Red Hot Cyber

La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed 
incentiva gli altri a fare meglio di te.

Cerca

Il gruppo APT Cloud Werewolf attacca organizzazioni russe e bielorusse

Davide Santoro : 24 Marzo 2024 09:30

  

Il gruppo hacker APT noto come “Cloud Werewolf” ed attivo dal 2014 ha avviato una campagna di spearphishing rivolta ad organizzazioni russe e bielorusse. La campagna consiste principalmente nell’invio di email con allegati documenti di Microsoft Office relativi a temi di interesse, così da aumentare le probabilità che i dipendenti aprano i suddetti allegati.

Inoltre, il gruppo sembra perfettamente consapevole che, da un lato l’infrastruttura IT degli enti statali è spesso obsoleta e dall’altro il personale non è adeguatamente formato, il che consente di sfruttare anche vecchie vulnerabilità.

Questi sarebbero alcuni dei tools utilizzati dal gruppo:

  1. LaZagne, un noto tool di password recovery
  2. Advanced IP Scanner
  3. AnyDesk, utilizzato principalmente come canale di accesso di backup ad un’infrastruttura IT compromessa
  4. 7-zip

Ovviamente si tratta di tools molto noti ed assolutamente legittimi che vengono usati quotidianamente da migliaia di professionisti. Inoltre, inserendo i contenuti dannosi su un server remoto, spesso gli aggressori riescono a bypassare le deboli difese delle reti statali.

Viene così scaricato un file HTA contenente uno script Visual Basic e, per ottenere ulteriori file VBS dal server dei comandi, viene effettuata una richiesta GET al suo indirizzo. E’ interessante sottolineare anche come, secondo alcuni articoli in russo, il gruppo in questione sarebbe un gruppo national state di un paese non meglio identificato, insomma un gruppo un po’ come APT29 che invece sarebbe riconducibile al Cremlino.

Andiamo ora ad analizzare meglio l’aspetto tecnico, gli indicatori di compromissione e qualche esempio di documenti allegati.

Analisi di alcuni file utilizzati nella campagna

Tra i file utilizzati troviamo questo file denominato “Путевки на лечение 2024.doc” che contiene informazioni su presunti voucher medici e resort, inclusi quelli destinati ai veterani militari

Un frammento del file in questione

Un altro documento denominato “Приказ [redacted] № ВБ‑52фс.doc.” invece conteneva un presunto ordine da parte di un dipartimento federale:

Frammento del documento opportunamente modificato

Qualora la vittima apra il file allegato verrebbe recuperato un documento da una risorsa remota come questa dal quale viene recuperato un file RTF che consente lo sfruttamento della CVE-2017-11882.

Il corretto sfruttamento della vulnerabilità e l’esecuzione dello shellcode provocano quanto segue:

  1. Decrittografa il payload dannoso contenuto nello shellcode utilizzando un’operazione XOR con una dimensione della chiave di 2 byte.
  2. Download di un file HTA contenente uno script Visual Basic da un server remoto e apertura dello stesso.

Analisi dello script

Lo script Visual Basic implementa le seguenti azioni:

  1. Riduce le dimensioni della finestra spostandola fuori dallo schermo
  2. Ottiene il percorso della cartella AppData\Roaming ottenendo il valore del parametro APPDATA dalla chiave di registro HKCU\Volatile Environment
  3. Crea il file rationalistic.xml all’interno del percorso ottenuto ed andando a scrivere i seguenti file
  4. rationalistic.xml:rationalistic.hxn — File contenente un payload dannoso che consente la connessione al server di comando e controllo
  5. rationalistic.xml:rationalistic.vbs — File responsabile della decrittografia e del lancio del payload dannoso
  6. rationalistic.xml:rationalisticing.vbs — Altro file responsabile della decrittografia e del lancio del payload dannoso
  7. rationalistic.xml:rationalisticinit.vbs — File responsabile della cancellazione del contenuto di tutti i file presenti all’interno della cartella C:\Users[utente]\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\, nonché opera sui file rationalistic.xml:rationalisticinit.vbs e rationalistic.xml:rationalisticing.vbs aprendoli in modalità di scrittura
  8. Aggiunta del file rationalistic.xml:rationalistic.vbs all’avvio creando il parametro defragsvc nella chiave di registro HKCU\Software\Microsoft\Windows\CurrentVersion\Run con il valore wscript /B “[percorso del file razionalestic.xml:rationalistic.vbs ]”.
  9. Esecuzione dei file rationalistic.xml:rationalisticing.vbs e rationalistic.xml:rationalisticinit.vbs utilizzando il comando wscript /B “[percorso file]”.

Una volta decrittografato, il payload dannoso esegue le seguenti azioni:

  1. Accesso alla chiave di registro CLSID{88d96a0b-f192-11d4-a65f-0040963251e5}\ProgID.
  2. Utilizza un server proxy ottenendo l’indirizzo dalla chiave di registro HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings.
  3. Verifica la presenza del parametro defragsvc nella chiave di registro HKCU\Software\Microsoft\Windows\CurrentVersion\Run e, qualora non dovesse esserci, lo crea
  4. Si connette al server in un ciclo infinito

