Siamo arrivati all’ultimo capitolo della Guerra Cibernetica Russa con il gruppo APT FIN7 famoso negli attacchi di natura finanziaria di cui abbiamo già snocciolato l’attività criminale portata avanti dal 2015 fino al 2018. Nonostante gli arresti effettuati dalla polizia di Seattle nei confronti di tre cittadini ucraini, l’attività del gruppo è continuata ed ha eseguito un nuovo attacco nel 2019 con nuovi strumenti: una abilità questa riconosciuta al gruppo e storicamente sempre più consolidata nella storia della cybersecurity.
L’attacco legittimo passato inosservato per anni
Uno degli attacchi più interessanti dal punto di vista tecnologico del gruppo è stato sicuramente quello conosciuto come Boostwrite. Si parla di un dropper che ha il compito di spianare la strada ai payload che vengono installati nelle macchine dei malcapitati con il fine di eseguire azioni malevole. Grazie alla piattaforma di protezione informatica di enSilo, che ha eliminato diversi file malevoli, si è scoperto il modo con cui si installavano le backdoor in modo tale da assumere una forma legittima agli occhi di Microsoft Windows, poiché l’attaccante infieriva nella modifica dell’ordine di ricerca della DLL per sostituire la propria DLL dannosa che in alcuni casi era Carbanak, collegata al gruppo noto come FIN7.
Successivamente, si è approfondita la tipologia di attacco e si è notato che, una volta andato a buon fine, è stato utilizzato il rat RDFSNIFFER per collegarsi in modo abusivo al server infetto dopo che BOOSTWRITE decrittografa i payload incorporati, utilizzando una chiave di crittografia recuperata da un server remoto in fase di esecuzione. Mentre CARBANAK è stato analizzato a fondo ed è stato utilizzato in modo dannoso da diversi aggressori finanziari tra cui FIN7, RDFSNIFFER è uno strumento identificato successivamente ed è stato recuperato dagli investigatori di Mandiant e sembra essere stato sviluppato per manomettere il client “Aloha Command Center” di NCR Corporation. NCR Aloha Command Center è un set di strumenti di amministrazione remota progettato per gestire e risolvere i problemi dei sistemi all’interno dei settori di elaborazione delle carte di pagamento che eseguono Command Center Agent. Il malware viene caricato nello stesso processo del processo di Command Center abusando dell’ordine di caricamento della DLL legittima di Aloha.
Dalla fantasia alla realtà del BadUSB
Una azienda turistica statunitense ha ricevuto un attacco BadUSB, definito incredibilmente raro, dopo aver ricevuto una busta contenente una carta regalo BestBuy falsa con all’interno una chiavetta USB. Alla società ricevente è stato detto di collegare la chiavetta USB a un computer per accedere a un elenco di articoli con cui si poteva utilizzare la carta regalo.
Un chiavetta identificata successivamente dagli esperti di sicurezza come “BadUSB“: che funziona effettivamente come una tastiera quando è collegata a un computer, perchè emula la pressione dei tasti per lanciare vari attacchi automatici, attivando una serie di pressioni di tasti automatizzate che hanno lanciato un comando PowerShell, che a sua volta ha scaricato uno script PowerShell più voluminoso da un sito Internet con l’obiettivo di installare un malware sulla macchina di prova, un bot basato su JScript.
Nonostante si pensasse al BadUSB come un attacco meramente teorico seppur possibile, descritto per la prima volta all’inizio degli anni 2010 e per molti anni hanno rappresentato uno scenario di attacco teorico su cui i dipendenti vengono spesso avvertiti, FIN7 è stato capace di renderlo realtà dopo che l’ultimo caso è stato registrato su delle macchine Raspberry in alcune banche dell’est Europa nel 2018.
Da Apt specializzato in sniffing ad una stretta collaborazione con il gruppo Ransomware
Nel 2020 Truesec ha osservato un utente malintenzionato che ha utilizzato gli strumenti e le tecniche di FIN7, incluso il CARBANAK RAT, per impossessarsi della rete di un’impresa. In un successivo attacco, quasi sei settimane dopo, questo punto d’appoggio è stato utilizzato per distribuire il ransomware RYUK sulla rete della vittima.
Questo attacco segna la prima di una lunga serie che Truesec ha osservato sulla combinazione di strumenti FIN7 e il ransomware RYUK, indicando un cambiamento nel modello degli attacchi FIN7. Finora FIN7 non è storicamente associato ad attacchi ransomware. Ciò suggerisce ad una più stretta collaborazione tra FIN7 e il gruppo RYUK, noto anche come WIZARD SPIDER o FIN6, rispetto a quanto precedentemente segnalato da Truesec.
Il ragionamento più diffuso è che FIN7 abbia semplicemente venduto l’accesso al gruppo RYUK, ma è probabile anche che FIN7 e WIZARD SPIDER siano strettamente affiliati e possano far parte della stessa rete criminale organizzata, ma questo ad oggi non è stato dimostrato con certezza e prove evidenti.
