Il gruppo APT Cloud Werewolf attacca organizzazioni russe e bielorusse

Davide Santoro : 24 Marzo 2024 09:30

Il gruppo hacker APT noto come “Cloud Werewolf” ed attivo dal 2014 ha avviato una campagna di spearphishing rivolta ad organizzazioni russe e bielorusse. La campagna consiste principalmente nell’invio di email con allegati documenti di Microsoft Office relativi a temi di interesse, così da aumentare le probabilità che i dipendenti aprano i suddetti allegati.

Inoltre, il gruppo sembra perfettamente consapevole che, da un lato l’infrastruttura IT degli enti statali è spesso obsoleta e dall’altro il personale non è adeguatamente formato, il che consente di sfruttare anche vecchie vulnerabilità.

Questi sarebbero alcuni dei tools utilizzati dal gruppo:

1. LaZagne, un noto tool di password recovery
2. Advanced IP Scanner
3. AnyDesk, utilizzato principalmente come canale di accesso di backup ad un’infrastruttura IT compromessa
4. 7-zip

Ovviamente si tratta di tools molto noti ed assolutamente legittimi che vengono usati quotidianamente da migliaia di professionisti. Inoltre, inserendo i contenuti dannosi su un server remoto, spesso gli aggressori riescono a bypassare le deboli difese delle reti statali.

Viene così scaricato un file HTA contenente uno script Visual Basic e, per ottenere ulteriori file VBS dal server dei comandi, viene effettuata una richiesta GET al suo indirizzo. E’ interessante sottolineare anche come, secondo alcuni articoli in russo, il gruppo in questione sarebbe un gruppo national state di un paese non meglio identificato, insomma un gruppo un po’ come APT29 che invece sarebbe riconducibile al Cremlino.

Andiamo ora ad analizzare meglio l’aspetto tecnico, gli indicatori di compromissione e qualche esempio di documenti allegati.

Analisi di alcuni file utilizzati nella campagna

Tra i file utilizzati troviamo questo file denominato “Путевки на лечение 2024.doc” che contiene informazioni su presunti voucher medici e resort, inclusi quelli destinati ai veterani militari

Un altro documento denominato “Приказ [redacted] № ВБ‑52фс.doc.” invece conteneva un presunto ordine da parte di un dipartimento federale:

Qualora la vittima apra il file allegato verrebbe recuperato un documento da una risorsa remota come questa dal quale viene recuperato un file RTF che consente lo sfruttamento della CVE-2017-11882.

Il corretto sfruttamento della vulnerabilità e l’esecuzione dello shellcode provocano quanto segue:

1. Decrittografa il payload dannoso contenuto nello shellcode utilizzando un’operazione XOR con una dimensione della chiave di 2 byte.
2. Download di un file HTA contenente uno script Visual Basic da un server remoto e apertura dello stesso.

Analisi dello script

Lo script Visual Basic implementa le seguenti azioni:

1. Riduce le dimensioni della finestra spostandola fuori dallo schermo
2. Ottiene il percorso della cartella AppData\Roaming ottenendo il valore del parametro APPDATA dalla chiave di registro HKCU\Volatile Environment
3. Crea il file rationalistic.xml all’interno del percorso ottenuto ed andando a scrivere i seguenti file
4. rationalistic.xml:rationalistic.hxn — File contenente un payload dannoso che consente la connessione al server di comando e controllo
5. rationalistic.xml:rationalistic.vbs — File responsabile della decrittografia e del lancio del payload dannoso
6. rationalistic.xml:rationalisticing.vbs — Altro file responsabile della decrittografia e del lancio del payload dannoso
7. rationalistic.xml:rationalisticinit.vbs — File responsabile della cancellazione del contenuto di tutti i file presenti all’interno della cartella C:\Users[utente]\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\, nonché opera sui file rationalistic.xml:rationalisticinit.vbs e rationalistic.xml:rationalisticing.vbs aprendoli in modalità di scrittura
8. Aggiunta del file rationalistic.xml:rationalistic.vbs all’avvio creando il parametro defragsvc nella chiave di registro HKCU\Software\Microsoft\Windows\CurrentVersion\Run con il valore wscript /B “[percorso del file razionalestic.xml:rationalistic.vbs ]”.
9. Esecuzione dei file rationalistic.xml:rationalisticing.vbs e rationalistic.xml:rationalisticinit.vbs utilizzando il comando wscript /B “[percorso file]”.

