Inizia il viaggio nel mondo degli attori statali iraniani, tra i più temuti al mondo ed abili spie quasi sempre concentrati nell’ottenere informazioni dal Medio Oriente e dal Sud Est Asiatico.  Oggi è il turno di Lyceum (definito anche Hexane e Siamesekitten) il cui primo attacco è stato rilevato nel maggio 2021 ad una azienda di Information Technology in Israele.

A tal fine, Siamesekitten ha creato un’ampia infrastruttura che gli ha permesso di impersonare l’azienda e il personale delle risorse umane con una infrastruttura costruita per adescare esperti IT e penetrare nei loro computer per ottenere l’accesso ai clienti dell’azienda.

Questa campagna è simile alla campagna nordcoreana “Job seekers” e utilizza quello che negli ultimi anni è diventato un vettore di attacco ampiamente utilizzato: l’impersonificazione. Molti gruppi di attacco come abbiamo già visto hanno eseguito questo tipo di campagne, come la campagna nordcoreana Lazarus (Dream Job) e la campagna iraniana OilRig (APT34) che ha preso di mira le vittime del Medio Oriente nel primo trimestre del 2021.

Lazarus 2020: l’interesse per Israele e gli attacchi a tema COVID19

Nel luglio 2021, è stata rilevata una seconda ondata di attacchi simili contro altre aziende in Israele. In questa ondata, Siamesekitten ha aggiornato il proprio malware backdoor a una nuova versione chiamata “Shark” e ha sostituito la vecchia versione del malware chiamata “Milan“.

Secondo i vecchi resoconti pubblici dell’attività del gruppo, Lyceum ha condotto operazioni mirate contro organizzazioni nei settori dell’energia e delle telecomunicazioni in tutto il Medio Oriente, durante le quali l’attore della minaccia ha utilizzato vari script PowerShell e uno strumento di amministrazione remota basato su .NET denominato “DanBot“. Quest’ultimo supportava la comunicazione con un server C&C tramite protocolli personalizzati su DNS o HTTP.

Il gruppo ha evoluto il suo arsenale nel corso degli anni ed ha spostato il suo utilizzo dal malware .NET precedentemente documentato a nuove versioni, scritte in C++. Sono stati raggruppati questi nuovi pezzi di malware sotto due diverse varianti, soprannominati “James” e “Kevin“, in base ai nomi ricorrenti che comparivano nei percorsi PDB dei campioni sottostanti.

Come per le vecchie istanze di DanBot, entrambe le varianti supportavano protocolli C&C personalizzati simili, collegati tramite tunnel DNS o HTTP. È stato anche identificato una variante insolita che non conteneva alcun meccanismo per la comunicazione di rete, ritenendo che sia stata utilizzata come mezzo per proxare il traffico tra due cluster di rete interni.

Oltre agli impianti rivelati, l’analisi approfondita ha permesso di dare uno sguardo al modus operandi dell’attore e sono stati osservati alcuni dei comandi utilizzati dagli aggressori negli ambienti compromessi, nonché le azioni intraprese per rubare le credenziali degli utenti: tra questi, l’uso di uno script PowerShell progettato per rubare le credenziali memorizzate nei browser e un keylogger personalizzato distribuito su alcuni dei computer presi di mira.

Sono state notate alcune somiglianze tra Lyceum e il famigerato gruppo DNSpionage, a sua volta associato al gruppo di attività OilRig. Oltre alla scelta di obiettivi geografici simili e all’uso di DNS o di siti Web falsi per il tunnel dei dati C&C come TTP, siamo stati in grado di rintracciare somiglianze significative tra i documenti di richiamo consegnati da Lyceum in passato e quelli utilizzati da DNSpionage. Queste sono state rese evidenti da una struttura di codice comune e dalla scelta dei nomi delle variabili.

