E’ stata rilevata una campagna massiva di distribuzione di e-mail malevole nei confronti delle istituzioni di ucraine. l’ACN avverte: “Consiglia comunque di verificare l’eventuale presenza sui propri sistemi degli Indicatori di Compromissione (IoC) forniti”.
Il CERT-UA, team governativo di risposta alle emergenze informatiche dell’Ucraina, ha rilevato una campagna massiva di distribuzione di e-mail malevole, per conto degli organi statali e destinate a diverse istituzioni similari ucraine, contenente false istruzioni relative all’aumento del livello di sicurezza della propria organizzazione.
Lo rivela il nostro Computer Security Incident Response Team (CSIRT), che spiega in una nota come “all’interno del corpo della comunicazione è presente un link al sito web hxxps://forkscenter[.]fr/ (ora non più attivo), il quale invita l’utente a scaricare il pacchetto “Aggiornamenti Critici” denominato “BitdefenderWindowsUpdatePackage.exe” e di circa 60 MB di dimensione”.
L’apertura di tale file comporta l’esecuzione del loader alt.exe, che scaricherà ed eseguirà, dalla piattaforma di messaggistica Discord, i file one.exe e dropper.exe. L’analisi del CERT-UA ha stabilito che l’esecuzione del file one.exe infetterebbe la macchina target con il software Cobalt Strike Beacon, oltre a scaricare ed eseguire il file wisw.exe, che, a sua volta, scarica da Discord ed esegue il file cesdf.exe.
Il file dropper.exe, caricato, decodificato in base64 e salvato su disco, esegue il file java-sdk.exe. Quest’ultimo, oltre a garantire la persistenza attraverso apposita chiave inserita nel registro di Windows, carica, decodifica in base64, salva su disco ed esegue altri due file:
- microsoft-cortana.exe, classificato come backdoor GraphSteel;
- oracle-java.exe, classificato come backdoor GrimPlant.
GraphSteel è un malware scritto in Go. Tale programma malevolo effettua le seguenti attività:
- raccolta delle informazioni di base della macchina (nome host, nome utente, indirizzo IP);
- sottrazione delle credenziali di autenticazione;
- esecuzione di comandi;
- caricamento di file.
La backdoor utilizza il protocollo di rete WebSocket e il linguaggio GraphQL per comunicare con il server di Comando e Controllo (C2) e la crittografia AES e la codifica base64 per la trasmissione dati.
GrimPlant, malware scritto in Go, effettua le seguenti operazioni:
- raccolta delle informazioni di base della macchina (indirizzo IP, nome host, Sistema Operativo, Username, HomeDir);
- esecuzione dei comandi ricevuti dal server C2 e invio dell’output della loro esecuzione.
Il malware utilizza il protocollo GRPC (Protocol Buffers + HTTP/2 + SSL). L’indirizzo del server C2 è inviato come argomento da riga di comando.
Verificare gli Indicatori di Compromissione
Pur interessando la campagna descritta esclusivamente istituzioni ucraine, il CSIRT consiglia comunque di verificare l’eventuale presenza sui propri sistemi degli Indicatori di Compromissione (IoC) forniti in allegato (si evidenzia che non tutti gli URL e domini forniti risultano essere al momento della verifica attivi).