Il Threat Fusion Center (TFC), una divisione di BlueVoyant, ha scoperto la campagna di phishing “NaurLegal” con fatture false di studi legali. Gli aggressori si affidano a documenti PDF, file OneNote o Excel infettati da malware.
Gli aggressori si fingono studi legali e abusano della fiducia che le loro vittime ripongono nei fornitori di servizi legali. La campagna si chiama “NaurLegal” e si ritiene che gli attacchi siano stati orchestrati dal gruppo di criminalità informatica Narwhal Spider (noto anche come Storm-0302, TA544).
Gli aggressori mascherano file PDF dannosi come fatture dall'aspetto autentico di rinomati studi legali: una tattica mirata ad attirare vittime in vari settori. La campagna NaurLegal finge legittimità creando e inviando file PDF con nomi di file dall'aspetto legittimo come "Fattura_[numero]_da_[nome studio legale].pdf". Questa strategia sfrutta l'aspettativa dei destinatari di ricevere regolarmente documenti legali nella vita lavorativa quotidiana. Questo approccio aumenta la probabilità che i destinatari aprano i file infetti da malware.
Dettagli tecnici del malware utilizzato
L'infrastruttura della campagna NaurLegal comprende domini associati a WikiLoader e la cui attività di follow-up suggerisce un'associazione con questa famiglia di malware. WikiLoader è noto per sofisticate tecniche di offuscamento, come: B. controllare le risposte di Wikipedia per stringhe specifiche per bypassare gli ambienti sandbox. Narwhal Spider ha utilizzato WikiLoader in passato e il coinvolgimento del gruppo in questa campagna suggerisce che ulteriori payload di malware distruttivi potrebbero essere distribuiti in futuro.
I rapporti di Virus Total indicano che IcedID potrebbe essere un possibile carico utile associato a questa campagna. Inoltre, l'infrastruttura C2 di questa campagna sembra fare affidamento esclusivamente su siti WordPress compromessi, una tattica ben nota utilizzata da Narwhal Spider. Considerata la natura sensibile dei dati gestiti dalle organizzazioni attaccate, che comprendono proprietà intellettuale, strategie aziendali e informazioni personali, la posta in gioco è particolarmente alta per un'intrusione riuscita.
Gli autori delle minacce stanno espandendo la loro portata
In passato, le campagne WikiLoader di Narwhal Spider si concentravano principalmente sulle organizzazioni italiane e distribuivano malware tramite vari allegati e-mail, inclusi file Microsoft Excel, OneNote e PDF. Tuttavia, la campagna NaurLegal segna un allontanamento da questi attacchi focalizzati geograficamente e prende di mira invece una gamma più ampia di organizzazioni che potrebbero dover affrontare spese legali. Questo cambiamento di strategia evidenzia l'adattabilità di Narwhal Spider e i suoi sforzi per sfruttare varie vulnerabilità e tattiche di ingegneria sociale.
Gli attacchi alle catene di fornitura e alle relazioni con i partner di fiducia continuano ad aumentare in tutto il mondo, come mostra il rapporto sullo stato della difesa della catena di fornitura 2023 di BlueVoyant. L’espansione delle attività di autori di minacce come Narhwal Spider rafforza ulteriormente questa tendenza.
Misure protettive raccomandate
L'uso di file PDF infetti da malware mascherati da fatture di studi legali legittimi è un indizio chiave degli attacchi sferrati nell'ambito di questa campagna. I team di sicurezza dovrebbero prestare attenzione a un volume insolitamente elevato di fatture in formato PDF, in particolare quelle che provengono da fonti esterne e sono denominate nel modello "Fattura_[numero]_da_[nome studio legale].pdf." L'utilizzo di moderne soluzioni di sicurezza e-mail in grado di analizzare gli allegati PDF per individuare contenuti dannosi può aiutare a rilevare e contenere queste minacce.
Oltre a controllare le e-mail in arrivo, anche il monitoraggio delle connessioni di rete è un metodo importante per identificare tali attacchi. La campagna si basa su siti Web WordPress compromessi per le comunicazioni C2 e modelli di traffico insoliti o picchi di traffico da e verso i siti Web WordPress potrebbero indicare una possibile infezione.
Maggiori informazioni su bluevoyant.com
A proposito di BlueVoyant
BlueVoyant combina capacità di difesa informatica interne ed esterne in una soluzione di sicurezza informatica basata sul cloud, orientata ai risultati, che monitora continuamente reti, endpoint, superfici di attacco e catene di fornitura, nonché il web chiaro, profondo e oscuro per rilevare eventuali minacce. Prodotti e servizi completi di difesa informatica evidenziano, indagano e risolvono rapidamente le minacce per proteggere le aziende.