Una variante del malware Glupteba è stata identificata mentre tentava di rubare informazioni sensibili dai browser dei dipendenti di un’organizzazione governativa dell’area EMEA: in particolare, il malware era alla ricerca di password e informazioni sulle carte di credito, oltre alle credenziali degli account di posta elettronica.
Poiché il target dell’attacco era un’agenzia governativa che doveva garantire la protezione di oltre 10.000 dispositivi, le conseguenze se gli aggressori avessero ottenuto l’accesso alle credenziali degli account dei dipendenti avrebbero potuto essere estremamente gravi.
In particolare, durante il tentativo di attacco, un dispositivo infettato da malware beaconing agli endpoint C2 tramite HTTP e SSL si stava apprestando a scaricare un file sospetto, ovvero un eseguibile associato ad un malware infostealer.
L’evento si è svolto di domenica quando il team di security era attivo con forze ridotte. È probabile che gli attaccanti contassero su questa minore presenza. Invece, l’evento è stato individuato dalla Cyber AI di Darktrace che, installata poco meno di una settimana prima, ha potuto individuare il comportamento anomalo segnalando e bloccando gli effetti dannosi che ne sarebbero potuti scaturire.
Indice degli argomenti
Glupteba: funzionamento della minaccia
La componente di intelligenza artificiale di Darktrace ha rilevato che un dispositivo dell’organizzazione governativa stava scaricando un file eseguibile, atx777.exe, che sembrava essere associato a Taurus stealer, un tool accreditato al gruppo criminale informatico Predator the Thief.
L’analisi ha evidenziato come si trattasse di una nuova campagna che utilizzava il framework di distribuzione di Glupteba per distribuire il malware infostealer (letteralmente “ladro di informazioni” n.d.r.) denominato Taurus.
Glupteba è il nome di rilevamento di Malwarebytes per un trojan backdoor che consente all’attore della minaccia di eseguire diverse azioni sul sistema Windows interessato.
Il dispositivo infettato era in procinto di avviare connessioni crittografate a un dominio esterno estraneo all’organizzazione. Quindi era probabile un’infezione del dispositivo tramite un allegato o un collegamento e-mail dannoso, avvenuta prima dell’implementazione delle soluzioni del vendor di security Darktrace.
Dopo il download di questo file, il dispositivo infettato ha tentato di avviare ulteriori connessioni crittografate a endpoint sospetti su canali di comunicazione insoliti. Allo stesso tempo, il dispositivo ha scaricato un altro file eseguibile da un dominio con un agent utente insolito, CertUtil URL Agent.
Subito dopo l’eliminazione del payload, il malware ha esaminato l’ambiente in cui era stato installato per evitare di eseguire ulteriori processi se avesse rilevato che la macchina host era una sandbox.
Il malware era anche in grado di nascondersi ulteriormente escludendo i file Glupteba da Windows Defender, alterando le regole del firewall per consentire il command and control del traffico con una tipologia di attacco definita “Living off the Land”, che tipicamente sfrutta gli strumenti già presenti in modo nativo nel sistema operativo dei computer e nei dispositivi, come CertUtil, l’unità di Windows per la gestione dei certificati digitali.
Nonostante le tecniche evasive, il malware è stato identificato grazie al sistema behavioural di detection che ne ha rilevato il comportamento “non standard” o meglio perché esulava dal normale “modello di comportamento” del dispositivo e dell’organizzazione.
Gli analisti del Vendor hanno identificato l’attività fin dalle prime fasi dell’attacco e il Cyber AI Analyst ha indagato a fondo sull’incidente, rivelando alcune metriche cruciali, come i dettagli sugli endpoint contattati.
L’evento è accaduto a metà luglio e come sempre in questi casi la notizia è stata diffusa in tempi successivi al suo accadimento per consentire all’organizzazione governativa di mettere in sicurezza tutti i suoi endpoint.
Cosa imparare dall’accaduto e implementare per la difesa
Le organizzazioni pubbliche e private, continuamente prese di mira da campagne massive o peggio da attacchi targettizzati, dovrebbero garantirsi la capacità di una risposta che possa contemplare anche la risposta autonoma, eventualmente prevedendo un riesame postumo a cura degli analisti di security.
Questo caso dimostra infatti, quale sia il potere e l’efficacia di un sistema organizzativo e tecnologico che permetta di ottenere una soluzione autosufficiente a seguito di una detection di evento sospetto, agendo in modo preventivo sull’impatto della minaccia e fermandone la kill chain malevola.
Questa capacità di autonomia è particolarmente cruciale quando il personale che si occupa della cyber security è ridotto o opera da remoto in modo asincrono oppure non è al lavoro.
In prima battuta il sistema effettua un blocco e una sorta di effetto quarantena sulle conseguenze per poi consentire agli analisti una analisi successiva di dettaglio.
Chi sviluppa malware come Taurus stealer impiega tecniche sempre più sofisticate per evitare di essere scoperto, quindi le minacce sono 0-day che sviluppano pattern comportamentali del tutto nuovi.
I sistemi behavioural consentono di acquisire modelli di comportamento standardizzati per l’organizzazione e ogni evento che devii da questi modelli ha ragione di essere segnalato, con quella che normalmente viene indicata come capacità di “anomaly detection” sui dati attesi, salvo poi essere riesaminato per confermare la pericolosità o, in caso di falso positivo, essere eventualmente riconosciuto come valido.
Max Heinemeyer, Director of Threat Hunting di Darkrace, sottolinea come questo attacco dimostri l’utilizzo da parte degli attaccanti di tecniche sempre più sofisticate per superare gli strumenti di protezione tradizionali.
Il framework del malware Glupteba, che ha visto una rinascita negli ultimi mesi, utilizza diverse tecniche di evasione, incluso il rilevamento delle sandbox nel tentativo di rubare informazioni sensibili dai browser, come le password o le informazioni sulle carte di credito, oltre alle credenziali dell’account di posta elettronica.
