InnaputRAT: Descrizione del RAT e indicatori di compromissione

05/04/2018

innaputrat malware rat
A partire dalla fine del 2017 sono emerse nuove evidenze sulla diffusione di una variante di un RAT già noto. In particolare i ricercatori di ASERT hanno pubblicato dettagli su una campagna indirizzata al settore della produzione commerciale negli Stati Uniti e potenzialmente anche in Europa

Gli autori degli attacchi hanno utilizzato phishing con allegati malevoli, di tipo downloader, per installare un Trojan di accesso remoto.

I ricercatori di ASERT hanno ribattezzato la minaccia InnaputRAT in relazione al nome della casella e-mail (innaput69[@]gmail.com) utilizzata per registrare i domini dell’infrastruttura di comando e controllo.

Dalle evidenze raccolte nel tempo e dalle analisi svolte, i ricercatori ritengono che le campagne di diffusione del RAT siano state lanciate da specifici attori con obiettivi di attacco ben definiti. Dalla comparazione di alcuni binari sono anche state osservate somiglianze con “sample” risalenti al 2016, una chiara indicazione che gli autori operano da circa due anni, evolvendo nel tempo le metodologie di attacco e il RAT attraverso molteplici varianti.
 
Elementi noti e funzionalità del RAT
  • InnaputRAT, è in grado di estrarre i file dalle macchine delle vittime e dispone di comandi che includono funzioni per il profiling della macchina infetta.
  • viene distribuito tramite attività di phishing e tramite Godzilla loader.
  • le recenti campagne di distribuzione del RAT e relativi server di command and control risalgono al 26 marzo 2018.

I ricercatori hanno identificato la campagna iniziale di phishing veicolata attraverso i seguenti domini:

  • mfa-events[.]com
  • officeonlaine[.]com
  • blockhain[.]name
  • iceerd[.]com
Ricerche correlate alle informazioni di registrazione dei domini cui sopra hanno permesso di risalire all’indirizzo di posta elettronica s.miloshevich[@]yandex.ru con nome di registrazione Slabodan Miloshevich. Facendo perno sulle informazioni di registrazione dei domini, i ricercatori hanno trovato un altro indirizzo email, jemesn[@]mail.ru a sua volta legato al dominio update-app[.]Top, utilizzato per ospitare una copia di Godzilla Loader.
 
Questo loader è stato osservato per distribuire InnaputRAT alla fine di marzo 2018.
 
Godzilla Loader
E’ un kit che permette, tramite un apposito pannello, di creare malware di tipo trojan che viene a sua volta utilizzato, in ambiente Windows, per scaricare ulteriore codice malevolo. Il suo utilizzo è di recente associato ad infezioni ransomware (Locky) e malware bancario (TrickBot).
 
Di seguito una panoramica delle funzionalità incluse in Godzilla Loader venduto anche tramite forum a cifre comprese tra i 500 e 700$:
 
 
Godzilla loader risulta utilizzato in campagne di diffusione a largo impatto sia per la facilità di gestione che per via di avanzate funzionalità di anti evasione notate su ambiente operativo Windows XP e Windows 7.
 
Indicatori di compromissione associati ad InnaputRAT
 
Nome file: msupdate.exe
  • SHA256: 77566850743bac708ce4e05ffa53347870863c015403eea30f7dbd8e7d4b8333
  • MD5: 2939d7350f611263596bdc0917296aa3
  • Dimensione file: 11,264 kb
  • Tipo di file: PE
  • Import Hash: f04bfd88ff831e9193fb4d40fa52f93d
Nome file: safeapp.exe
  • SHA256: 3ddd9ae027de3fcc4b95a4b318b67122bd91e62dc7d45b5739a51ca1cb3df443
  • MD5: 8c3d37676f8f7711b381abf00155ef25
  • Dimensione file: 16,384 kb
  • Tipo di file: PE
  • Import Hash: 11a69033014854aa856a63f9bd980c15
Nome file: NeutralApp.exe
  • SHA256: 479689a75fe012b153d3f5402059c40e57a94ac45f42662b24279326a3fa7b4c
  • MD5: 5249a165de139c62cb9615c0e787a856
  • Dimensione file: 22,160 kb
  • Tipo di file: PE
  • SHA256: d4371f44008640a534294618e72b300cf7f2e9bfda063090a29f5d2da23cd5b9
  • MD5: 4e61d5d9c2e0386a872232f8d33e76bc
  • Dimensione file: 16,384 kb
  • Tipo di file: PE
  • Import Hash: ebb99f58f1349a2533051e753e1e74e3
  • SHA256: edf5a2447617329e5bec6585d33053c55026c3e6250737e6650f58f7efc3481d *
  • MD5: eec8e585ffdefb79a40ddb337ea852c6
  • Dimensione file: 14,848 kb
  • Tipo di file: PE
  • Import Hash: eb31fc13c4701ca7c4017a69f919a719
* Indicatore osservato anche in paesi Europei a partire dal 25 Marzo 2018.
 
Domini e IP:
  • 185.125.46.128
  • 212.19.134.207
  • 149.56.251.93
  • worlwidesupport[.]top
  • alert-login-gmail[.]com
  • blockhain[.]name
  • best-online-tv[.]com
  • dockooment[.]com
  • docsautentification[.]com
  • g000glemail[.]com
  • googldraive[.]com
  • googledockumets[.]com
  • googledraive[.]com
  • googlesuport[.]com
  • googlmaile[.]com
  • googlsupport[.]com
  • govreportst[.]com
  • iceerd[.]com
  • login-googlemail[.]com
  • mail-redirect.com[.]kz
  • mfa-events[.]com
  • msoficceupdate[.]com
  • officemicroupdate[.]com
  • officeonlaine[.]com
  • osc-e[.]com
  • pwdrecover[.]com
  • suporteng[.]com
  • un-booklet[.]com
  • update-app[.]top
  • usaid[.]info
  • us-embassy-report[.]com
  • worlwidesupport[.]top

Di seguito gli indicatori di compromissione (SHA256, IP e Domini) in formato scaricabile:

IoC (.stix)