I ricercatori di ESET hanno individuato Quasar, Sobaken e Vermin, tre RAT utilizzati per campagne di spionaggio ai danni delle istituzioni governative ucraine. I tre malware sono stati utilizzati contro obiettivi diversi allo stesso tempo, condividono parti della loro infrastruttura e si collegano agli stessi server C & C.
I criminali dietro queste campagne di spionaggio sono stati individuati dai ricercatori di ESET dalla metà del 2017 e le loro attività sono state rese pubbliche per la prima volta nel gennaio 2018. Da allora i cyber criminali hanno continuato a migliorare le loro campagne sviluppando nuove versioni dei loro strumenti di spionaggio.
Vermin è una backdoor con numerose funzionalità e componenti opzionali: la sua versione più recente supporta 24 comandi, implementati nel payload principale, oltre a diversi comandi aggiuntivi implementati tramite componenti opzionali, tra cui registrazione audio, keylogging e password stealing. Apparso per la prima volta a metà del 2016, Vermin è ancora in uso. Come Quasar e Sobaken, Vermin è scritto in .NET.
Quasar è un RAT open-source, liberamente disponibile su GitHub, le cui tracce sono state individuate dai ricercatori di ESET già dall’ottobre 2015.
Sobaken è una versione molto modificata di Quasar: alcune funzionalità sono state rimosse per rendere l’eseguibile più piccolo e sono stati aggiunti diversi trucchi anti-sandbox.
Le campagne analizzate dai ricercatori di ESET sono basate sul social engineering e veicolano i tre RAT come allegati alle email. Sono stati comunque utilizzati diversi trucchi per attirare le vittime nel download e nell’esecuzione del malware, come l’override da destra a sinistra per oscurare la reale estensione degli allegati e una combinazione appositamente predisposta di un documento Word che contiene un exploit CVE-2017-0199.
Vediamo nel dettaglio i tre metodi di diffusione utilizzati nelle campagne:
Metodo n. 1: allegati di posta elettronica che utilizzano la sovrascrittura Unicode da destra a sinistra nei nomi dei file per oscurare il loro vera estensione. Questi sono in realtà file eseguibili che utilizzano le icone di Word, Excel, PowerPoint o Acrobat Reader per apparire più affidabili.
Esempio di nome del file: come mostrato nella figura 1 “Перевезення твердого палива (дров) для забезпечення
опалювання _ << RLO >> xcod.scr “(si traduce in” Trasporto di legna per fornire il riscaldamento “)
da un utente poco esperto potrebbe essere scambiato per un file legittimo con estensione .DOCX.
Metodo n. 2: allegati e-mail mascherati da archivi autoestraenti RAR.
Esempio: Email con l’allegato “Наказ_МОУ_Додатки_до_Iнструкцii_440_ост.rar” (Traduzione –
“Ordine del Ministero della Difesa, Appendici all’istruzione n. 440”), come mostrato nella Figura 4. all’interno dell’archivio RAR, c’è un file eseguibile chiamato “Наказ_МОУ_Додатки_до_Iнструкцii_440_ост.exe” che
usa un’icona RX SFX. Le vittime potrebbero eseguire questo file, pensando di ottenere ulteriori contenuti dopo aver avviato il file autoestraente, ma in questo caso permetteranno solo al codice dannoso di infettare il sistema.
Metodo 3: documento Word con exploit CVE-2017-0199. Questa vulnerabilità viene attivata quando la vittima
apre un documento Word appositamente predisposto. Il processo di Word invia, quindi, una richiesta HTTP per un file HTA, sito su un server remoto, che contiene uno script dannoso.
Lo script dannoso verrà quindi eseguito da mshta.exe. Le prime informazioni pubbliche su questa vulnerabilità sono state pubblicate ad aprile 2017 e Microsoft ha provveduto a distribuire gli aggiornamenti di sicurezza per tutte le versioni di Windows e Office.
Secondo la telemetria di ESET, gli autori della minaccia hanno iniziato a utilizzare questo metodo nel maggio 2017. I criminali hanno usato l’indirizzo hxxp: //chip-tuning.lg [.] ua / per distribuire i file HTA e la payload finale.
Tutte le famiglie di malware analizzate sono installate nello stesso modo: un dropper rilascia un file contenente una payload dannosa nella cartella %APPDATA%, inserendolo all’interno di una sottocartella denominata con il nome di una società legittima (solitamente Adobe, Intel o Microsoft). Quindi, crea un’attività pianificata che esegue la payload ogni 10 minuti per garantire la sua persistenza.
Per assicurarsi che il RAT venga eseguito solo su macchine mirate ed eviti sistemi automatici di analisi e sandbox, gli hacker hanno implementato diverse misure: il malware cessa di funzionare se non sono installati layout di tastiera russi o ucraini, se l’indirizzo IP del sistema di destinazione si trova al di fuori di questi due paesi o se è registrato da uno dei numerosi fornitori di soluzioni di sicurezza o provider cloud selezionati.
I criminali informatici dietro queste campagne hanno dimostrato che, con astuti stratagemmi di ingegneria sociale, gli attacchi di cyber-spionaggio possono riuscire anche senza l’utilizzo di malware sofisticati. Questo sottolinea ancora una volta l’importanza di una corretta formazione ed educazione alla cyber sicurezza, oltre che dell’utilizzo di una valida soluzione di antimalware.
2 Comments