Gruppi APT utilizzano la tecnica dell'RFT Template injection
- Antonio Capobianco
- Visite: 3695
Un recente report di Proofpoint riferisce che Gruppi #APT di Cina, Russia e India stanno adottando una nuova (si fa per dire) tecnica di attacco chiamata "RTF Template #Injection", rendendo i loro attacchi più difficili da rilevare e fermare.
Che cos'è l'iniezione di modelli RTF? Questo attacco non è nuovo di per sé, ma una variazione di un classico attacco di template injection che è noto da anni, da qui la sua inclusione già nel framework #MITRE #ATT&CK.
La tecnica ruota attorno a una funzionalità di Microsoft Office in cui gli utenti possono creare un documento utilizzando un modello predefinito.
Questi modelli possono essere archiviati localmente o scaricati da un server remoto.
L'idea è che gli aggressori possano inviare file di Office apparentemente innocui, come DOC, XLS o PPT, e poi caricare codice dannoso quando l'app esegue il rendering del contenuto caricando il modello.
Gli attacchi che abusano di questa tecnica si verificano da anni, ma hanno visto un'impennata nel 2020, quando "l'iniezione di modelli a distanza" è diventata una tecnica popolare con alcuni gruppi APT.
Questi attacchi sfruttano tutti i file di Office e in particolare i documenti di Word.
La nuova variante di questo attacco è che, invece di utilizzare Word o altri file di Office, utilizzano file Windows RTF (rich text format).
Secondo Proofpoint, gli attori delle minacce stanno mettendo creando un arsenale di file RTF con esche che potrebbero interessare i loro obiettivi, creando modelli contenenti codice dannoso che esegue malware specifici.
Questi documenti vengono quindi inviati alle vittime utilizzando attacchi di spear-phishing.