Nuovi attacchi Netwire colpiscono l'Italia

Nuovi attacchi Netwire colpiscono l'Italia

Il malware che ruba informazioni conferma di essere una delle armi più utilizzate dai cyber hackers. Uno di questi è Netwire (MITRE S0198), uno strumento di amministrazione remota multipiattaforma (RAT) che è stato utilizzato da criminali e gruppi di spionaggio almeno dal 2012.

Durante il monitoraggio della Cyber ​​Threat Intelligence di Zlab si è individuato un particolare documento di Office studiato per fornire questo tipo di strumento dannoso, scoprendo una campagna maligna nascosta progettata per colpire le vittime di lingua italiana. La particolare catena di attacco che hanno scoperto ha mostrato interessanti schemi tecnici simili ad altre attività precedenti rivolte al panorama manifatturiero italiano, per questo motivo abbiamo deciso di scavare più a fondo e condividerla qui.

Analisi

La variante utilizzata in questa campagna è simile ad altri esempi della famiglia di malware NetWire ma presenta un'evoluzione della catena di attacco. L'immagine seguente riporta la catena di infezione NetWire utilizzata in questa campagna:

Questa campagna NetWire viene consegnata come allegato di posta elettronica dannoso con macro XML incorporata al suo interno. Di seguito, le informazioni statiche:

hash b7e95d0dcedd77ab717a33163af23ab2fd2dc6d07cdf81c5e4cfe080b0946b79
Minaccia Documenti XLSM
Dimensione 273 KB (279.577 byte)
Tipo di file Foglio di attivazione macro di Microsoft Excel
Breve descrizione NetWire XLSM Document Dropper con macro dannose incorporate
Ssdeep 6144: LBM / nRdmLKd + le81QPBkmmZBHlSUDIUxOW9c8oactq: KnHmLsgenklZBDkUgWD1cI

Una volta aperto, il documento Excel appare come un documento con alcuni elementi dinamici ma non ha alcuni pulsanti cliccabili. Lì, il classico avviso di sicurezza ci informa che le macro sono contenute nel documento e sono disabilitate.

La macro contenuta nel documento è piuttosto minima:

Lo snippet di macro VBS contatta il dominio "cloudservices-archive.] Best" per scaricare il payload della fase successiva nascosto all'interno di un file denominato file di immagine, ma non è un'immagine né eseguibile: in realtà è un foglio di stile XSL contenente Javascript in grado di caricare un altro oggetto ActiveX.

A questo punto, il malware tenta di scaricare il file aggiuntivo "fiber.vbs" dalla posizione precedente, un piccolo frammento di codice che nasconde l'invocazione di PowerShell attraverso diverse sostituzioni nidificate.

Durante l'analisi della struttura binaria, è stato recuperato l'indirizzo IP codificato del server di comando e controllo configurato: 185.140.53.] 48. Un host belga gestito da un fornitore di servizi anonimo abusato da questo autore. L'eseguibile Netwire utilizza una routine di auto-decodifica per eseguire i suoi moduli trojan, alloca una nuova area di memoria e quindi decodifica il codice pulito come mostrato nella figura seguente.

Una volta decrittografato, il malware salva le informazioni sui bot nella chiave di registro "HKCU \ Software \ Netwire". A questo punto è stato facile individuare le funzioni dannose che caratterizzano le varianti Netwire RAT.

Riassumendo, Netwire RAT consente al suo operatore di acquisire informazioni sensibili dalla macchina vittima, ad esempio:

  • rubare le credenziali di Outlook;
  • rubare la cronologia del browser Internet Explorer;
  • rubare la cronologia del browser Chrome;
  • rubare la cronologia del browser Mozilla;
  • registrazione dei tasti.

Tutti i dati sensibili acquisiti con questo malware vengono quindi inviati al server di comando e controllo degli aggressori, potenzialmente abilitando frodi e ulteriori compromessi della rete.

Conclusione

Nel corso degli anni, Netwire RAT ha ottenuto molto successo e gli hacker l'hanno adottato per infettare le loro vittime, anche gruppi sponsorizzati dallo stato come APT33 (Refined Kitten) e Gorgon Group lo hanno incluso nel loro arsenale, ricordandoci che anche il cosiddetto malware delle materie prime potrebbe rappresentare una seria minaccia, soprattutto se gestita da aggressori esperti in grado di reimballarlo per eludere il rilevamento, sfruttando pratiche operative consolidate per accelerare gli attacchi informatici.

La particolare campagna che è stata osservata mostra elementi chiari che indicano che l'obiettivo desiderato dell'attacco è di lingua italiana. Mostra anche interessanti somiglianze con le tecniche adottate durante le recenti operazioni contro il settore manifatturiero italiano, che, anche se non confermato, suggerisce che potrebbero esserci ancora operazioni in corso a basso impatto ambientale.

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.