Ucraina, attacchi phishing contro le istituzioni. Il CSIRT avverte l’Italia: “Verificare gli IoC”

2 years ago 287

E’ stata rilevata una campagna massiva di distribuzione di e-mail malevole nei confronti delle istituzioni di ucraine. l’ACN avverte: “Consiglia comunque di verificare l’eventuale presenza sui propri sistemi degli Indicatori di Compromissione (IoC) forniti”.

Il CERT-UA, team governativo di risposta alle emergenze informatiche dell’Ucraina, ha rilevato una campagna massiva di distribuzione di e-mail malevole, per conto degli organi statali e destinate a diverse istituzioni similari ucraine, contenente false istruzioni relative all’aumento del livello di sicurezza della propria organizzazione.

Lo rivela il nostro Computer Security Incident Response Team (CSIRT), che spiega come “all’interno del corpo della comunicazione è presente un link al sito web hxxps://forkscenter[.]fr/ (ora non più attivo), il quale invita l’utente a scaricare il pacchetto “Aggiornamenti Critici” denominato “BitdefenderWindowsUpdatePackage.exe” e di circa 60 MB di dimensione”.

L’apertura di tale file comporta l’esecuzione del loader alt.exe, che scaricherà ed eseguirà, dalla piattaforma di messaggistica Discord, i file one.exe e dropper.exe. L’analisi del CERT-UA ha stabilito che l’esecuzione del file one.exe infetterebbe la macchina target con il software Cobalt Strike Beacon, oltre a scaricare ed eseguire il file wisw.exe, che, a sua volta, scarica da Discord ed esegue il file cesdf.exe.

Il file dropper.exe, caricato, decodificato in base64 e salvato su disco, esegue il file java-sdk.exe. Quest’ultimo, oltre a garantire la persistenza attraverso apposita chiave inserita nel registro di Windows, carica, decodifica in base64, salva su disco ed esegue altri due file:

  • microsoft-cortana.exe, classificato come backdoor GraphSteel;
  • oracle-java.exe, classificato come backdoor GrimPlant.

GraphSteel è un malware scritto in Go. Tale programma malevolo effettua le seguenti attività:

  • raccolta delle informazioni di base della macchina (nome host, nome utente, indirizzo IP);
  • sottrazione delle credenziali di autenticazione;
  • esecuzione di comandi;
  • caricamento di file.

La backdoor utilizza il protocollo di rete WebSocket e il linguaggio GraphQL per comunicare con il server di Comando e Controllo (C2) e la crittografia AES e la codifica base64 per la trasmissione dati.

GrimPlant, malware scritto in Go, effettua le seguenti operazioni:

  • raccolta delle informazioni di base della macchina (indirizzo IP, nome host, Sistema Operativo, Username, HomeDir);
  • esecuzione dei comandi ricevuti dal server C2 e invio dell’output della loro esecuzione.

Il malware utilizza il protocollo GRPC (Protocol Buffers + HTTP/2 + SSL). L’indirizzo del server C2 è inviato come argomento da riga di comando.

Verificare gli Indicatori di Compromissione

Pur interessando la campagna descritta esclusivamente istituzioni ucraine, si consiglia comunque di verificare l’eventuale presenza sui propri sistemi degli Indicatori di Compromissione (IoCforniti in allegato (si evidenzia che non tutti gli URL e domini forniti risultano essere al momento della verifica attivi).

Il contenuto del presente bollettino potrebbe inoltre essere utilizzato quale spunto per le sessioni di training del proprio personale riguardo la minaccia del phishing.

Read Entire Article