Il gruppo Cyber Threat Intelligence (ACTI) di Accenture e l’Adversarial Counterintelligence Team (PACT) di Prevailion hanno scavato nelle campagne recentemente pubblicizzate del gruppo di spionaggio informatico Lyceum per analizzare ulteriormente l’infrastruttura operativa e la vittimologia di questo attore. I risultati del team confermano e rafforzano le precedenti ricerche di ClearSky e Kaspersky, che indicano un focus primario sugli eventi di intrusione nelle reti informatiche rivolti ai fornitori di telecomunicazioni in Medio Oriente. Inoltre, la ricerca amplia questo set di vittime identificando altri obiettivi tra i provider di servizi Internet (ISP) e le agenzie governative.

Tra luglio e ottobre 2021, le backdoor di Lyceum sembrano aver preso di mira ISP e operatori di telecomunicazioni in Israele, Marocco, Tunisia e Arabia Saudita, nonché un ministero degli Affari esteri (MAE) in Africa.

Il tunneling del sistema dei nomi di dominio (DNS) sembra essere utilizzato solo durante le prime fasi di implementazione della backdoor; successivamente, gli operatori di Lyceum utilizzano la funzionalità di comando e controllo (C2) HTTP(S) codificata nelle backdoor.

A partire da un’analisi completa di ClearSky e Kaspersky, ACTI e PACT hanno condotto una ricerca su queste campagne basandosi sulla telemetria di rete di Prevailion sovrapposta alla comprensione tecnica di ACTI della comunicazione della backdoor Lyceum.

Il team di ricerca congiunto ACTI/PACT è stato in grado di identificare un’ulteriore infrastruttura web utilizzata da Lyceum, che ha corroborato le segnalazioni precedenti e ha identificato sei domini con un collegamento precedentemente sconosciuto a Lyceum (cinque dei quali sono attualmente registrati). Questa ricerca ha infine alimentato la capacità di Prevailion di annettere oltre 20 domini Lyceum, che hanno fornito una telemetria di rete delle compromissioni in corso. L’analisi di questa telemetria, arricchita e corroborata da dati basati sull’host, ha permesso al team di identificare altre vittime e di fornire ulteriore visibilità sulla metodologia di targeting di Lyceum.

Attivo dal 2017, Lyceum prende di mira organizzazioni in settori di importanza strategica nazionale, tra cui organizzazioni di petrolio e gas e fornitori di telecomunicazioni. ACTI/PACT ha ritenuto che gli obiettivi di questa campagna siano congruenti con l’attività precedente di Lyceum; tuttavia, il gruppo ha ampliato il proprio target includendo ISP ed enti governativi.

ACTI/PACT ha identificato le vittime all’interno di società di telecomunicazioni e ISP in Israele, Marocco, Tunisia e Arabia Saudita, oltre a un AMF in Africa. Le società di telecomunicazioni e gli ISP sono obiettivi di alto livello per gli attori delle minacce di spionaggio informatico perché, una volta compromessi, forniscono l’accesso a varie organizzazioni e abbonati, oltre che a sistemi interni che possono essere utilizzati per sfruttare ulteriormente i comportamenti dannosi. Inoltre, le aziende di questi settori possono essere utilizzate dagli attori delle minacce o dai loro sponsor per sorvegliare individui di interesse. Le AMF sono anche obiettivi molto ambiti perché dispongono di preziose informazioni sullo stato attuale delle relazioni bilaterali e di intuizioni sulle trattative future.

Durante questa campagna, Lyceum ha utilizzato due famiglie di malware principali, denominate Shark e Milan (alias James). L’indagine di ACTI/PACT si è concentrata sugli aspetti di comunicazione C2 che gli analisti hanno osservato nella telemetria di Prevailion, dopo che ClearSky e Kasperksy hanno fornito descrizioni tecniche dettagliate delle backdoor. Entrambe le backdoor sono in grado di comunicare tramite DNS e HTTP(S) per la comunicazione C2 (per ulteriori informazioni, vedere la descrizione tecnica dettagliata di seguito).