Qualche altra informazione sull’APT Cloud Werewolf

Andiamo ora a riepilogare le informazioni su questo APT

  1. Questo gruppo è attivo almeno dal 2014 ed è noto anche con i nomi Inception e Cloud Atlas
  2. Si tratta verosimilmente di un gruppo nation-state il cui obiettivo principale è lo spionaggio
  3. Attacca principalmente organizzazioni governative, industriali e scientifiche in Russia e Bielorussia
  4. Durante la fase post-sfruttamento ha a disposizione strumenti unici come PowerShower e VBShower, oltre ad una vasta gamma di script scritti in Python
  5. Utilizza LaZagne per ottenere password e sistemi di autenticazione
  6. Utilizza Advanced IP Scanner per raccogliere informazioni sui sistemi remoti
  7. Utilizza AnyDesk come canale di backup per accedere ad un’infrastruttura IT compromessa
  8. Utilizza RDP e SSH per navigare all’interno dell’infrastruttura IT compromessa
  9. Utilizza 7‑Zip per archiviare i file raccolti dai sistemi compromessi
  10. Rimuove le voci relative alla comunicazione con i server di comando e controllo, ad esempio dai registri del server proxy

IoC – Indicatori di Compromissione

Questi sono gli indicatori di compromissione attualmente disponibili per la campagna che abbiamo analizzato:

  1. 5af1214fc0ca056e266b2d093099a3562741122f32303d3be7105ce0c2183821
  2. b4c0902a9fb29993bc7573d6e84547d0393c07e011f7b633f6ea3a67b96c6577
  3. 9d98bd1f1cf6442a21b6983c5c91c0c14cd98ed9029f224bdbc8fdf87c003a4b
  4. serverop-parametrs[.]com
  5. triger-working[.]com
  6. web-telegrama[.]org

TTP dell’attacco spearphishing in esame

Andiamo ora a mettere in una tabella le TTP(tattiche, tecniche e procedure) utilizzate nell’attacco esaminato:

TatticaTecnicaProcedura
Accesso inizialePhishing: Allegati in campagne di spearphishingInvio di email di phishing con allegati dannosi
EsecuzioneComunicazione tra processi: Component Object ModelUtilizzo di componenti COM negli script VBS
Sfruttamento per l’esecuzione clientUtilizza la vulnerabilità CVE-2017-11882 in Microsoft Office per eseguire shellcode
Esecuzione dell’utente: File malevoloLa vittima deve aprire un file malevolo per avviare il processo di compromissione
Interprete di comandi e scripting: Visual BasicUtilizza script VBS per implementare le varie attività
Windows Management InstrumentationUtilizza Windows Management Instrumentation
PersistenzaBoot o Logon Autostart Execution: Esecuzione di chiavi di registro/Startup FolderModifica la chiave di registro Run per collegarsi ad un sistema compromesso
Evasione difensivaOffuscamento di file o informazioniOffusca il codice dello script, crittografa lo shellcode e il payload dannoso utilizzando XOR
Deoffuscamento/Decodifica file o informazioniUtilizza XOR per decrittografare shellcode e payload dannosi
Rimozione dell’indicatore: Eliminazione del fileCancella il contenuto dei file aprendoli in modalità scrittura
Nasconde artefatti: attributi dei file NTFSUtilizza flussi di dati NTFS alternativi
Iniezione del templateCarica i template da un server remoto
Esecuzione proxy binario del sistema: MshtaUtilizza mshta per avviare file HTA dannosi
Scoperta del sistemaSystem Information DiscoveryOttiene informazioni sul sistema della vittima
Comando e controlloProtocollo di livello applicativo: Protocolli WebUtilizza HTTPS per comunicare con i server
Proxy: Internal ProxyPuò utilizzare un server proxy
Inserimento toolsCarica gli strumenti sul sistema infetto
Tabella relative alle TTP utilizzate dall’ATP in questione con particolarmente riferimento alla campagna di spearphishing analizzata in questo articolo

Conclusione

E’ importante sottolineare che lo spearphishing è una tecnica molto usata e che, come sempre, è molto importante puntare sulla formazione del proprio fattore umano sia mediante incontri di formazione che mediante la condivisione di articoli – più o meno tecnici a seconda del pubblico – che affrontano il fenomeno.

L’articolo in questione ha volutamente una doppia impronta essendo inizialmente molto discorsivo e, successivamente, molto tecnico in quanto mi sono prefissato un duplice obiettivo:

  1. Sensibilizzare i nostri lettori “generici” circa l’importanza di fare attenzione anche ad un qualcosa che può sembrare banale come un allegato Word in un’email ma che, come abbiamo visto, può essere vettore di un’infezione che può portare potenzialmente a conseguenze catastrofiche
  2. Informare i nostri lettori tecnici circa questa campagna, fornendo – spero in maniera esaustiva – gli IoC(indicatori di compromissione) relativi alla campagna e le TTP(tecniche, tattiche e procedure) affinché possano da un lato implementarli sui loro sistemi e, dall’altro, rimanere aggiornati sugli attori di minacce e le loro strategie

Per concludere e spiegare meglio l’ultimo concetto voglio prendere in prestito una frase di Sun Tzu:

“Se conosci il nemico e conosci te stesso, non devi temere il risultato di cento battaglie. Se conosci te stesso ma non il nemico, per ogni vittoria ottenuta subirai anche una sconfitta. Se non conosci né il nemico né te stesso, soccomberai in ogni battaglia.”

Davide Santoro
Da sempre patito di sicurezza informatica e geopolitica cerca da sempre di unire queste due passioni, ultimamente ho trovato soddisfazione nell’analisi dei gruppi ransomware, si occupa principalmente di crittografia ed è un sostenitore del software libero.