Il gruppo APT Cloud Werewolf attacca organizzazioni russe e bielorusse

Il gruppo hacker APT noto come “Cloud Werewolf” ed attivo dal 2014 ha avviato una campagna di spearphishing rivolta ad organizzazioni russe e bielorusse. La campagna consiste principalmente nell’invio di email con allegati documenti di Microsoft Office relativi a temi di interesse, così da aumentare le probabilità che i dipendenti aprano i suddetti allegati.

Inoltre, il gruppo sembra perfettamente consapevole che, da un lato l’infrastruttura IT degli enti statali è spesso obsoleta e dall’altro il personale non è adeguatamente formato, il che consente di sfruttare anche vecchie vulnerabilità.

Questi sarebbero alcuni dei tools utilizzati dal gruppo:

1. LaZagne, un noto tool di password recovery
2. Advanced IP Scanner
3. AnyDesk, utilizzato principalmente come canale di accesso di backup ad un’infrastruttura IT compromessa
4. 7-zip

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Ovviamente si tratta di tools molto noti ed assolutamente legittimi che vengono usati quotidianamente da migliaia di professionisti. Inoltre, inserendo i contenuti dannosi su un server remoto, spesso gli aggressori riescono a bypassare le deboli difese delle reti statali.

Viene così scaricato un file HTA contenente uno script Visual Basic e, per ottenere ulteriori file VBS dal server dei comandi, viene effettuata una richiesta GET al suo indirizzo. E’ interessante sottolineare anche come, secondo alcuni articoli in russo, il gruppo in questione sarebbe un gruppo national state di un paese non meglio identificato, insomma un gruppo un po’ come APT29 che invece sarebbe riconducibile al Cremlino.

Andiamo ora ad analizzare meglio l’aspetto tecnico, gli indicatori di compromissione e qualche esempio di documenti allegati.

Analisi di alcuni file utilizzati nella campagna

Tra i file utilizzati troviamo questo file denominato “Путевки на лечение 2024.doc” che contiene informazioni su presunti voucher medici e resort, inclusi quelli destinati ai veterani militari

Un altro documento denominato “Приказ [redacted] № ВБ‑52фс.doc.” invece conteneva un presunto ordine da parte di un dipartimento federale:

Qualora la vittima apra il file allegato verrebbe recuperato un documento da una risorsa remota come questa dal quale viene recuperato un file RTF che consente lo sfruttamento della CVE-2017-11882.

Il corretto sfruttamento della vulnerabilità e l’esecuzione dello shellcode provocano quanto segue:

1. Decrittografa il payload dannoso contenuto nello shellcode utilizzando un’operazione XOR con una dimensione della chiave di 2 byte.
2. Download di un file HTA contenente uno script Visual Basic da un server remoto e apertura dello stesso.

Analisi dello script

Lo script Visual Basic implementa le seguenti azioni:

1. Riduce le dimensioni della finestra spostandola fuori dallo schermo
2. Ottiene il percorso della cartella AppData\Roaming ottenendo il valore del parametro APPDATA dalla chiave di registro HKCU\Volatile Environment
3. Crea il file rationalistic.xml all’interno del percorso ottenuto ed andando a scrivere i seguenti file
4. rationalistic.xml:rationalistic.hxn — File contenente un payload dannoso che consente la connessione al server di comando e controllo
5. rationalistic.xml:rationalistic.vbs — File responsabile della decrittografia e del lancio del payload dannoso
6. rationalistic.xml:rationalisticing.vbs — Altro file responsabile della decrittografia e del lancio del payload dannoso
7. rationalistic.xml:rationalisticinit.vbs — File responsabile della cancellazione del contenuto di tutti i file presenti all’interno della cartella C:\Users[utente]\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\, nonché opera sui file rationalistic.xml:rationalisticinit.vbs e rationalistic.xml:rationalisticing.vbs aprendoli in modalità di scrittura
8. Aggiunta del file rationalistic.xml:rationalistic.vbs all’avvio creando il parametro defragsvc nella chiave di registro HKCU\Software\Microsoft\Windows\CurrentVersion\Run con il valore wscript /B “[percorso del file razionalestic.xml:rationalistic.vbs ]”.
9. Esecuzione dei file rationalistic.xml:rationalisticing.vbs e rationalistic.xml:rationalisticinit.vbs utilizzando il comando wscript /B “[percorso file]”.

