Diverse organizzazioni industriali chiave e statali in Russia sono state attaccate con una backdoor personalizzata basata su Go che esegue furti di dati, probabilmente a supporto delle operazioni di spionaggio. Kaspersky ha rilevato per la prima volta la campagna nel giugno 2023, mentre a metà agosto, la società di cybersecurity ha individuato una versione più recente della backdoor che introduceva una migliore evasione, indicando un’ottimizzazione continua degli attacchi. Gli attori della minaccia responsabili di questa campagna sono sconosciuti, e Kaspersky si è limitata a condividere indicatori di compromissione che possono aiutare i difensori a contrastare gli attacchi.
Archivi ARJ maligni
L’attacco inizia con un’email che contiene un archivio ARJ maligno denominato ‘finansovyy_kontrol_2023_180529.rar’ (controllo finanziario), che è un eseguibile di archivio Nullsoft. L’archivio contiene un documento PDF di diversivo utilizzato per distrarre la vittima e uno script NSIS che recupera il payload principale da un indirizzo URL esterno (fas-gov-ru[.]com) e lo avvia. Il payload del malware viene depositato in ‘C:\ProgramData\Microsoft\DeviceSync\’ come ‘UsrRunVGA.exe’. Kaspersky afferma che la stessa ondata di phishing ha distribuito altre due backdoor denominate ‘Netrunner’ e ‘Dmcserv’. Si tratta dello stesso malware con diverse configurazioni del server C2 (command and control). Lo script avvia gli eseguibili maligni in una finestra nascosta e aggiunge un collegamento al menu Start per stabilire la persistenza.
Funzionalità della backdoor
La backdoor ha la capacità di:
- Elenca file e cartelle in una directory specificata.
- Trasferisce (esfiltra) file dall’host al C2.
- Ottiene il contenuto degli appunti.
- Acquisisce screenshot del desktop.
- Cerca sul disco file con estensioni specifiche e li trasferisce al C2.
Tutti i dati inviati al server C2 vengono prima cifrati con AES per evitare la rilevazione da soluzioni di monitoraggio della rete. Per evitare analisi, il malware esegue controlli di nome utente, nome sistema e directory per rilevare se è in esecuzione in un ambiente virtualizzato e si interrompe se lo è.
Nuova versione ruba password
A metà agosto, Kaspersky ha notato una nuova variante della backdoor che presentava piccole modifiche come la rimozione di alcuni controlli preliminari rumorosi e l’aggiunta di nuove capacità di furto di file. In particolare, la nuova versione aggiunge un modulo che prende di mira le password degli utenti memorizzate in 27 browser web e nel client email Thunderbird. I browser presi di mira dalla versione più recente della backdoor includono Chrome, Firefox, Edge, Opera, Brave, Vivaldi e Yandex, un browser popolare e affidabile in Russia.