Evento di Spear Phishing tenta di consegnare un RAT

29/10/2018

Cisco malspam malware njrat PP.AA. rat spear phishing

Dalle attività di information sharing con la constituency del CERT-PA è emerso un evento di spear phishing che, sotto mentite spoglie di un aggiornamento VPN Cisco, tenta di rilasciare in download un malware di tipo RAT.

Dalle informazioni pervenute, la campagna di diffusione è stata lanciata a partire il giorno 25 ottobre 2018 con l’oggetto “VPN CISCO aggiornamento” come di seguito rappresentato:

 

 

Il messaggio risulta ben strutturato e riporta, senza errori grammaticali, le istruzioni per eseguire l’aggiornamento del client VPN. La peculiarità della campagna risiede nella personalizzazione del corpo, infatti i “phisher” riportano il nome dell’ente destinatario che, dalle informazioni fornite dallo stesso Ente, utilizza un software VPN della marca indicata.

Per dare seguito alla catena di infezione è necessaria l’interazione dell’utente che viene invitato a scaricare la componente malevola “CISCO Update Management.exe” da una risorsa esterna, probabilmente compromessa e al momento non più raggiungibile.

L’eventuale scaricamento ed esecuzione del file, che risulta di dimensioni superiori ai 3 MB, avvia il processo di installazione familiare che ad un utente comune può apparire del tutto legittimo:

 

 

Il pacchetto di aggiornamento malevolo, riconducibile ad un RAT più precisamente njRAT, al momento ha un fattore di riconoscimento piuttosto esiguo e il servizio VirusTotal fornisce un responso pari a 10/67, la corrispondente analisi malware fornita da Infosec è disponibile qui. Per tale file emerge una prima ondata di diffusione il giorno 26 ottobre e sporadici rilevazioni nei successivi due giorni.

Tra le principali, e storiche, funzionalità del RAT emerge:

  • una funzionalità di accesso remoto al desktop della vittima,
  • la cattura di informazioni quali l’IP della vittima, il nome completo del computer, il nome utente, il sistema operativo, la data di installazione e il Paese,
  • l’esecuzione da remoto un file da disco o da una URL,
  • la manipolazione dei file e registro di sistema,
  • la possibilità di aprire una shell remota, consentendo all’utente malintenzionato di utilizzare la riga di comando,
  • l’accesso al gestore processi per terminare i processi,
  • la registrazione tramite la videocamera e il microfono del computer oltre che della sequenze di tasti digitati,
  • la possibilità di rubare le password memorizzate nei browser o in altre applicazioni.

Indicatori di compromissione

E-mail

  • Messaggio creato: 25/10/2018, 23:22:31
  • Mittente: CISCO Update Management <info@info-servizi.com>
  • Subject: VPN CISCO aggiornamento
  • Indirizzo IP mittente: 199.103.56.166

L’indirizzo IP mittente risulta listato nella lista di blocco CINS per un periodo limitato risalente al gennaio 2018.

File

  • Nome file: CISCO Update Management.exe
  • Tipo di File: PE32 executable (GUI) Intel 80386, for MS Windows
  • Dimensione File: 3311.99 KB (3391477 bytes)
  • Data compilazione: 2018-09-30 20:01:44
  • MD5: dea571c6df5e956700f8869dea305e07
  • SHA1: d31639fd9b07bdac112ae7d935f603da216d20c6
  • SHA256: f88e97c29499529a01ee211f6744a2d5ea50c513d02b1185069580d886ee315a
  • Import hash: 00be6e6c4f9e287672c8301b72bdabf3

Dalle analisi ed elementi rilevati è emerso che gli indirizzi IP malevoli contatti dal RAT sono:

  • 82.112.109[.]1:80
  • 82.112.109[.]7:80
  • 82.112.109[.]9:443 e 82.112.109[.]9:11438
  • 93.184.220[.]29:80 (cdp.rapidssl.com \ crl3.digicert.com)*
* L’indirizzo IP è riportato tra gli indicatori di compromissione in quanto parte della catena di eventi di traffico generati dal malware.

Da ricerche di tipo closint sono emersi numerosi indicatori di compromissione aventi identico valore di Import Hash (00be6e6c4f9e287672c8301b72bdabf3) del PE in oggetto. Per tali elementi, rilevati a partire dal giorno 26 Ottobre 2018 e riconducibili a varianti di njRAT o altre tipologie di malware, si forniscono gli indicatori associati:

  • IoC (.txt) – SHA256, MD5, Tipo file, URL, Domini, IP.
  • IoC (HASHr.txt) – SHA256

Al momento non sono note campagne di spear phishing ulteriori rispetto a quella in oggetto, che è stata rivolta ad un’importante Ente pubblico. Non si esclude comunque che i cyber criminali abbiamo indirizzato un simile attacco anche verso altre strutture afferenti al dominio della pubblica amministrazione. Si prega pertanto di fornire un riscontro al CERT-PA in caso di verifica positiva.