Una volta decrittografato, il payload dannoso esegue le seguenti azioni:

1. Accesso alla chiave di registro CLSID{88d96a0b-f192-11d4-a65f-0040963251e5}\ProgID.
2. Utilizza un server proxy ottenendo l’indirizzo dalla chiave di registro HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings.
3. Verifica la presenza del parametro defragsvc nella chiave di registro HKCU\Software\Microsoft\Windows\CurrentVersion\Run e, qualora non dovesse esserci, lo crea
4. Si connette al server in un ciclo infinito

Qualche altra informazione sull’APT Cloud Werewolf

Andiamo ora a riepilogare le informazioni su questo APT

1. Questo gruppo è attivo almeno dal 2014 ed è noto anche con i nomi Inception e Cloud Atlas
2. Si tratta verosimilmente di un gruppo nation-state il cui obiettivo principale è lo spionaggio
3. Attacca principalmente organizzazioni governative, industriali e scientifiche in Russia e Bielorussia
4. Durante la fase post-sfruttamento ha a disposizione strumenti unici come PowerShower e VBShower, oltre ad una vasta gamma di script scritti in Python
5. Utilizza LaZagne per ottenere password e sistemi di autenticazione
6. Utilizza Advanced IP Scanner per raccogliere informazioni sui sistemi remoti
7. Utilizza AnyDesk come canale di backup per accedere ad un’infrastruttura IT compromessa
8. Utilizza RDP e SSH per navigare all’interno dell’infrastruttura IT compromessa
9. Utilizza 7‑Zip per archiviare i file raccolti dai sistemi compromessi
10. Rimuove le voci relative alla comunicazione con i server di comando e controllo, ad esempio dai registri del server proxy

IoC – Indicatori di Compromissione

Questi sono gli indicatori di compromissione attualmente disponibili per la campagna che abbiamo analizzato:

1. 5af1214fc0ca056e266b2d093099a3562741122f32303d3be7105ce0c2183821
2. b4c0902a9fb29993bc7573d6e84547d0393c07e011f7b633f6ea3a67b96c6577
3. 9d98bd1f1cf6442a21b6983c5c91c0c14cd98ed9029f224bdbc8fdf87c003a4b
4. serverop-parametrs[.]com
5. triger-working[.]com
6. web-telegrama[.]org

TTP dell’attacco spearphishing in esame

Andiamo ora a mettere in una tabella le TTP(tattiche, tecniche e procedure) utilizzate nell’attacco esaminato:

Conclusione

E’ importante sottolineare che lo spearphishing è una tecnica molto usata e che, come sempre, è molto importante puntare sulla formazione del proprio fattore umano sia mediante incontri di formazione che mediante la condivisione di articoli – più o meno tecnici a seconda del pubblico – che affrontano il fenomeno.

L’articolo in questione ha volutamente una doppia impronta essendo inizialmente molto discorsivo e, successivamente, molto tecnico in quanto mi sono prefissato un duplice obiettivo:

1. Sensibilizzare i nostri lettori “generici” circa l’importanza di fare attenzione anche ad un qualcosa che può sembrare banale come un allegato Word in un’email ma che, come abbiamo visto, può essere vettore di un’infezione che può portare potenzialmente a conseguenze catastrofiche
2. Informare i nostri lettori tecnici circa questa campagna, fornendo – spero in maniera esaustiva – gli IoC(indicatori di compromissione) relativi alla campagna e le TTP(tecniche, tattiche e procedure) affinché possano da un lato implementarli sui loro sistemi e, dall’altro, rimanere aggiornati sugli attori di minacce e le loro strategie

Per concludere e spiegare meglio l’ultimo concetto voglio prendere in prestito una frase di Sun Tzu:

“Se conosci il nemico e conosci te stesso, non devi temere il risultato di cento battaglie. Se conosci te stesso ma non il nemico, per ogni vittoria ottenuta subirai anche una sconfitta. Se non conosci né il nemico né te stesso, soccomberai in ogni battaglia.”

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Davide Santoro

Da sempre patito di sicurezza informatica e geopolitica cerca da sempre di unire queste due passioni, ultimamente ho trovato soddisfazione nell’analisi dei gruppi ransomware, si occupa principalmente di crittografia ed è un sostenitore del software libero.

Aree di competenza: Cyber Threat Intelligence, Geopolitica, Red Team, Osint