I criminal hacker del gruppo APT russo Gamaredon, già famosi per precedenti operazioni di cyber spionaggio, tornano a far parlare di sé grazie a nuovo tool malevolo che sfrutta le macro di Outlook per creare e-mail personalizzate con documenti dannosi e le invia ai contatti della vittima.
In particolare, i ricercatori ESET hanno scoperto, durante le loro indagini sulle campagne dannose, che i criminal hacker utilizzano l’account di posta elettronica di un target precedentemente compromesso per inviare e-mail di spear phishing ai contatti contenuti nella rubrica di Microsoft Office delle vittime designate.
Questi nuovi strumenti utilizzati dal gruppo APT Gamaredon hanno anche la capacità di iniettare macro e modelli malevoli nei documenti di Office esistenti. L’uso di macro di Outlook per una diffusione automatizzata all’interno della rete colpita, come detto dai ricercatori, rappresenta senza dubbio un unicum e una strategia di attacco spear phishing originale.
Indice degli argomenti
Le tecniche di attacco dell’APT Gamaredon
Il gruppo APT, attivo almeno dal 2013, ha negli ultimi mesi fatto registrare un aumento delle sue attività, attraverso diverse campagne malspam: gli allegati a queste e-mail non sono altro che documenti con macro che, una volta eseguite, possono scaricare una vasta gamma di varianti malware allo scopo di esfiltrare dati diffondendosi il più velocemente possibile nella rete.
Il gruppo Gamaredon utilizza strumenti semplici e implementati con svariati linguaggi di programmazione (C#, VBScript, file batch, C e C++) per raccogliere informazioni sensibili dai sistemi compromessi, diffondersi ulteriormente e dialogare con centrali di comando e controllo raggiungibili attraverso domini sia gratuiti (con servizi DNS dinamici come hopto.org, ddns.net, myftp.biz) che a pagamento (.fun, .site, .space, .ru, .website) cambiandoli costantemente.
Lo strumento principale negli attacchi via Outlook
Il principale strumento tra quelli scoperti si è rivelato essere un pacchetto che include un progetto Visual Basic, personalizzato per Microsoft Outlook.
Il processo di esecuzione prevede che il pacchetto, prima di avviarsi, termini il processo Outlook se in esecuzione, provvedendo, successivamente, alla modifica di precise chiavi di registro per abbassare i livelli di sicurezza pe l’esecuzione di macro VBA e al salvataggio su disco di un opportuno file di progetto OTM che contiene:
- una macro;
- l’allegato e-mail malevolo;
- e, in alcuni casi, un elenco di destinatari a cui inviare le e-mail, che potrebbero essere contatti diretti contenuti nella rubrica della vittima, contatti all’interno della stessa organizzazione oppure un elenco predefinito di destinazioni.
Altri strumenti: i moduli di iniezione CodeBuilder
I ricercatori ESET hanno rilevato e analizzato anche altri moduli utilizzati, sempre dallo stesso gruppo, per iniettare macro oppure riferimenti a modelli remoti in documenti già presenti sul sistema compromesso.
Questo modo di procedere risulta molto efficiente per estendere lateralmente la compromissione all’interno della rete locale di un’organizzazione perché tali documenti allestiti non solo potrebbero venire regolarmente condivisi tra colleghi, ma potrebbero essere aperti più volte e in momenti diversi, garantendo così anche una certa persistenza del malware.
A tal proposito, sono state rilevate due versioni del modulo denominato CodeBuilder, rispettivamente implementate in C# e VBScript.
Entrambe le versioni, pur presentando un comportamento simile (i moduli vengono consegnati in archivi autoestraenti), hanno fini diversi:
- La prima (versione C#), attraverso due file (Word ed Excel) che contengono la macro malevola e un assembly .NET, si occupa di cercare sul sistema i documenti esistenti da compromettere;
| Il modulo .NET |
L’Assembly .NET si occupa in particolare:
HKCU/Software/Microsoft/Office/<versione>/<prodotto>/Sicurezza/VBAWarnings HKCU/Software/Microsoft/Office/<versione>/<prodotto>/Sicurezza/AccessVBOM
|
- La seconda (versione VBScript) si occupa invece, tramite la proprietà VBScript “AttachedTemplate”, di inserire nei documenti determinati riferimenti ad un modello malevolo remoto, piuttosto che iniettare delle macro. In questo caso il pacchetto di archivio autoestraente contiene un file batch e due file VBS allestiti allo scopo.
Sempre durante le loro indagini sull’attività del gruppo Gamaredon, i ricercatori ESET hanno intercettato anche dei campioni malware con funzionalità di downloader e backdoor, che si sono rivelati essere in alcuni casi delle semplici varianti aggiornate di pacchetti già noti e in altri dei moduli riscritti ex novo.
Come proteggersi dagli attacchi dell’APT Gamaredon
Così come accade con il phishing, proprio perché viene sempre sfruttato lo stesso punto debole ovvero l’essere umano, il primo baluardo di sicurezza ad essere più facilmente espugnato, anche in questo caso le truffe che si possono congegnare con questi strumenti potrebbero non insospettire in alcun modo le vittime. Ecco perché l’applicazione di soluzioni di protezione hardware e software da sole non sono sufficienti ma occorre integrarle con adeguate regole comportamentali e di supporto, quali:
- creare opportuni protocolli di sicurezza aziendali con canali di comunicazione sicuri;
- verificare sempre la legittimità dei mittenti, prestando particolare attenzione ai messaggi con pretese urgenti;
- utilizzare sempre per account aziendali e personali password forti e diverse per ogni tipo di account;
- mantenere sempre aggiornati applicazioni e sistemi antivirus;
- utilizzare quando possibile l’autenticazione a due fattori.
