Dettaglio News Dettaglio News

Campagna di attacco contro la PP.AA. per veicolare malware associato al trojan Gootkit
18/06/2018
In data odierna i ricercatori Yoroi hanno individuato una persistente campagna di attacco rivolta a numerose Organizzazioni all'interno del tessuto produttivo ed amministrativo italiano e con impatto anche verso Enti Pubblici.

Gli attacchi sono veicolati da un gruppo operante negli ambienti del cyber crimine specializzato nella preparazione di comunicazioni email fraudolente. Le tecniche utilizzate nella campagna hanno l'obiettivo di tentare di evadere i sistemi di protezione perimetrali ed ingannare le utenze al fine di aprire documenti e link remoti. Le email malevole si manifestano con più tematiche e sono accomunate dalla presenza di collegamenti volti allo scaricamento di ipotetici documenti. Gli allegati, di solito file "link", puntano a risorse esterne rappresentate da una serie di domini malevoli utilizzati per servire un archivio contenente uno script .js offuscato.

Qualora lo script venga eseguito, la catena d'infezione prevede lo scaricamento di una variante malware di tipo "trojan" denominato Gootkit e già trattato dal CERT-PA in precedenti casi.
Anche le tecniche utilizzate nella campagna odierna hanno somiglianze con altre simili osservate in queste ultime settimane, e probabilmente gli attaccanti stanno tentando di infettare molteplici aziende private italiane ed enti pubblici.

Di seguito si riportano gli indicatori di compromissione individuati a seguito delle analisi condotte:

Malspam:
        "Il Documento N. 59129 Dal 22/06/18"
        "CV"
        "Il Documento N. 59129 Dal 22/06/18"
        “Materiale Richiesto del 02/06/2018”
        “Dichiarazione Del 06/05/2018”

Dropurl (zip):
        http:// www. disillusionedlife[.com/uedn?durg=36607
        http:// www. fivestoreyprojects[.com/hjcf?fslt=37878
        http:// www. blind-pig[.com/evry?tqbh=36759
        http:// www. jeffjourdain[.com/mqje?ggzo=34853
        http:// www. rebelknife[.com/bslj?yuvc=12534
        http:// www. skandaoilmill[.com/zabal?axkz=18976
        http:// www. skandaoilmill[.com/dfea?huvij=20014

Dropurl (exe):
        /pagenewex12.php
        agamelike].com
        albertomerello].com
        automaticmarijuana].com
        autorepairserviceslist].com
        bankbola].com
        bioelectricmedia].com
        blahhouse].com
        bonodigital].com
        demonica666].com
        designforecast].com
        detroittechtown].com
        fivestoreyprojects].com
        ganse].com
        gauravgautam].com
        hermeslogisticsint].com
        householdhaircuts].com
        idoodi].com
        ihackradio].com
        ingadgetshop].com
        lab1504].com
        lemonpulse].com
        letsdocambodia].com
        letsdoegypt].com
        maxibuys].com
        mdquencydesigns].com
        meyerstation].com
        mymindisgoing].com
        nonpartisancoalition].com
        northbeachgallerywa].com
        originally-organic].com
        petesdeals].com
        postpunks].com
        queenflare].com
        rebelknife].com
        rebelmavenmastermind].com
        reportbuys].com
        restedtraveler].com
        sayaair].com
        siliconplanetbook].com
        skandaoilmill].com
        spiderblades].com
        theweightlossactivityplan].com
        uberalawyer].com
        usmletomatch].com
        winusapowerball].com
        xyful].com
        yourrxprivates].com

C&C:
        185.158.248[.131
        negoosh[.com
        ftps.layermag[.com
        owekay[.com
        earnmoretips[.ru

Hash:
        7c40dd9cdfff015088d66ebc9eba38d2b93600b3d3abc3e0d1738d868d31d6ab file zip
        f625c2cc343e5217f6e73967228b76b20a104cf23c134a967cd935c9f640f8d8 file js
        97f8e49b394605778c72fa2135a611d021a7fe1fd1c8d63b2b6528dc51dd3bf4 file js
        8990b0218d0537ad867b026033791491a66ffce4ae7fd488c64af4ea59532eb3  file bin
        74355aa4f111a562a9c43172fc57b81d76370728027bcbcbef8c3c9edf4d4961  file exe
        8990b0218d0537ad867b026033791491a66ffce4ae7fd488c64af4ea59532eb3  file bin
        cff757f7230b3bf490843d2ca341e3fe0b8777f5276a58187e9ccf08d3a7f97a  2_exx


