CraftyCamel, il malware poliglotta altamente mirato alle infrastrutture critiche: i dettagli

I ricercatori di Proofpoint hanno scoperto una campagna profondamente mirata basata su email che diffonde il malware poliglotta multistage CraftyCamel.

La minaccia che ha colpito nello specifico una serie di organizzazioni negli Emirati Arabi Uniti, con un interesse particolare per aviazione e comunicazioni satellitari, oltre che per le infrastrutture critiche di trasporto, ma le sue particolari caratteristiche tecniche lo rendono un interessante caso di analisi tecnica.

Come spiegano i ricercatori: “Il basso volume, la natura particolarmente mirata della campagna e i numerosi tentativi di offuscare il malware indicano un avversario con un obiettivo chiaro. Una più ampia analisi dell’infrastruttura indica possibili connessioni con attaccanti allineati all’Iran già monitorati da partner fidati”.

I risultati principali della ricerca evidenziano:

1. Una campagna altamente mirata: i messaggi dannosi sono stati inviati da un’entità compromessa in un rapporto commerciale di fiducia con gli obiettivi e hanno utilizzato esche personalizzate per ognuno.
2. Identificazione della nuova backdoor Sosano: denominata così da Proofpoint, la backdoor ha sfruttato tecniche diverse per offuscare il malware e il suo payload.
3. Un nuovo cluster di minacce, tracciato come UNK_CraftyCamel: in questa fase, l’attività non si sovrappone a nessun altro cluster identificato e monitorato da Proofpoint (che, è bene ricordare, utilizza la sigla UNK_ per definire cluster di attività ancora in fase di sviluppo e non sono stati osservati a sufficienza da ricevere una definizione TA numerica).
4. Compromissione dell’infrastruttura: nell’autunno del 2024, UNK_CraftyCamel ha sfruttato una società di elettronica indiana compromessa per colpire organizzazioni negli Emirati Arabi Uniti con un file ZIP pericoloso che ha fatto leva su più file poliglotti per installare Sosano, la backdoor Go personalizzata.

Analisi della distribuzione e della catena di infezione

Alla fine di ottobre 2024, gli autori di UNK_CraftyCamel hanno sfruttato l’accesso a un account email compromesso appartenente alla società di elettronica indiana INDIC Electronics per inviare email dannose. Le email contenevano URL che puntavano al dominio controllato dall’attore indicelectronics[.]net, che imitava il dominio legittimo di INDIC Electronics.

Gli URL dannosi collegavano a hxxps://indicelectronics[.]net/or/1/OrderList[.]zip, che scaricava un archivio ZIP che, a prima vista, conteneva un file XLS e due file PDF.

Tuttavia, dopo ulteriori indagini, Proofpoint ha determinato che il file XLS era in realtà un file LNK che utilizzava una doppia estensione, e i file PDF erano entrambi poliglotti; il primo, un file PDF a cui era stato aggiunto un HTA, mentre il secondo file PDF aveva un archivio ZIP aggiunto.

I file poliglotti sono file che possono essere interpretati come diversi formati, a seconda di come vengono letti. Sono creati strutturando attentamente i dati in modo che diversi parser (algoritmo di riconoscimento sintattico) interpretino lo stesso file in modo diverso, spesso sfruttando peculiarità specifiche del formato o intestazioni sovrapposte. Non sono comunemente usati nello sviluppo di software quotidiano, ma rimangono uno strumento di nicchia, potente in domini tecnici specializzati.

Per creare un file poliglotta, un attore deve prima identificare formati compatibili con strutture flessibili. Successivamente, deve allineare intestazioni e piè di pagina per garantire che non interferiscano con la struttura dell’altro formato. Dopodiché, può utilizzare editor esadecimali, Python o anche lo strumento da riga di comando cat per costruire il poliglotta. Una volta creato, è importante testare il file per capire come diversi programmi, come esploratori di file, strumenti da riga di comando e browser, lo interpretano.

Un esempio di file poliglotta utilizzato in campagne malware è il loader Emmenhtal, frequentemente osservato in catene di attacchi criminali informatici che distribuiscono information stealer o RAT.

Il file LNK avvia cmd.exe e quindi utilizza mshta.exe per eseguire il file poliglotta PDF/HTA. Il processo mshta.exe analizzerà il file, oltrepassando la porzione PDF, fino a trovare l’intestazione HTA ed eseguire il contenuto da lì. Lo script HTA funge da orchestratore e contiene istruzioni per cmd.exe per estrarre l’eseguibile e il file URL dal secondo PDF.

L’HTA quindi scrive il file URL nel registro per la persistenza e avvia il file URL che carica Hyper-Info.exe. L’eseguibile cerca un file chiamato “sosano.jpg” nel file ZIP estratto dalla fine del secondo PDF. Una volta trovato, il JPG viene sottoposto a XOR con la stringa “1234567890abcdef” e decodifica in una DLL che lo sviluppatore del malware ha chiamato “yourdllfinal.dll”, che è la backdoor che Proofpoint ha chiamato Sosano.

Da notare che l’eseguibile Hyper-Info ha ulteriori stringhe incorporate tra cui “abcdef1234567890” e “0fedcba987654321”, che riteniamo possano essere ulteriori chiavi XOR.

Queste chiavi aggiuntive non sono attualmente utilizzate dal malware osservato da Proofpoint, ma potrebbero essere artefatti di intrusioni precedenti, utilizzate in future iterazioni o utilizzate per frustrare i ricercatori che tentano di analizzare il loader.