Shark produce un file di configurazione che contiene almeno un dominio C2, utilizzato con un algoritmo di generazione dei domini (DGA) per il tunneling DNS o le comunicazioni C2 HTTP. Il server dei nomi autorevoli dei domini C2 è controllato da un attaccante che consente agli operatori Lyceum di fornire comandi attraverso gli indirizzi IP nei record A delle risposte DNS. Shark utilizza una sintassi specifica per l’invio di richieste HTTP che ha permesso ai ricercatori di ACTI/PACT di creare un’espressione regolare una combinazione di caratteri in stringhe che specificano un modello di ricerca per identificare ulteriori vittime della campagna. Utilizzando questa espressione regolare, i ricercatori sono stati in grado di passare da probabili host israeliani a indirizzi IP che si risolvono in telecomunicazioni e ISP in Israele e Arabia Saudita. La backdoor ha lanciato segnali costanti a queste vittime a partire da settembre fino a ottobre 2021.

Per le comunicazioni C2 tramite DNS, Milan utilizza domini hardcoded come input per un DGA personalizzato. Il DGA è documentato nel rapporto di Kaspersky, così come alcune delle sintassi utilizzate da Milan per le comunicazioni C2 su HTTP(S). Tuttavia, ACTI ha riscontrato che alcune delle backdoor legacy di Milan recuperano i dati generando richieste utilizzando il dominio codificato e richiedendo poi uno dei percorsi URL relativi ad Active Server Pages. Questi percorsi URL sono codificati in modo rigido in alcuni campioni di Milan. Quelli identificati da ACTI sono:

• contact.aspx
• default.aspx
• anteprima.aspx
• team.aspx

Quando il team ACTI/PACT ha interrogato il dataset Prevailion per i percorsi URL noti e hard-coded di cui sopra, osservati nei campioni di Milan, ha osservato un beaconing continuo nel mese di ottobre 2021 da un indirizzo IP che si risolveva in un operatore di telecomunicazioni in Marocco.

Seguendo questo filone di indagine, il team ACTI/PACT ha identificato il beaconing da una backdoor Lyceum riconfigurata o forse nuova alla fine di ottobre 2021. I beacon osservati sono stati visti uscire da una società di telecomunicazioni in Tunisia e da un MFA in Africa. La sintassi dell’URL della backdoor Shark è simile a quella generata dalla versione più recente di Milan; tuttavia, poiché la sintassi dell’URL è configurabile, è probabile che gli operatori di Lyceum abbiano riconfigurato la sintassi dell’URL utilizzata da Milan per eludere i sistemi di rilevamento delle intrusioni (IDS) e i sistemi di prevenzione delle intrusioni (IPS) codificati per rilevare la precedente sintassi dei beacon di Milan.

Nell’ambito della più ampia campagna Lyceum, abbiamo osservato anche diversi dropper eseguibili. Si tratta di eseguibili con icone PDF, ma non di documenti:

• Tutti gli eseguibili sono scritti in modo leggermente diverso, ma l’idea principale è la stessa: in primo luogo, il dropper estrae un file PDF di richiamo incorporato come risorsa e lo apre, in background e senza essere notato dalla vittima, il dropper quindi scarica ed esegue il payload.

Sono stati identificate tre categorie di dropper:

• Dropper .NET DNS – Utilizzato per rilasciare la backdoor .NET DNS
• .NET TCP Dropper – Scarica la variante della backdoor HTTP .NET e aggiunge un’attività pianificata per eseguirla.
• Golang Dropper – rilascia la backdoor Golang nella cartella di Avvio e nella cartella PublicDownloads. Inoltre, rilascia un file PDF (un rapporto sulla minaccia informatica iraniana, simile agli altri dropper) nella cartella Public\Downloads e lo esegue. Dopo aver aperto il rapporto PDF, il dropper esegue infine la backdoor Golang dalla cartella Public\Downloads.

I file possono essere scaricati da Internet o estratti dal dropper stesso, a seconda del campione. Ogni dropper porta il proprio tipo di payload e sono state osservate le seguenti backdoor distribuite:

• Backdoor DNS .NET
• La backdoor .NET DNS è una versione modificata di uno strumento chiamato DnsDig, con l’aggiunta di codice per formare frm1 che utilizza le funzionalità di HeijdenDNS e DnsDig.
• La backdoor utilizza il tunneling DNS per comunicare con il server C&C ed è in grado di scaricare/caricare file ed eseguire comandi.