A seguito di verifiche e di attività di threat intelligence, il CERT-PA fornisce ulteriori indicatori di compromissione associati al malware "Gootkit" in riferimento a due specifici domini C&C sopra riportati:

ftps.layermag.com
  • f5e27bf025e8bfc553a909fd8288936eacd6c88b44ca522c2904327991aee924
  • 751d0440af378faa92dc2a29979daf9f8c4a8e88e10f5f0061713adcf89a2f0a
  • 76719faea0c5ec9e730ffcaa3fbb9cccac11bee73a817953bbf059720894e00c
owekay.com
  • 2f1f467ca8baec7f9653e07c677d3890527d84d491b241bc528716687dcd54d3
  • ef669470efeca31708266f33438527628492923acc7bb95f0dc11a1a5dd9b233
  • 2443e1ebbd4b5a09712186bd8ad22b8a7a2495220d8a327a496fa1d89ae281f2
  • 8990b0218d0537ad867b026033791491a66ffce4ae7fd488c64af4ea59532eb3
Di seguito di riportano gli indicatori di compromissione in formato scaricabile:

IoC (.STIX)

Aggiornamento (20/06/2018)

Ad integrazione di quando già rilevato, si riportano ulteriori IoC individuati:


Malspam
"Dichiarazione Del 06/05/2018"
"NOME_COGNOME ti ha segnalato su LinkedIn"

Dropurl (zip, stage 1)
http://www. letsdoegypt. com/cyofl?iug=3D10967
http://www. obsidianlenses. com/zsvzy?ecnv=20858
http://www. buildingcontractorslist. com/zlxk?zckpf=5707
http://www. spiderknife. com/qmqvyfv?pkzw=1493

Dropsite (exe, /pagenewex12.php, stage 2)
autorepairserviceslist].com
buffaloblade].com
buildingcontractorslist].com
coffeepodpeople].com
connectedscooter].com
discountsupplementsie].com
emailcharities].com
garmentsupplycompany].com
gerardorivera].com
judisabungayam].com
klmnopq].com
laurenandcornelius].com
letsdobrazil].com
letsdocolombia].com
letsdogermany].com
letsdohk].com
letsdomalaysia].com
letsdomexico].com
makolanderlfc].com
marketznews].com
medallonla].com
newgooglasses].com
obsidianlenses].com
onewinningtrade].com
quickandeasylossweight].com
suppliesandpartyfun4every1].com
ubudterracebungalow].com
update-seo].com
xn--kksrenoveringistockholm-7kc].com


Aggiornamento (03/07/2018)
Ad integrazione di quando già rilevato, si riportano ulteriori IoC individuati:

Malspam (potrebbero variare):
"Il Documento N. 59129 Dal 22/06/18"
"CV"
"Materiale Richiesto del 02/06/2018"
"Dichiarazione Del 06/05/2018"
"<NOME_COGNOME> ti ha segnalato su LinkedIn"

Dropurl (zip, stage 1):
http://www.letsdomexico[.com/hgqrnz?etn=11295
http://www.disillusionedlife[.com/uedn?durg=36607
http://www.fivestoreyprojects[.com/hjcf?fslt=37878
http://www.blind-pig[.com/evry?tqbh=36759
http://www.jeffjourdain[.com/mqje?ggzo=34853
http://www.rebelknife[.com/bslj?yuvc=12534
http://www.skandaoilmill[.com/zabal?axkz=18976
http://www.skandaoilmill[.com/dfea?huvij=20014
http://www.letsdoegypt[.com/cyofl?iug=3D10967
http://www.obsidianlenses[.com/zsvzy?ecnv=20858
http://www.buildingcontractorslist[.com/zlxk?zckpf=5707
http://www.spiderknife[.com/qmqvyfv?pkzw=1493

