Sono stati divulgati i dettagli di una nuova campagna di spear phishing, denominata Asylum Ambuscade, in cui gli attori delle minacce probabilmente sponsorizzati da operatori nation-state starebbero prendendo di mira enti governativi europei coinvolti nella gestione della logistica dei rifugiati in fuga dall’Ucraina per ottenere informazioni di intelligence, utilizzando e-mail provenienti da un account forse compromesso del personale militare ucraino (@ukr[.]net).
La scoperta è stata fatta dai ricercatori Proofpoint e non è un caso che l’annuncio arrivi proprio subito dopo che già il servizio statale per le comunicazioni speciali e la protezione delle informazioni dell’Ucraina (SSSCIP) e il CERT-UA (Computer Emergency Response Team Ucraino) abbiano emesso degli avvisi sulle diffuse campagne di phishing rivolte agli account di posta elettronica privati dei membri delle forze armate ucraine.
Pertanto, quest’ultima campagna rilevata il 24 febbraio 2022 potrebbe rappresentare senz’altro una estensione delle precedenti.
Indice degli argomenti
Il contenuto dei messaggi di spear phishing
Il contenuto dei messaggi sarebbe correlato alla riunione di emergenza del Consiglio di Sicurezza della NATO, tenutasi a febbraio e veicolerebbe con un allegato un malware noto come “SunSeed”.
“L’e-mail con oggetto “IN ACCORDANCE WITH THE DECISION OF THE EMERGENCY MEETING OF THE SECURITY COUNCIL OF UKRAINE DATED 24.02.2022” includeva un file XLS con macro intitolato “list of people.xlsx” che è stato appurato in seguito distribuire il malware SunSeed”, si legge nel rapporto Proofpoint.
Asylum Ambuscade: analisi della catena d’infezione
Scritto in Lua, un linguaggio di scripting, SunSeed fungerebbe in realtà, secondo i ricercatori, da downloader per stabilire comunicazioni con un server controllato dall’attaccante ed estrarre il vero carico utile in una fase successiva.
Il malware SunSeed, quando eseguito, emetterebbe infatti richieste GET su http e porta 80 utilizzando un socket Lua (LuaSocket 2.0.2), aggiungendo il numero di serie della partizione C Drive del target infetto alla richiesta URI, forse nel tentativo da parte degli attori di tracciare le vittime infette sulla base di un numero di serie univoco e consentire inoltre agli operatori di selezionare il tipo di carico utile da emettere in seconda battuta.
La ricostruzione condotta dagli esperti ha permesso in tal modo di ricostruire la catena d’infezione, il cui incipit è un documento Excel con macro distribuito tramite phishing.
La catena di infezione utilizzata in questa campagna presenterebbe, tra l’altro, anche somiglianze significative con una campagna storica osservata da Proofpoint nel luglio 2021 e collegata al gruppo APT Ghostwriter noto anche come TA445 o UNC1151.
Pertanto, l’analisi ha rilevato che il file .XLS allegato all’e-mail conterrebbe una macro VB (“Module1”) che, puntando ad un IP di staging controllato dall’attore della minaccia, consentirebbe di scaricare un pacchetto MSI malevolo (“qwerty_setup.msi”) responsabile dell’installazione di:
- una serie di Lua dependencies;
- un interprete Lua per Windows;
- uno script Lua dannoso “SunSeed” (“print.lua”, 7bf33b494c70bd0a0a865b5fbcee0c58fa9274b8741b03695b45998bcd459328);
- un file .LNK per l’esecuzione automatica all’avvio di Windows e garantire persistenza (~/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/Software Protection Service.lnk).
In conclusione
Sebbene le tecniche utilizzate in questa campagna non siano particolarmente sofisticate, campagne simili e contestualizzate potrebbero risultare nel lungo termine abbastanza efficaci persino ai fini della disinformazione, una delle tecniche purtroppo in uso anche nell’attuale conflitto ibrido all’interno dello spazio cyber.
I ricercatori valutando che sia molto probabile il ripetersi di attacchi simili contro entità governative nei paesi della NATO, rimarcano che “Essere consapevoli di questa minaccia e rivelarla pubblicamente è fondamentale per coltivare la consapevolezza tra le entità prese di mira”.
