Nuova campagna Gootkit (tramite JasperLoader) verso le PP.AA.

06/08/2019

gootkit jasperloader malspam

Nei giorni scorsi, grazie alla fattiva collaborazione di alcune organizzazioni della constituency, il CERT-PA ha rilevato un nuova campagna di malspam rivolta alle pubbliche amministrazioni, veicolata attraverso un messaggio e-mail con oggetto “Fattura XXXXXXX”, dove XXXXXXX indica un numero casuale, contenente un allegato zip sul tipo rappresentato nella figura seguente:

Rispetto ai casi analizzati, il file ZIP allegato si presenta di volta in volta con nome differente e contiene un file DOC denominato “FatturaXX.doc“, dove XX è un numero casuale. Una volta aperto il file .DOC viene eseguito un comando PowerShell per scaricare da una sorgente remota JasperLoader, un RAT minimale al momento usato per veicolare Gootkit, di cui il CERT-PA ha avuto occasione di analizzare svariati campioni nell’ultimo periodo.

La catena di infezione è schematizzata nelle fasi: “apertura archivio ZIP” -> “esecuzione file DOC\VBA” -> “PowerShell” -> “download di JasperLoader” -> “download di Gootkit”

Tramite analisi di threat intelligence, è possibile osservare che il sample si è diffuso soprattutto in ambito italiano, nel periodo che va dal 1 agosto 2019 con punte di consegna nei giorni 2 e 5 agosto.

Indicatori di compromissione

Al fine di agevolare la verifica di possibili infezioni all’interno del perimetro aziendale, per monitoraggio o per l’attivazione di contromisure specifiche, si riportano gli indicatori di compromissione associati all’evento in oggetto:

  • IoC (.txt) – File globale : hash files (SHA256), Domini, IP, URL
  • IoC (HASHr.txt) – Lista dei soli hash file da utilizzare in combinazione con il tool HASHr