Una volta decrittografato, il payload dannoso esegue le seguenti azioni:

1. Accesso alla chiave di registro CLSID{88d96a0b-f192-11d4-a65f-0040963251e5}\ProgID.
2. Utilizza un server proxy ottenendo l’indirizzo dalla chiave di registro HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings.
3. Verifica la presenza del parametro defragsvc nella chiave di registro HKCU\Software\Microsoft\Windows\CurrentVersion\Run e, qualora non dovesse esserci, lo crea
4. Si connette al server in un ciclo infinito

Qualche altra informazione sull’APT Cloud Werewolf

Andiamo ora a riepilogare le informazioni su questo APT

1. Questo gruppo è attivo almeno dal 2014 ed è noto anche con i nomi Inception e Cloud Atlas
2. Si tratta verosimilmente di un gruppo nation-state il cui obiettivo principale è lo spionaggio
3. Attacca principalmente organizzazioni governative, industriali e scientifiche in Russia e Bielorussia
4. Durante la fase post-sfruttamento ha a disposizione strumenti unici come PowerShower e VBShower, oltre ad una vasta gamma di script scritti in Python
5. Utilizza LaZagne per ottenere password e sistemi di autenticazione
6. Utilizza Advanced IP Scanner per raccogliere informazioni sui sistemi remoti
7. Utilizza AnyDesk come canale di backup per accedere ad un’infrastruttura IT compromessa
8. Utilizza RDP e SSH per navigare all’interno dell’infrastruttura IT compromessa
9. Utilizza 7‑Zip per archiviare i file raccolti dai sistemi compromessi
10. Rimuove le voci relative alla comunicazione con i server di comando e controllo, ad esempio dai registri del server proxy

IoC – Indicatori di Compromissione

Questi sono gli indicatori di compromissione attualmente disponibili per la campagna che abbiamo analizzato:

1. 5af1214fc0ca056e266b2d093099a3562741122f32303d3be7105ce0c2183821
2. b4c0902a9fb29993bc7573d6e84547d0393c07e011f7b633f6ea3a67b96c6577
3. 9d98bd1f1cf6442a21b6983c5c91c0c14cd98ed9029f224bdbc8fdf87c003a4b
4. serverop-parametrs[.]com
5. triger-working[.]com
6. web-telegrama[.]org

TTP dell’attacco spearphishing in esame

Andiamo ora a mettere in una tabella le TTP(tattiche, tecniche e procedure) utilizzate nell’attacco esaminato:

Tattica	Tecnica	Procedura
Accesso iniziale	Phishing: Allegati in campagne di spearphishing	Invio di email di phishing con allegati dannosi
Esecuzione	Comunicazione tra processi: Component Object Model	Utilizzo di componenti COM negli script VBS
	Sfruttamento per l’esecuzione client	Utilizza la vulnerabilità CVE-2017-11882 in Microsoft Office per eseguire shellcode
	Esecuzione dell’utente: File malevolo	La vittima deve aprire un file malevolo per avviare il processo di compromissione
	Interprete di comandi e scripting: Visual Basic	Utilizza script VBS per implementare le varie attività
	Windows Management Instrumentation	Utilizza Windows Management Instrumentation
Persistenza	Boot o Logon Autostart Execution: Esecuzione di chiavi di registro/Startup Folder	Modifica la chiave di registro Run per collegarsi ad un sistema compromesso
Evasione difensiva	Offuscamento di file o informazioni	Offusca il codice dello script, crittografa lo shellcode e il payload dannoso utilizzando XOR
	Deoffuscamento/Decodifica file o informazioni	Utilizza XOR per decrittografare shellcode e payload dannosi
	Rimozione dell’indicatore: Eliminazione del file	Cancella il contenuto dei file aprendoli in modalità scrittura
	Nasconde artefatti: attributi dei file NTFS	Utilizza flussi di dati NTFS alternativi
	Iniezione del template	Carica i template da un server remoto
	Esecuzione proxy binario del sistema: Mshta	Utilizza mshta per avviare file HTA dannosi
Scoperta del sistema	System Information Discovery	Ottiene informazioni sul sistema della vittima
Comando e controllo	Protocollo di livello applicativo: Protocolli Web	Utilizza HTTPS per comunicare con i server
	Proxy: Internal Proxy	Può utilizzare un server proxy
	Inserimento tools	Carica gli strumenti sul sistema infetto

Conclusione

E’ importante sottolineare che lo spearphishing è una tecnica molto usata e che, come sempre, è molto importante puntare sulla formazione del proprio fattore umano sia mediante incontri di formazione che mediante la condivisione di articoli – più o meno tecnici a seconda del pubblico – che affrontano il fenomeno.

L’articolo in questione ha volutamente una doppia impronta essendo inizialmente molto discorsivo e, successivamente, molto tecnico in quanto mi sono prefissato un duplice obiettivo:

1. Sensibilizzare i nostri lettori “generici” circa l’importanza di fare attenzione anche ad un qualcosa che può sembrare banale come un allegato Word in un’email ma che, come abbiamo visto, può essere vettore di un’infezione che può portare potenzialmente a conseguenze catastrofiche
2. Informare i nostri lettori tecnici circa questa campagna, fornendo – spero in maniera esaustiva – gli IoC(indicatori di compromissione) relativi alla campagna e le TTP(tecniche, tattiche e procedure) affinché possano da un lato implementarli sui loro sistemi e, dall’altro, rimanere aggiornati sugli attori di minacce e le loro strategie

Per concludere e spiegare meglio l’ultimo concetto voglio prendere in prestito una frase di Sun Tzu:

“Se conosci il nemico e conosci te stesso, non devi temere il risultato di cento battaglie. Se conosci te stesso ma non il nemico, per ogni vittoria ottenuta subirai anche una sconfitta. Se non conosci né il nemico né te stesso, soccomberai in ogni battaglia.”