Un attacco Jssloader
Verso la fine del 2020, un attacco di tipo jssloader è stato identificato e svelato in parte, essendo coperto da mille misteri ancora irrisolti. Morphisec Labs nel suo report ha presentato una catena di attacchi che è stata intercettata e prevenuta all’interno della rete di un cliente nell’ultimo mese del 2020, riconducibile al metodo messo in campo da FIN7, concentrata sul JSSLoader. Sebbene JSSLoader sia ben noto come .NET RAT ridotto a icona, non sono stati resi pubblici molti dettagli relativi a varie funzionalità come l’esfiltrazione, la persistenza, l’aggiornamento automatico, il download di malware e altro. Inoltre, nelle molte occasioni in cui viene citato JSSLoader, ci sono pochi dettagli sulla catena di attacco completa di questo end-to-end.
Windows 11 è già un obiettivo più che concreto
Anomali Threat Research ha condotto un’analisi sui file dannosi di documenti Microsoft Word (.doc) a tema su Windows 11 Alpha ed ha valutato con moderata sicurezza che questi documenti Word facevano parte di una campagna condotta dal gruppo di minacce FIN7. L’obiettivo del gruppo sembra essere stato quello di fornire una variante di una backdoor JavaScript utilizzata da FIN7 almeno dal 2018. La catena dell’infezione è iniziata con un documento Microsoft Word (.doc) contenente un’immagine esca che affermava di essere stata creata con Windows 11 Alpha. L’immagine chiede all’utente di abilitare la modifica e abilitare il contenuto per iniziare la fase successiva dell’attività. Analizzando il file è stato possibile vedere una macro VBA popolata con dati spazzatura come commenti. Una volta che il contenuto/modifica è stato abilitato, la macro viene eseguita. I dati spazzatura sono una tattica comune utilizzata dagli attori delle minacce per impedire l’analisi. Una volta rimossi questi dati spazzatura, rimane una macro VBA. Il VBScript prende i valori codificati da una tabella nascosta all’interno del file .doc., successivamente gli stessi valorivengono decifrati con una funzione e poi vengono deoffuscati utilizzando un codice XOR. Si passa poi ai controlli linguistici e se vengono rilevate alcune lingue, viene adoperata la funzione me2XKr che elimina la tabella e interrompe l’esecuzione se accerta la presenza di macchine virtuali. Lo script verifica successivamente il dominio CLEARMIND, che sembra fare riferimento al dominio di un fornitore di servizi POS (Point-of-Sale).
I controlli includono:
- Nome a dominio, in particolare CLEARMIND
- Lingua, se una delle lingue elencate Lingua del codice russo, ucraino, Russo-Moldavia, sorabo, slovacco, sloveno, estone, serbo, serbo (latino).
- Preferenza lingua chiave di registrazione per il russo
- Macchina virtuale – VMWare, VirtualBox, innotek, QEMU, Oracle, Hyper e Parallels, se viene rilevata una VM lo script viene interrotto
- Memoria disponibile, se è inferiore a 4 GB, non procedere
- Verifica RootDSE tramite LDAP
Se i controlli sono soddisfacenti, lo script procede alla funzione in cui un file JavaScript denominato word_data.js viene trascinato nella cartella TEMP. Tuttavia, se vengono rilevati i controlli della lingua e della macchina virtuale, la tabella si elimina e non passa al payload JavaScript. Questo file JavaScript è anche pieno di dati spazzatura. Ancora una volta rimossi i dati spazzatura per analizzare il JavaScript si notano stringhe offuscate. Il file JavaScript contiene anche una funzione di deoffuscamento. Analizzando la funzione di cifratura XOR, “ben9qtdx4t” è la chiave utilizzata per decrittografare le stringhe nel file JavaScript (word_data.js). L’offuscamento viene effettuato utilizzando un cifrario a sostituzione che va da A a K. Dopo aver sostituito i valori offuscati con le stringhe deoffuscate, la backdoor Javascript sembrerebbe avere funzionalità simili con altre backdoor utilizzate da FIN7.
Cercasi Reclute disperatamante
A una fonte della società Gemini è stata offerta una posizione come specialista IT presso un’azienda nota come “Bastion Secure Ltd“, una “società” di sicurezza informatica alla ricerca di programmatori C++, Python e PHP, amministratori di sistema e reverse engineer. Una ricerca su Google ha restituito un sito Web apparentemente legittimo, ma l’analisi ha rivelato che si tratta di una società di sicurezza informatica fittizia gestita da un gruppo di criminali informatici. Durante il processo di test intrapreso dalla fonte, sono stati dati diversi gli strumenti impiegati ed i compiti assegnati alla fonte Gemini da FIN7 (che opera sotto le spoglie di Bastion Secure), ci si è accorti che le procedure corrispondevano alla preparazione di un attacco ransomware e questo ha fatto intendere che le dimensioni di un gruppo criminale, noto a tutti per aver lucrato più di un miliardo di dollari in circa dieci anni, sono cresciute anche grazie a civili coinvolti in una sorta di Linkedin criminale.
