Nel corso degli ultimi anni, le aziende del Medio Oriente sono state oggetto di una serie di attacchi informatici mirati. Gli aggressori hanno sfruttato un tool open source noto come “Donut” come driver di kernel.
Il tool Donut e gli attacchi informatici mirati
I ricercatori di Fortinet hanno scoperto un esemplare del cosiddetto tool Donut mentre monitoravano file eseguibili sospetti che utilizzavano strumenti open source. Questo tool di generazione di shellcode open source, insieme a una variante del driver Wintapix, è stato scoperto essere utilizzato in attacchi cibernetici mirati all’Arabia Saudita e ad altre nazioni del Medio Oriente.
I ricercatori Geri Revay e Hossein Jazi di Fortinet ritengono che questo driver sia stato attivo nel wild dal 2020 e sia stato utilizzato negli ultimi anni in diverse campagne. Il tool Donut produce payload di shellcode x86 o x64 da .NET Assemblies che possono essere iniettati in un qualsiasi processo Windows per un’esecuzione in memoria.
Aumento degli attacchi cibernetici contro l’Arabia Saudita
La telemetria di Fortinet ha rilevato un aumento significativo del numero di lookups – o picchi di attività – per questo driver nel periodo agosto-settembre 2022 e poi di nuovo nel periodo febbraio-marzo 2023. Ciò potrebbe indicare che l’attore della minaccia dietro il driver stava operando grandi campagne in queste date. In effetti, il 65% dei lookups per il driver proveniva dall’Arabia Saudita, indicando che era un obiettivo primario.
Chi è l’attore della minaccia?
I ricercatori di Fortinet affermano che non è chiaro come il driver sia stato distribuito e non sanno chi fosse dietro questa operazione. “La telemetria osservata mostra che questo driver ha preso di mira principalmente l’Arabia Saudita, ma è stato anche rilevato in Giordania, Qatar e negli Emirati Arabi Uniti, che sono i classici obiettivi degli attori della minaccia iraniani”, ha affermato il rapporto.
Gli attori della minaccia iraniani sono noti per sfruttare i server Microsoft Exchange per distribuire ulteriori malware, quindi è possibile che questo driver sia stato utilizzato insieme agli attacchi all’Exchange.