Nuovi attacchi Netwire colpiscono l'Italia
5 Giugno 2020 - Tempo di lettura: 10 minuti
Il malware che ruba informazioni conferma di essere una delle armi più utilizzate dai cyber hackers. Uno di questi è Netwire (MITRE S0198), uno strumento di amministrazione remota multipiattaforma (RAT) che è stato utilizzato da criminali e gruppi di spionaggio almeno dal 2012.
Durante il monitoraggio della Cyber Threat Intelligence di Zlab si è individuato un particolare documento di Office studiato per fornire questo tipo di strumento dannoso, scoprendo una campagna maligna nascosta progettata per colpire le vittime di lingua italiana. La particolare catena di attacco che hanno scoperto ha mostrato interessanti schemi tecnici simili ad altre attività precedenti rivolte al panorama manifatturiero italiano, per questo motivo abbiamo deciso di scavare più a fondo e condividerla qui.
Analisi
La variante utilizzata in questa campagna è simile ad altri esempi della famiglia di malware NetWire ma presenta un'evoluzione della catena di attacco. L'immagine seguente riporta la catena di infezione NetWire utilizzata in questa campagna:
Questa campagna NetWire viene consegnata come allegato di posta elettronica dannoso con macro XML incorporata al suo interno. Di seguito, le informazioni statiche:
| hash | b7e95d0dcedd77ab717a33163af23ab2fd2dc6d07cdf81c5e4cfe080b0946b79 |
| Minaccia | Documenti XLSM |
| Dimensione | 273 KB (279.577 byte) |
| Tipo di file | Foglio di attivazione macro di Microsoft Excel |
| Breve descrizione | NetWire XLSM Document Dropper con macro dannose incorporate |
| Ssdeep | 6144: LBM / nRdmLKd + le81QPBkmmZBHlSUDIUxOW9c8oactq: KnHmLsgenklZBDkUgWD1cI |
Una volta aperto, il documento Excel appare come un documento con alcuni elementi dinamici ma non ha alcuni pulsanti cliccabili. Lì, il classico avviso di sicurezza ci informa che le macro sono contenute nel documento e sono disabilitate.
La macro contenuta nel documento è piuttosto minima:
Lo snippet di macro VBS contatta il dominio "cloudservices-archive.] Best" per scaricare il payload della fase successiva nascosto all'interno di un file denominato file di immagine, ma non è un'immagine né eseguibile: in realtà è un foglio di stile XSL contenente Javascript in grado di caricare un altro oggetto ActiveX.
A questo punto, il malware tenta di scaricare il file aggiuntivo "fiber.vbs" dalla posizione precedente, un piccolo frammento di codice che nasconde l'invocazione di PowerShell attraverso diverse sostituzioni nidificate.
.png)
Durante l'analisi della struttura binaria, è stato recuperato l'indirizzo IP codificato del server di comando e controllo configurato: 185.140.53.] 48. Un host belga gestito da un fornitore di servizi anonimo abusato da questo autore. L'eseguibile Netwire utilizza una routine di auto-decodifica per eseguire i suoi moduli trojan, alloca una nuova area di memoria e quindi decodifica il codice pulito come mostrato nella figura seguente.
.png)
Una volta decrittografato, il malware salva le informazioni sui bot nella chiave di registro "HKCU \ Software \ Netwire". A questo punto è stato facile individuare le funzioni dannose che caratterizzano le varianti Netwire RAT.
Riassumendo, Netwire RAT consente al suo operatore di acquisire informazioni sensibili dalla macchina vittima, ad esempio:
- rubare le credenziali di Outlook;
- rubare la cronologia del browser Internet Explorer;
- rubare la cronologia del browser Chrome;
- rubare la cronologia del browser Mozilla;
- registrazione dei tasti.
Tutti i dati sensibili acquisiti con questo malware vengono quindi inviati al server di comando e controllo degli aggressori, potenzialmente abilitando frodi e ulteriori compromessi della rete.
.png)
Conclusione
Nel corso degli anni, Netwire RAT ha ottenuto molto successo e gli hacker l'hanno adottato per infettare le loro vittime, anche gruppi sponsorizzati dallo stato come APT33 (Refined Kitten) e Gorgon Group lo hanno incluso nel loro arsenale, ricordandoci che anche il cosiddetto malware delle materie prime potrebbe rappresentare una seria minaccia, soprattutto se gestita da aggressori esperti in grado di reimballarlo per eludere il rilevamento, sfruttando pratiche operative consolidate per accelerare gli attacchi informatici.
La particolare campagna che è stata osservata mostra elementi chiari che indicano che l'obiettivo desiderato dell'attacco è di lingua italiana. Mostra anche interessanti somiglianze con le tecniche adottate durante le recenti operazioni contro il settore manifatturiero italiano, che, anche se non confermato, suggerisce che potrebbero esserci ancora operazioni in corso a basso impatto ambientale.
