Sommario
Una nuova campagna di cyber attacchi, denominata “Operazione Rusty Flag”, sta prendendo di mira specifici obiettivi situati in Azerbaijan, con l’obiettivo di distribuire malware scritto nel linguaggio di programmazione Rust sui sistemi compromessi. La campagna, attualmente monitorata dalla società di cybersecurity Deep Instinct, non è stata ancora associata a nessun gruppo o attore di minacce noto.
Dettagli tecnici dell’attacco
L’operazione utilizza almeno due differenti vettori di accesso iniziale. Uno di questi sfrutta un file LNK denominato “1.KARABAKH.jpg.lnk” come punto di lancio per recuperare un payload di seconda fase, un installer MSI, ospitato su Dropbox. Questo installer, a sua volta, rilascia un impianto scritto in Rust, un file XML per un compito pianificato che esegue l’impianto, e un file immagine di diversivo che presenta i watermark del simbolo del Ministero della Difesa dell’Azerbaijan.
Un altro vettore di infezione utilizza un documento Microsoft Office chiamato “Overview_of_UWCs_UkraineInNATO_campaign.docx”, che sfrutta una vulnerabilità di corruzione della memoria vecchia di sei anni nel Equation Editor di Microsoft Office, per invocare un URL Dropbox che ospita un file MSI differente, servendo una variante dello stesso backdoor Rust.
Connessione con il gruppo Storm-0978
Gli analisti della sicurezza Simon Kenin, Ron Ben Yizhak e Mark Vaitzman, che hanno condotto un’analisi la settimana scorsa, hanno notato che uno degli esche utilizzate nell’operazione è un documento modificato precedentemente utilizzato dal gruppo Storm-0978. Questo potrebbe essere un tentativo deliberato di “false flag”, cercando di attribuire l’attacco a Storm-0978. È interessante notare che un’esca con lo stesso nome del file è stata utilizzata da Storm-0978 in recenti attacchi cyber che prendevano di mira l’Ucraina, sfruttando una vulnerabilità di esecuzione di codice remoto in Office.
Implicazioni e obiettivi della campagna
Al momento, gli obiettivi finali della campagna rimangono poco chiari. Tuttavia, non è stata esclusa la possibilità che potrebbe trattarsi di un esercizio di red team. Gli analisti hanno anche sottolineato che il linguaggio di programmazione Rust sta diventando sempre più popolare tra gli autori di malware, principalmente perché i prodotti di sicurezza non stanno ancora rilevando accuratamente il malware Rust e il processo di reverse engineering risulta più complesso.
