Lo scorso mese vi abbiamo parlato di Follina, vulnerabilità zero-day che interessa Microsoft Office e che consente l’esecuzione di codice arbitrario tramite lo Strumento di diagnostica supporto tecnico Microsoft (MSDT). La falla, classificata come CVE-2022-30190, riguarda tutti i client Windows e le piattaforme server che continuano a ricevere aggiornamenti di sicurezza (Windows 7 e versioni successive, Windows Server 2008 e versioni successive).
Recentemente, il Computer Emergency Response Team (CERT) ucraino ha avvertito che gruppi di hacker russi stanno utilizzando Follina per nuove campagne di phishing volte a installare il malware CredoMap e il beacon Colbalt Strike. In particolare, per la campagna inerente a CredoMap è stato utilizzato un documento RTF per far scaricare e installare il malware, mentre per quella relativa a Cobalt Strike è stato impiegato un file .docx, chiamato “Imposition of penalties.docx”, per recuperare il payload da un risorsa remota (ked.dll).
Nel caso non ne foste al corrente, CredoMap è un trojan che mira a rubare le informazioni memorizzate nel browser web Chrome, Edge e Firefox, come le credenziali degli account e i cookie. Dopo aver reperito i dati, utilizzando il protocollo e-mail IMAP, invia tutto a un indirizzo ospitato su un sito abbandonato a Dubai.
Il gruppo responsabile dell’attacco con CredoMap è APT28 (conosciuto anche come STRONTIUM, Fancy Bear e Sofacy), che si ritiene abbia collegamenti con il governo russo e che è impegnato principalmente in operazioni di spionaggio informatico.
Invece, quello inerente a Cobalt Strike è stato condotto da UAC-0098 e anche in questo caso sfruttava l’invio di un documento inerente al mancato pagamento delle imposte per adescare molte potenziali vittime, soprattutto considerando la situazione attuale dell’Ucraina.