Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Verso la fine dell’anno scorso, gli analisti di Kaspersky Lab hanno identificato una nuova campagna del gruppo filo-ucraino Head Mare. Questa volta, gli aggressori hanno preso di mira agenzie governative russe, aziende edili e industriali. La scoperta chiave dei ricercatori è stata la backdoor PhantomHeart, inizialmente distribuita come DLL e successivamente riscritta in PowerShell.
I ricercatori scrivono che questa transizione dimostra che Head Mare sta adottando sempre più l’approccio Living-off-the-Land (LOTL), in cui le azioni dannose vengono eseguite tramite strumenti standard di Windows. Non vengono utilizzati file binari aggiuntivi, ma solo script e strumenti di sistema integrati.
Il vettore di accesso iniziale rimane lo stesso: Head Mare continua a sfruttare la vecchia vulnerabilità BDU:2025-10114 in TrueConf Server. In alcuni casi, anche le email di phishing continuano a funzionare.
Tuttavia, l’arsenale di post-exploitation è stato aggiornato, con la backdoor PhantomHeart PowerShell che ne è diventata lo strumento chiave. La sua funzione principale è quella di implementare un tunnel SSH su comando del server di comando e controllo. Gli aggressori ottengono un accesso remoto persistente al sistema bersaglio, mentre il malware raccoglie simultaneamente informazioni di base sul sistema: nome del computer, dominio, indirizzo IP esterno e ID univoco della vittima.
Gli esperti sottolineano in particolare il meccanismo di persistenza. In un attacco, la backdoor è stata lanciata tramite il task scheduler, mascherandosi da legittimo script di aggiornamento di LiteManager. Il malware è stato inserito nella directory dello strumento di amministrazione remota e si è spacciato per parte del suo normale funzionamento.
Head Mare ha anche riscritto un altro dei suoi strumenti, PhantomProxyLite, in PowerShell. In precedenza, si trattava di un binario compilato in esecuzione come servizio in background denominato SSHService. Ora, la stessa logica viene implementata tramite uno script. La persistenza viene ottenuta tramite un’attività dell’Utilità di pianificazione di Windows con lo stesso nome, configurata per essere eseguita come SYSTEM all’avvio del sistema. La backdoor utilizza la stessa chiave di registro per memorizzare la porta, crea un file di configurazione temporaneo del tunnel SSH in C:WindowsTemp e avvia ssh.exe per stabilire il tunnel inverso.
I ricercatori concludono che il passaggio all’implementazione tramite script dimostra l’affidamento del gruppo all’approccio LOTL. Ciò consente al gruppo di adattare lo strumento a condizioni specifiche, implementando funzionalità dannose senza l’utilizzo di componenti compilati separati.
Per automatizzare l’implementazione di PhantomProxyLite, gli aggressori utilizzano lo script helper Create-SSHServiceTask.ps1. Questo script configura un’attività di pianificazione che avvia la backdoor principale all’avvio del sistema con i massimi privilegi di SISTEMA. Se esiste già un’attività con lo stesso nome, lo script la elimina e ne crea una nuova, garantendo una configurazione coerente.
Oltre alle backdoor di PowerShell, Head Mare ha ampliato il suo toolkit di post-exploitation. I ricercatori hanno scoperto nuove utilità per automatizzare attività comuni, come la persistenza, la gestione dei privilegi e l’accesso alla rete.
