È stata identificata una massiccia campagna di phishing che sta prendendo di mira un elevato numero di aziende in tutta Europa diffondendo il malware FlawedGrace, un RAT (Remote Access Trojan) attribuito al gruppo criminale TA505 (alias Hive0065) già attivo nel business del cyber crimine almeno dal 2014 e attore di altre minacce come il famigerato trojan bancario Dridex e un arsenale di altri strumenti dannosi come FlawedAmmy e il ransomware Locky.
Indice degli argomenti
I dettagli sulla diffusione di FlawedGrace
Secondo i ricercatori di sicurezza di Proofpoint, gli attacchi della nuova variante di FlawedGrace sarebbero iniziati con una serie di ondate di poche e-mail, consegnando solo diverse migliaia di messaggi in ogni fase, prima di aumentare a fine settembre e fino al 13 ottobre, in decine o centinaia di migliaia di messaggi di posta elettronica malevoli.
“Molte delle campagne, in particolare quelle di grande volume, assomigliano fortemente alla storica attività TA505 del 2019 e del 2020”, hanno affermato i ricercatori. “I punti in comune includono convenzioni di denominazione del dominio simili, e-mail phishing, finti file Excel e l’invio del Trojan di accesso remoto FlawedGrace (RAT).”
Il gruppo, finanziariamente motivato, ha una comprovata esperienza in attacchi mirati a istituti di ricerca, banche, attività commerciali al dettaglio, società energetiche, istituzioni sanitarie, compagnie aeree e agenzie governative.
La catena di infezione del malware
Anche nel caso della nuova variante del RAT FlawedGrace, le attività dannose iniziano con l’apertura di allegati contenenti malware nei messaggi di phishing che, tipicamente, rimandano ad aggiornamenti COVID-19, reclami assicurativi o notifiche sui file condivisi di Microsoft OneDrive.
Il successo dell’ultima campagna di phishing, in particolare, dipende dagli utenti che abilitano le macro dopo aver aperto gli allegati Excel dannosi distribuiti dai criminal hacker.
L’attivazione della macro consente, quindi, di scaricare n file MSI occulto per recuperare i loader per la fase successiva della catena di attacco in cui viene consegnata la versione aggiornata di FlawedGrace RAT che incorpora il supporto per stringhe crittografate e chiamate API occulte.
FlawedGrace — osservato per la prima volta nel novembre 2017 — è un trojan di accesso remoto (RAT) scritto completamente in C++ e appositamente progettato per contrastare le attività di reverse engineering e l’analisi.
Il malware viene fornito con un elenco di funzionalità che gli consentono di stabilire comunicazioni con un server di comando e controllo per ricevere istruzioni e filtrare i risultati di tali comandi al server.
Il gruppo criminale dietro FlawedGrace
L’ondata di attacchi registrati in questo mese di ottobre è significativa anche per il suo cambiamento nelle TTPs (tattiche, tecniche e procedure) utilizzate dai criminal hacker, che includono l’uso di loader intermedi, script in linguaggi insoliti come Rebol e KiXtart al posto di Get2, un downloader precedentemente distribuito dal gruppo per eseguire ricognizioni e scaricare e installare payload RAT della fase finale.
“TA505 è un affermato attore di minacce finanziariamente motivato e noto per la conduzione di campagne e-mail dannose su una scala mai vista prima”, hanno affermato i ricercatori Proofpoint. “Il gruppo cambia regolarmente i propri TTPs ed è considerato un trendsetter nel mondo del crimine informatico”.
“La mutevolezza del malware combinato con la capacità di TA505 di essere flessibile, concentrandosi su ciò che è più redditizio e adattando i suoi TTP secondo necessità, rende l’attore una minaccia continua”, ha aggiunto la società di sicurezza informatica.
Come difendersi
La diffusione del malware RAT FlawedGrace rappresenta la parte più evidente dell’ennesimo attacco phishing su larga scala, caratterizzato in questo caso dalla sua mutevolezza.
Il primo consiglio per proteggersi da questa nuova minaccia è, dunque, quello di ponderare attentamente l’apertura di allegati sconosciuti provenienti da indirizzi e-mail non attendibili.
Allo stesso tempo, è sempre molto importante evitare l’attivazione di macro potenzialmente dannose sul proprio dispositivo.
In questo senso, è utile dotarsi di un team di esperti in grado di salvaguardare la sicurezza del perimetro cyber.
È importante, poi, soprattutto in ambito aziendale fare in modo che i propri dipendenti mantengano un alto il livello di consapevolezza delle possibili minacce, avvisandoli periodicamente dei nuovi attacchi in corso.
Infine, valutare l’opportunità di aggiungere ai propri sistemi di sicurezza gli IoC (indici di compromissione) della minaccia pubblicati dai ricercatori Proofpoint.
