Il misterioso malware "AcidBox" ha utilizzato l'exploit Turla per colpire le organizzazioni russe
19 Giugno 2020 - Tempo di lettura: 8 minuti
Palo Alto Networks rivela che attacchi mirati che forniscono un nuovo malware hanno sfruttato un exploit precedentemente associato al gruppo di hacker Turla collegato alla Russia.
Credendo di operare per conto del Russian Federal Security Service (FSB) e noto anche come Waterbug, Venomous Bear e KRYPTON, Turla è stato il primo attore di minaccia noto ad aver abusato di un driver di dispositivo di terze parti per disabilitare Driver Signature Enforcement (DSE) , una funzionalità di sicurezza introdotta in Windows Vista per impedire il caricamento di driver non firmati.
Spesso definito CVE-2008-3431, l'exploit di Turla, che aveva come obiettivo un driver VirtualBox con segno (VBoxDrv.sys v1.6.2) per disattivare DSE e caricare driver di payload senza segno, abusava effettivamente di due vulnerabilità, ma ne era stata risolta solo una. Una seconda versione dell'exploit prende di mira solo la vulnerabilità sconosciuta.
Ora, Palo Alto Networks rivela che lo stesso difetto di sicurezza senza patch viene abusato da un attore di minaccia sconosciuto non correlato a Turla, allo scopo di sfruttare anche le versioni più recenti del driver VBoxDrv.sys diVirtualBox .
L'avversario ha preso di mira almeno due diverse organizzazioni russe nel 2017 sfruttando la versione 2.2.0 del driver, probabilmente perché questa iterazione non era nota per essere vulnerabile. Gli aggressori hanno schierato una famiglia di malware precedentemente sconosciuta, che i ricercatori hanno chiamato AcidBox .
"Poiché non sono state trovate altre vittime, riteniamo che si tratti di un malware molto raro utilizzato solo negli attacchi mirati", afferma Palo Alto Networks.
Un componente complesso di malware parte di un set di strumenti più grande, AcidBox è probabilmente associato a un attore avanzato delle minacce e potrebbe essere ancora in uso oggi, a condizione che l'attaccante sia ancora attivo.
“Tuttavia, prevediamo che sia stato riscritto in una certa misura. Sulla base delle informazioni in nostro possesso, non crediamo che questo sconosciuto attore di minacce sia legato a Turla, fatta eccezione per l'exploit utilizzato ", afferma Palo Alto Networks, che fornisce un'analisi dettagliata del malware.
Lavorando con altre società di sicurezza, i ricercatori hanno identificato tre campioni di codice utente del malware (DLL a 64 bit che caricano il lavoratore principale dal registro di Windows) e un driver di payload in modalità kernel (che è incorporato nel campione del lavoratore principale).
Tutti gli esempi presentano un timestamp di compilazione del 9 maggio 2017 e sono stati probabilmente utilizzati in una campagna lo stesso anno. Non sono stati trovati campioni più recenti ed è poco chiaro se l'attore della minaccia sia ancora attivo.
AcidBox, che aggiunge dati sensibili come una sovrapposizione di risorse icona, abusa dell'interfaccia SSP per la persistenza e l'iniezione, memorizza il suo payload nel registro di Windows e non mostra alcuna chiara sovrapposizione con malware noto pubblicamente, anche se mostra ampie somiglianze con Remsec.
Palo Alto Networks non è riuscito a identificare il toolkit di cui fa parte AcidBox, ma l'azienda ha condiviso due regole YARA per il rilevamento e la ricerca delle minacce, insieme a uno script Python che può aiutare le vittime a estrarre i dati sensibili aggiunti alle risorse delle icone.
