Scoperta da Mandiant una campagna di phishing globale.

Redazione RHC : 6 Maggio 2021 14:39

Mandiant (una società di FireEye), ha emesso un report che una serie di numerose organizzazioni in tutto il mondo sono state colpite da una diffusa campagna di phishing che utilizzava esche di phishing personalizzate e malware altamente sofisticati .

Nel dicembre 2020, Mandiant ha osservato un gruppo (che ha denominato UNC2529), lanciare una diffusa campagna di phishing globale rivolta a numerose organizzazioni in una vasta gamma di settori, dispiegando una infrastruttura importante di C2 e tre nuove famiglie di malware, che sono DOUBLEDRAG, DOUBLEDROP e DOUBLEBACK.

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)? Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence".  A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.   Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.  Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected] Supporta RHC attraverso: L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

La campagna di phishing di UNC2529 è stata di interesse globale e ha avuto un impatto su una serie di settori (il grafico sopra mostra il target per settore). Pur riconoscendo alcuni pregiudizi legati alla telemetria, in entrambe le ondate afferma Mandiant, gli Stati Uniti erano l’obiettivo principale, mentre gli obiettivi EMEA, Asia e Australia sono stati equamente distribuiti nella prima ondata.

La società ha osservato che la prima ondata della campagna di phishing si è verificata il 2 dicembre 2020 e una seconda ondata tra l’11 e il 18 dicembre 2020. Durante l’avvio della campagna iniziale, Mandiant ha rilevato che a 28 organizzazioni erano state inviate e-mail di phishing, sebbene il targeting fosse probabilmente più ampio di quanto osservato direttamente.

Queste e-mail sono state inviate utilizzando 26 indirizzi e-mail univoci associati al dominio tigertigerbeads <.> Com e solo in un numero limitato di casi abbiamo visto lo stesso indirizzo utilizzato in più organizzazioni di destinatari. Queste e-mail di phishing contenevano collegamenti in linea a URL dannosi come,

hxxp: // fullyhealth-wealth [.] Com / downld-id_mw Gdczs,

progettati per invogliare la vittima a scaricare un file.

UNC2529 ha impiegato almeno 24 diversi domini per supportare tutto questa operazione, in un processo a tre fasi.

La struttura degli URL incorporati nelle e-mail di phishing aveva i seguenti modelli, in cui la stringa era una variabile alfabetica di funzione sconosciuta.

http: // / downld-id_ http: // / downld-id- http: // / files-upload_ http: // / files-upload- http: // / get_file-id_ http: // / get_file-id- http: // / zip_download_ http : // / zip_download-

Il payload della prima fase scaricato da queste URL, era composto da un file compresso Zip contenente un documento PDF esca corrotto e un downloader JavaScript fortemente offuscato scaricato attraverso il downloader, DOUBLEDRAG.

È interessante notare che i documenti PDF sono stati ottenuti da siti Web pubblici, ma sono stati danneggiati rimuovendo i byte per renderli illeggibili con un visualizzatore PDF standard.

Si ipotizza che la vittima tenterà quindi di avviare il file JavaScript (.js), che può essere eseguito in modo nativo con Windows Script Host semplicemente facendo doppio clic sul file.

Tutti i modelli di nome file tranne uno per i file ZIP, PDF e JS erano

document_ _client-id_ .extension

come ad esempio:

document_Ohio_client-id_8902.zip

Prima della seconda ondata, osservata tra l’11 e il 18 dicembre 2020, UNC2529 ha dirottato un dominio legittimo di proprietà di una società di servizi di riscaldamento e raffreddamento degli Stati Uniti, modificato le voci DNS e sfruttando tale infrastruttura per effettuare il phishing di almeno 22 organizzazioni, cinque delle quali sono stati presi di mira anche nella prima ondata.

Al momento non è noto come sia stato compromesso il dominio legittimo.

L’attore della minaccia ha utilizzato 20 domini per ospitare il payload di innesco della seconda fase.

L’attore malevolo ha apportato leggere modifiche al pattern URL durante la seconda ondata.

http: // / http: // / dowld_ http: // / download_ http: // / files_ http: / / / id_ http: // / upld_

Da notare, il downloader DOUBLEDRAG osservato nella prima ondata è stato sostituito con un documento Microsoft Excel contenente una macro Excel 4.0 (XLM) incorporata in formato file binario Excel 97-Excel 2003 (BIFF8).

Quando il file è stato aperto e la macro eseguita correttamente, tentava di scaricare un payload di secondo stadio da:

hxxps: // towncentrehotels [.] Com / ps1.dat.

La funzionalità principale del file JavaScript DOUBLEDRAG e della macro BIFF8 è scaricare un file da un URL hardcoded. Questo file Excel è stato trovato anche all’interno dei file Zip, come si è visto nella prima ondata, sebbene solo uno dei file Zip osservati includesse un corrispondente documento PDF esca corrotto.

Campioni DOUBLEBACK aggiuntivi sono stati estratti da campioni DOUBLEDROP caricati in un repository pubblico di malware, che hanno rivelato un server di comando e controllo aggiuntivi (C2).

hxxps: // barrel1999 [.] Com / admin4 / client.php,hxxps: // widestaticsinfo [.] com / admin4 / client.php, hxxps: // secureinternet20 [.] com / admin5 / client.phphxxps: // adsinfocoast [.] com / admin5 / client.php.

Tre di questi domini sono stati registrati dopo la seconda ondata osservata.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli