I ricercatori Microsoft hanno identificato un nuovo cluster di attività malevola, monitorato come DEV-0569, della cyber gang che gestisce il ransomware Royal.
Dal mese di agosto, questo gruppo criminale ha utilizzato differenti tattiche di diffusione del proprio malware: la più recente abusa di Google Ads per consegnare BatLoader.
Indice degli argomenti
Il rilevamento del ransomware Royal
Secondo il rapporto Microsoft, gli attacchi di DEV-0569 sono in continua evoluzione, poiché il gruppo sta migliorando le sue tattiche di evasione, la consegna del payload post-compromissione e la facilitazione del ransomware.
Da agosto a ottobre, il gruppo ha preso di mira le sue vittime tramite attacchi di malvertising, inviando loro collegamenti di downloader che fingono di essere semplici applicazioni come Microsoft Teams, Zoom, Adobe Flash Player, AnyDesk o LogMeIn.
Si tratta invece di un downloader di malware, conosciuto come BatLoader, che rilascia i payload di fase successiva (tramite comandi di PowerShell), tra cui il ransomware Royal e l’impianto Cobalt Strike Beacon. Inoltre, il gruppo ha utilizzato lo strumento open source Nsudo per disabilitare le soluzioni antivirus sulla macchina presa di mira, cercando di eluderne il rilevamento.
Il contenuto dei downloader distribuiti, era ospitato su domini creati dagli utenti malintenzionati che però si presentavano come siti di download di software legittimi (per esempio: anydeskos[.]com) e su repository legittimi come GitHub e OneDrive, mantenendo un’apparente professionalità, che non faccia sospettare la vittima della frode.
Cambia la modalità di consegna
DEV-0569 probabilmente utilizzava ZLoader come metodo di consegna all’inizio di quest’anno e poi è passato a BatLoader dopo l’interruzione delle operazioni di ZLoader ad aprile.
A settembre, il gruppo ha iniziato a utilizzare moduli di contatto su siti Web pubblici per fornire payload dannosi contenenti info-stealers, fingendosi un’autorità finanziaria nazionale. Quando le vittime hanno risposto via e-mail, è stato inviato loro un messaggio contenente un collegamento al cosiddetto programma di installazione per le applicazioni legittime di cui sopra, ma che ha consegnato BatLoader, che era ospitato sui repository GitHub e OneDrive.
Oltre ai file di installazione, il gruppo ha sfruttato i formati di file Virtual Hard Disk (VHD), impersonando software legittimo.
Alla fine di ottobre, sono state osservate campagne di malvertising DEV-0569 che sfruttavano Google Ads, integrandosi nel normale traffico Web per evitare il rilevamento. I ricercatori hanno anche osservato che il gruppo utilizzava il legittimo sistema di distribuzione del traffico (TDS) Keitaro per scegliere selettivamente le vittime a cui consegnare i payload.
DEV-0569 sta abusando di servizi ufficiali e largamente utilizzati come Google Ads, GitHub e OneDrive e strumenti come Keitaro per rimanere invisibile.
Per proteggersi da tali attacchi, si suggerisce alle organizzazioni di definire criteri nella posta elettronica sempre più rigorosi e implementare regole del flusso di posta per limitare gli intervalli IP e il livello di dominio consentito per la circolazione delle comunicazioni all’interno dell’organizzazione.
