Campagna di phishing rivolta ad Istituti Universitari in Italia ed altri Stati

30/08/2018

italia phishing
In data 24 Agosto il gruppo di ricercatori (CTU) di Secureworks ha pubblicato un articolo notificando che, partendo dall’individuazione di un collegamento (URL) di spoofing a pagine di accesso ad un servizio telematico univeritario, è emersa una vasta campagna atta alla cattura di credenziali rivolta contro le università.
 
Dalle indagini sull’indirizzo IP, che ospitava la pagina web falsificata, sono stati rilevati 16 domini contenenti oltre 300 siti Web e pagine di accesso falsificate riferibili a ben 76 università situate in 14 paesi, tra cui Australia, Canada, Cina, Israele, Italia, Giappone, Svizzera, Turchia, Regno Unito e Stati Uniti.
 
Di seguito una rappresentazione grafica relativa al coinvolgimento geografico delle università, il colore scuro indica il maggior numero di università colpite:
 
Da quanto osservato, dopo aver digitato le proprie credenziali nella pagina fittizia, i malcapitati utenti venivano rediretti automaticamente verso le pagine legittime cui intendevano accedere, il tutto nell’ottica di minimizzare eventuali sospetti.
Numerosi domini oggetto di spoofing facevano riferimento ai servizi bibliotecari delle stesse università, indicando l’intento degli attori di accedere a tali risorse. La maggior parte di questi domini sono risolti con lo stesso indirizzo IP e server dei nomi DNS e registrati tra maggio e agosto 2018. L’ultimo dominio risulta registrato il 19 agosto ma, secondo i ricercatori, le registrazioni utili a supportare le campagne erano ancora in fase di creazione.
 
Partendo dalla verifica di precedenti eventi, che condividevano anche l’infrastruttura con gli attacchi in oggetto, i ricercatori hanno notato forti similitudini con pregresse attività malevole da parte di “Cobalt Dickens” o “Silent Librarian” un gruppo hacker associato al governo Iraniano.
 
L’obiettivo dell’attacco da parte del gruppo potrebbe essere quello di carpire dati relativi all’organizzazione o alle ricerche scientifiche. Oltre ad essere tendenzialmente più difficili da proteggere, almeno rispetto ad organizzazioni finanziarie o sanitarie di solito fortemente regolamentate, le università sono note per lo sviluppo di ricerche all’avanguardia, temi questi presumibilmente allettanti per gli attori di questa specifica minaccia.

Evento correlabile nel contesto italiano
Tramite attività di info sharing con un istituto universitario, il CERT-PA ha potuto rilevare un caso plausibilmente collegato a quello sopra descritto.
 
Il caso specifico, rilevato in data 27 agosto, fa riferimento all’individuazione di una campagna di phishing che, facendo leva sull’esistenza di variazioni in essere sul servizio di posta, invitava l’utente ad accedere al servizio per questioni di sicurezza.
 
Di seguito il campione della e-mail rilevata:
Il collegamento riportato nel corpo del messaggio riporta, tramite short URL e redirect, ad una pagina fasulla “Zimbra-like”, definita dagli aggressori al fine di rubare credenziali e informazioni riservate degli utenti dell’università coinvolti dalla campagna:

Di seguito gli indicatori di compromissione associati all’evento Italiano sopra riportato:
  • Mittente: rpojamalpur@passport[.]gov.bd
  • IP URL di redirect: 143.95.43[.]71
  • Short url: https://bit[.]ly/2KeSAnG
  • Pagina di pshishing: zimbra.enviromark[.]com
Di seguito gli IoCs rilevati da Secureworks in riferimento a Cobalt Dickens.
Hosting del sito Web di phishing:
  • anvc[.]me
  • eduv[.]icu
  • jhbn[.]me
  • nimc[.]cf
  • uncr[.]me
  • unie[.]ga
  • unie[.]ml
  • unin[.]icu
  • unip[.]cf
  • unip[.]gq
  • unir[.]cf
  • unir[.]gq
  • unir[.]ml
  • unisv[.]xyz
  • univ[.]red
  • untc[.]me
  • untf[.]me
  • unts[.]me
  • unvc[.]me

Hosting di sottodomini associati a bersagli di phishing

  • ebookfafa[.]com
  • lib-service[.]com

Ip dell’hosting di domini sospetti e di phishing 

  • 208.115.226[.]68

Contromisure

Al momento non si hanno, oltre quella riportata, evidenze di ulteriori campagne a danno di università italiane o che la campagna di phishing sia ancora in corso. Ad ogni modo è altamente probabile che la campagna abbia potuto coinvolgere più Istituti, con differenti metodologie o indicatori di compromissione.
A scopo cautelativo, si consiglia di attivare un monitoraggio sugli eventi di phishing e di notificare alla propria utenza, o ai soggetti eventualmente già coinvolti, della campagna di phishing indicata. In particolare è bene allertare gli uffici di Sicurezza ICT nel caso di compromissione delle credenziali a seguito di inserimento delle stesse nella falsa scheda di login, ottenuta cliccando nella mail.