Informatica Generale, Microsoft, ransomware, Sicurezza Informatica

Cyber-Spionaggio industriale : campagna MartyMcFly

Durante la scorsa settimana diversi analisti  hanno scoperto diversi attacchi rivolti all’Industria Navale e della Difesa Italiana.

L’aggressore ha utilizzato l’e-mail come vettore di propagazione per infettare le vittime inviando un file .xls appositamente creato
Le e-mail sospette sono state intercettate tra il 9 e il 15 ottobre  in due diversi campaings, ciascuna caratterizzata da uno o più tentativi e trucchi di ingegneria sociale leggermente diversi tra loro.

Email dannose
La prima e-mail malevola intercettata aveva come indirizzo mittente [ markvanschaick.nl @qixnig .com] , nome specifico probabilmente scelto dall’attaccante per provare a sfruttare la reputazione della compagnia di servizi marittima olandese “Mark Van Schaick“, anche se il dominio del mittente e l’indirizzo IP non hanno mostrato alcuna relazione diretta con tale organizzazione.

Il messaggio è stato inviato da un Server Mail di Roundcube ospitato su [Lord. vivawebhost .com (173.237.190.12 COLO4-BLK7 US)] e apparentemente non correlato al dominio del mittente. Inoltre, [“qixnig .com“] (nome di dominio del mittente) risolve un diverso indirizzo IP ossia 66.45.243.148 (Interserver USA). è curioso il reindirizzamento creato per gli utenti che lo visitano: un codice HTTP 301 che reindirizza al portale web del gruppo Dan Marine. (ecco l’immagine).

La seconda campagna di email è stata leggermente diversa rispetto alla prima, originata da un altro servizio  webmail di Roundcube ospitato su [” mail.dbweb .se (52.58.78.16 AT-88-Z US)” ]

Stavolta il falso processo di comunicazione imita l’interazione tra “Naviera Ulises Ltd  [ supplie@ ulisnav.gr ]” e “[Evripidis Mareskas (Mr) <supplies.ulisnav @ kiramko.com]“.

Il dominio estratto sembra essere [kiramko .com] e ha risolto lo stesso indirizzo IP remoto scoperto nella prima ondata della campagna (quello al quale rispondeva “qixnig .com” ovvero 66.45.243.148 Interserver Stati Uniti).

Queste campagne potrebbero essere considerate strettamente correlate.

Il dominio “Ulisnav .gr” sembra non essere registrato al momento della scrittura.

La Tecnica

Le e-mail intercettate si presentano con uno schema di phishing preparato con cura, destinato sicuramente al settore navale italiano. I blocchi osservati delle intestazioni e il contesto di rete hanno mostrato che l’aggressore ha tentato di impersonare venditori noti di parti marine e servizi navali allo scopo di attirare le vittime per aprire i documenti allegati.

Firma del mittente di una mail

Ad esempio, i primi due rilevati hanno cercato di imitare le richieste del gruppo Dan Marine, facendo finta di convalidare il dominio del mittente “qixnig.com” come legalmente posseduto dal gruppo, poi hanno provato a reindirizzare i visitatori sul sito ufficiale di Dan Marine.

Un’altra e-mail intercettata ha inserito la vittima come Bcc (copia conoscenza nascosta) in una comunicazione fittizia tra il supporto tecnico della greca Naviera Ulises Ltd e uno dei suoi datori di lavoro.

Nessun dato è considerato reale e legittimo, infatti i dati intercettati non suggeriscono che l’attaccante abbia alcun tipo di accesso a beni reali.

Gli Allegati

I messaggi di Posta Elettronica intercettati hanno più di un documento allegato: nella prima campagna abbiamo osservato due copie dello stesso file Excel che occultano dati crittografati CDFV2 e ottengono punteggi relativamente bassi nel test di copertura Anti Virus  di  Virus Total .

Questo documento è in grado di scaricare un payload eseguibile da un portale Web compromesso (vedi immagine)

Il secondo attacco aveva come allegato un Excel e un  documento PDF denominato “Company profile.pdf” , questo file sembra essere stato generato nello stesso periodo dei tentativi di phishing: circa 30 minuti prima del invio del messaggio malevolo, da un documento MS Word 2013. (sotto i metadati)

 

Gli allegati  sono stati diffusi a metà ottobre utilizzando più nomi, molti dei quali relativi all’industria navale e contenenti riferimenti a citazioni, richieste o ordini di parti meccaniche.

Detto questo, ora possiamo spiegare la scelta interna del nome in codice “MartyMcFly” per questa campagna: il nome deriva dal valore “Prima vista in The Wild” riportato dalla piattaforma Virus Total e dai meta-dati trovati negli artefatti , che sono un argomento abbastanza interessante da discutere.

 

Il  Payload è stato scaricato da un sito Web potenzialmente compromesso e legittimamente di proprietà di una società turca che vende pezzi di ricambio meccanici, a indicare che l’autore dell’attacco aveva curato attentamente la tematizzazione dell’infrastruttura di distribuzione del malware.
Il file PE32 contiene codice binario eseguibile compilato dal codice sorgente Delphi (BobSoft Mini Delphi).

La prima fase dell’esecuzione mostra diversi schemi e trucchi anti-analisi, ad esempio a 0x0045e304 il malware controlla se l’anno dell’ora locale configurata nel sistema operativo è successiva al 2017 (rif. Figura 8);

 

inoltre a 0x045e393 rallenta l’esecuzione invocando la funzione di libreria SleepEx (rif. Figura 9)

Il bypass di tutti i controlli di debug e i trucchi di evasione all’interno del codice dannoso portano al caricamento dinamico di un modulo .NET in un segmento di codice RWX mappato nella posizione 0x012e0000.

Le firme  Yara invocate confermano che  il modulo PE32 estratto è attribuibile a una versione armata di “QuasarRAT“: uno strumento di amministrazione remota open source liberamente disponibile su github.

La verifica manuale riportata nella Figura 12 conferma che il Payload estratto è compatibile con i moduli QuasarRAT pubblicati sul repository github. Inoltre, la sezione IoC di seguito riporta i percorsi dei server C2 trovati nelle configurazioni del malware.

Al momento nessuna attribuzione a gruppi conosciuti è possibile, molti attori delle minacce scelgono di usare o personalizzare gli strumenti open-source per cercare di rendere più difficile l’attribuzione, come il gruppo cinese “Stone Panda” (APT-10) noto per operazioni di spionaggio contro difesa e governo, con il QuasarRAT nel loro arsenale, o anche il “Gorgon Group”, l’ambiguo gruppo mercenario responsabile sia di attacchi di cyber-crimine che di campagne di spionaggio mirate contro i governi.

 

Informatica Generale, ransomware, Sicurezza Informatica

Campagna di Estorsione “Il tuo account è stato compromesso”

Bentrovati, oggi sono a informarvi relativamente ad una recente ondata di cyber-attacchi rivolta a numerose utenze italiane. Gli attacchi individuati utilizzano tecniche di  “blackmail” mirate ad estorcere denaro agli utenti bersaglio, millantando il possesso di materiale compromettente legato alla vittima e minacciandone la diffusione ai contatti personali. (Tematica simile affrontata in questo articolo).

I tentativi di estorsione sino ad oggi intercettati sono falsi e privi di fondamento, tuttavia i messaggi di posta analizzati sono particolarmente pericolosi in quanto possono contenere riferimenti ad account di posta realmente posseduti dagli utenti bersaglio: tali account sono molto probabilmente stati reperiti dagli attaccanti a seguito di fughe di dati rilasciate nel corso degli anni, oppure all’interno del data-breach “Massive Password Breach 4iQ” pubblicato a Dicembre 2017.

 

 

Figura 1. Contenuto dei messaggi malevoli

 

Qualore foste stati oggetto di ricezione di  email fraudolente potenzialmente legate a tentativi di “Sextortion” o blackmail in generale, il consiglio è quello di effettuare un cambio password sugli account referenziati e su tutti gli account per i quali è stata utilizzata la stessa parola chiave onde evitare la propagazione dei tentativi.