Dropsite (exe, /pagenewex12.php, stage 2):
3fpo[.com
555culture[.com
abdussattaracademy[.com
agamelike[.com
alainawoodfitness[.com
albertomerello[.com
alexanderpuhl[.com
alkhabarpress[.com
amaretutti[.com
andykhlee[.com
automaticfyuselikes[.com
automaticmarijuana[.com
autorepairserviceslist[.com
bahrconstruction[.com
bankbola[.com
bbods[.com
bcspreli[.com
bhanumunjal[.com
bioelectricmedia[.com
blahhouse[.com
bonodigital[.com
bretontynerbryan[.com
brookingsharborlocalnews[.com
buffaloblade[.com
buildingcontractorslist[.com
buytwitterlike[.com
coffeepodpeople[.com
connectedscooter[.com
darrenstanbridge[.com
daunpokers[.com
demonica666[.com
designforecast[.com
detroittechtown[.com
dienthoai[.com
discountsupplementsie[.com
doomchamber[.com
driverarobi[.com
dudash[.com
el-safa[.com
emailcharities[.com
firstdominionchurch[.com
fivestoreyprojects[.com
flowermetrics[.com
ganse[.com
garmentsupplycompany[.com
gauravgautam[.com
gerardorivera[.com
gofernando[.com
guitar-studio-lessons[.com
hackerdefenseacademy[.com
hermeslogisticsint[.com
hireseowriters[.com
holidaypartymagic[.com
householdhaircuts[.com
icloudunlockexperts[.com
idoodi[.com
ihackradio[.com
ingadgetshop[.com
jeffjourdain[.com
judisabungayam[.com
kichha[.com
klmnopq[.com
lab1504[.com
laurenandcornelius[.com
lemonpulse[.com
letsdobrazil[.com
letsdocambodia[.com
letsdocolombia[.com
letsdoegypt[.com
letsdogermany[.com
letsdohk[.com
letsdomalaysia[.com
letsdomexico[.com
luxetalents[.com
luxuryinvestmentgroupltd[.com
mail.3fpo[.com
mail.bbods[.com
mail.ganse[.com
mail.owxb[.com
mail.uberalawyer[.com
mail.yahoo-emailsupport[.com
makeyourbest[.com
makolanderlfc[.com
manycouponcodes[.com
marketznews[.com
maxibuys[.com
mdquencydesigns[.com
medallonla[.com
meyerstation[.com
missmermaidsg[.com
moonsilo[.com
motorcyclecambodia[.com
mymindisgoing[.com
newgooglasses[.com
nitulrickmovement[.com
nonpartisancoalition[.com
northbeachgallerywa[.com
obsidianlenses[.com
onewinningtrade[.com
onlinepreps[.com
originally-organic[.com
owxb[.com
petesdeals[.com
pneusfiset[.com
postpunks[.com
q8expos[.com
q8offers[.com
queenflare[.com
quickandeasylossweight[.com
raadsolutionscorporation[.com
racetimeinc[.com
rajatips[.com
rapidsuccessprogramming[.com
rebelblade[.com
rebelknife[.com
rebelmavenmastermind[.com
reportbuys[.com
restedtraveler[.com
sayaair[.com
scubadiveinparadise[.com
siliconplanetbook[.com
singproperty[.com
skandaoilmill[.com
spiderblades[.com
spiderknife[.com
streakk[.com
sunfloro[.com
suppliesandpartyfun4every1[.com
supreme-sfs[.com
teendriversinsurance[.com
theweightlossactivityplan[.com
topupmyanmar[.com
tradingforexschool[.com
uberaccessories[.com
uberalawyer[.com
ubudterracebungalow[.com
unikanvas[.com
update-seo[.com
usmletomatch[.com
uwharrietradingcompany[.com
weddingphotographernorwich[.com
winusapowerball[.com
woomaily[.com
workoutinsf[.com
xn--kksrenoveringistockholm-7kc[.com
xyful[.com
yahoo-emailsupport[.com
yourrxprivates[.com


C2 (gootkit):
185.158.248.131
negoosh[.com
ftps.layermag[.com
owekay[.com
earnmoretips[.ru
reconautodetailing[.com

Hash:
7c40dd9cdfff015088d66ebc9eba38d2b93600b3d3abc3e0d1738d868d31d6ab zip
0f35a7491c62cbb5b5e403b5c2a79001b30b34b2c6b904f30a476e9550bcaf2f zip
f625c2cc343e5217f6e73967228b76b20a104cf23c134a967cd935c9f640f8d8 js
97f8e49b394605778c72fa2135a611d021a7fe1fd1c8d63b2b6528dc51dd3bf4 js
67421dbd4845f18c9dc0e158e0c15d692abbc1316bef4e8b17d62ad28844d3c4 js
8990b0218d0537ad867b026033791491a66ffce4ae7fd488c64af4ea59532eb3 2_exx
74355aa4f111a562a9c43172fc57b81d76370728027bcbcbef8c3c9edf4d4961 2_exx
8990b0218d0537ad867b026033791491a66ffce4ae7fd488c64af4ea59532eb3 2_exx
cff757f7230b3bf490843d2ca341e3fe0b8777f5276a58187e9ccf08d3a7f97a 2_exx
567e01ee66d04b2643eb2a78dfba18f974ab1dac7772d9f2008c23509edd1fc5 2_exx


IoC (.STIX)