Analisi della backdoor Sosano

La backdoor Sosano è una DLL scritta in Golang e, sebbene sia un file eseguibile di grandi dimensioni (12 megabyte), contiene solo una piccola quantità di codice dannoso costituito da un insieme limitato di funzionalità.

Il codice scritto dallo sviluppatore crea una backdoor, integrata da funzioni di pacchetto Golang precostruite che assicurano che lo sviluppatore non debba scrivere nuovo codice per implementare cose ripetibili come l’impostazione di comunicazioni HTTP o operazioni di lettura/scrittura di file.

È probabile che lo sviluppatore del malware abbia intenzionalmente gonfiato il codice di Sosano con librerie Golang aggiuntive e non necessarie per offuscare e complicare l’analisi.

Questo eseguibile importa librerie Golang che non utilizza, come il codice per l’analisi dei tipi Multipurpose Internet Mail Extensions (MIME), il supporto per una miriade di algoritmi di crittografia e compressione e funzioni per la registrazione e il debug estesi.

All’esecuzione del malware, un sottoinsieme delle stringhe viene eseguito attraverso una funzione di de-offuscamento e caricato in memoria.

All’esecuzione, il campione dorme prima per un periodo di tempo casuale, utilizzando l’ora di sistema corrente (time_Now()) come seme per il generatore di numeri pseudo-casuali (math_rand_Intn()). Questa routine di sleep aiuta il malware a eludere il rilevamento in sandbox di analisi automatizzate e difese endpoint.

Dopo che la routine di sleep viene eseguita, il malware tenta di connettersi al suo C2 (bokhoreshonline[.]com). Se viene stabilita una connessione di successo, il malware attende ulteriori comandi inviando periodicamente una richiesta HTTP GET al server C2. Se il server C2 risponde con un’istruzione, Sosano la analizzerà ed eseguirà il comando associato.

I comandi che Sosano può accettare dal C2 sono i seguenti:

La backdoor Sosano può scaricare ed eseguire un payload di fase successiva chiamato “cc.exe”, ma quel file non era disponibile dal server remoto durante la nostra indagine.

Opportunità di rilevamento

Questa catena di infezione malware offre una varietà di opportunità di rilevamento. Includono, ma non sono limitate a:

1. File LNK eseguiti da directory create o dezippate di recente.
2. File LNK eseguiti da una directory dezippata di recente.
3. File URL nella Reg runkey.
4. File URL che avvia qualsiasi file oltre a un browser web.
5. File eseguibile che accede a un file JPG da una directory utente

Analisi dell’infrastruttura di rete

Se UNK_CraftyCamel ha utilizzato un account email compromesso per distribuire l’email di spear phishing, l’attore della minaccia ha quindi utilizzato un dominio creato dall’attore di indicelectronics[.]net per ospitare l’archivio ZIP iniziale.

Al momento dell’analisi e della segnalazione, era l’unico dominio che si risolveva in 46.30.190[.]96. Il dominio bokhoreshonline[.]com è stato utilizzato per il C2 per la backdoor Sosano e si è risolto in 104.238.57[.]61 al momento dell’analisi. Entrambi gli IP appartengono al provider di hosting commerciale CrownCloud.

Sovrapposizioni e attribuzione

Al momento, questo cluster di attività designato come UNK_CraftyCamel non si sovrappone a nessun altro cluster identificato tracciato da Proofpoint

Il basso volume di destinatari, la natura altamente mirata delle esche e i numerosi tentativi di offuscare il malware indicano un avversario con un mandato chiaro. Un’analisi più ampia dell’infrastruttura indica possibili connessioni con avversari allineati all’Iran tracciati da partner fidati.

Sono state identificate molteplici somiglianze di tattica, tecnica e procedura (TTP) con sospette campagne allineate al Corpo delle Guardie Rivoluzionarie Islamiche (IRGC) da TA451 e TA455. Entrambi i gruppi si sono storicamente concentrati sul targeting di organizzazioni allineate al settore aerospaziale.

Inoltre, TA451 e UNK_CraftyCamel hanno entrambi utilizzato file HTA in campagne altamente mirate negli Emirati Arabi Uniti; e TA455 e UNK_CraftyCamel condividono una preferenza per l’approccio ai target con offerte di vendita business-to-business, seguito dal targeting di ingegneri all’interno delle stesse aziende. Nonostante queste somiglianze, Proofpoint valuta UNK_CraftyCamel come un cluster separato di attività di intrusione.

Conclusioni

I ricercatori di Proofpoint concludono: “Questa campagna è un esempio di come gli attori delle minacce sfruttino le relazioni di fiducia per fornire malware personalizzato e offuscato a obiettivi altamente selezionati.

Gli attori di minacce avanzate prenderanno di mira in modo specifico terze parti fidate che operano come fornitori a monte e che interagiscono frequentemente con i loro clienti; questo permette loro di condurre una compromissione della catena di approvvigionamento, che riduce la probabilità di rilevamento iniziale delle minacce basate su email”.

Oltre alle opportunità di rilevamento descritte, le organizzazioni dovrebbero addestrare gli utenti a diffidare di contenuti inattesi o non riconosciuti provenienti da contatti noti e a identificare le caratteristiche comuni dei contenuti dannosi, come l’impersonificazione dei domini utilizzando domini di primo livello alternativi.