Backdoor .NET TCP

La backdoor comunica con il C&C utilizzando socket TCP grezzi e implementando il proprio protocollo di comunicazione. Ogni campione contiene una configurazione che definisce come deve comunicare con il C&C, compresi i caratteri di separazione, le porte TCP e la mappatura dei tipi di comando in numeri.

Sebbene il malware contenga una configurazione per la comunicazione con C&C, utilizza ancora valori codificati nel codice stesso, invece delle costanti di configurazione. Ciò indica che il malware potrebbe essere ancora in fase di sviluppo attivo.

Le capacità di questa backdoor includono:

• Esecuzione di comandi.
• Effettuare screenshot.
• Elencare file/directory.
• Elencare le applicazioni installate.
• Caricare/scaricare/eseguire file.
• Backdoor HTTP Golang

L’esecuzione della backdoor HTTP, scritta in Golang, consiste in 3 fasi, che si svolgono in un ciclo:

• Fase 1 – Controllo della connettività. Il malware genera un ID univoco per la vittima, basato sull’hash MD5 del nome utente. Quindi invia una richiesta HTTP POST vuota all’URI /GO/1.php del server C&C. Se il server risponde con OK, il server viene controllato. Se il server risponde con OK, la backdoor passa alla fase successiva.
• Fase 2 – Registrazione della vittima. In questa fase, il malware invia i dati di base della vittima in una richiesta POST all’URI /GO/2.php, per registrare la vittima nel server C&C dell’aggressore.
• Fase 3 – Recupero ed esecuzione dei comandi. In primo luogo, il malware invia richieste HTTP POST all’URI /GO/3.php per ottenere comandi da eseguire. Come le altre backdoor descritte, la backdoor supporta comandi che le consentono di scaricare/caricare file ed eseguire comandi di shell.

Attribuzione e vittimologia

Oltre agli obiettivi del settore energetico israeliano, durante la ricerca dei file e dell’infrastruttura relativi a questo attacco, il CPR ha osservato alcuni artefatti caricati su VirusTotal (VT) dall’Arabia Saudita. Sebbene questi artefatti contengano trappole relative all’Iran, gli altri documenti trovati sull’infrastruttura pertinente suggeriscono che il gruppo potrebbe aver utilizzato le esche relative alla guerra Russia-Ucraina anche in Arabia Saudita, e probabilmente in altri Paesi della regione, che è l’obiettivo principale delle attività del gruppo.

Oltre alla chiara vittimologia, altri indicatori che suggeriscono che questa attività proviene dal gruppo Lyceum APT includono:

• L’uso della libreria open-source Heijden.DNS, utilizzata da Lyceum nei suoi precedenti attacchi. Questa volta, gli attori non hanno offuscato il nome della libreria, ma hanno modificato uno strumento chiamato DnsDig che utilizza Heijden.DNS.
• Tecnica di tunneling DNS nella comunicazione C&C ampiamente utilizzata nelle precedenti campagne di Lyceum.
• Sovrapposizioni nell’infrastruttura, come i server C&C Lyceum noti ospitati sullo stesso ASN nelle stesse reti con i C&C di questa campagna e l’uso delle stesse società di registrazione di domini come Namecheap.
• Utilizzo di indirizzi e-mail Protonmail per inviare le e-mail dannose agli obiettivi o per registrare i domini.

A giudicare dagli artefatti dei timestamp trovati e dalla registrazione dei domini dannosi, questa campagna specifica è in corso da alcuni mesi. L’adozione di esche più rilevanti e la costante rielaborazione del malware suggeriscono che il gruppo Lyceum continuerà a condurre e adattare le proprie operazioni di spionaggio in Medio Oriente, nonostante le rivelazioni pubbliche.

APT di mezzo mondo scatenate con la scusa della guerra Ucraina