamenti e mantenere l'accesso ai sistemi compromessi, riflettendo l'evoluzione costante delle minacce mirate con motivazione geopolitica.
Tecniche di offuscamento e persistenza di PRISMEX 🕵️
PRISMEX utilizza steganografia avanzata, nascondendo il suo carico malevolo all'interno di file immagine apparentemente normali. Per la persistenza, dirotta il modello a oggetti componenti (COM) del sistema. Le sue comunicazioni di comando e controllo sono camuffate mediante l'abuso di servizi legittimi nel cloud, rendendo difficile il blocco del traffico malevolo e l'analisi forense.
I ragazzi di APT28 e la loro ossessione per l'arte digitale 🎨
Non contenti del phishing di vecchia data, ora ci regalano arte astratta. Nascondono il malware nelle immagini, come fossero artisti digitali d'avanguardia. Il loro uso creativo dei servizi nel cloud dimostra che persino gli attori delle minacce apprezzano i vantaggi del calcolo distribuito. Uno sforzo notevole, anche se si preferirebbe che canalizzassero quell'inventiva in progetti legittimi di codice aperto.