Una nuova e sofisticata campagna di attacco, denominata DEEP#GOSU, utilizza malware in PowerShell e VBScript per infettare sistemi Windows e raccogliere informazioni sensibili e Securonix associa questa campagna al gruppo nordcoreano sponsorizzato dallo stato conosciuto come Kimsuky.
Tattiche avanzate e uso di Servizi Legittimi
La campagna si distingue per l’impiego di servizi legittimi come Dropbox o Google Docs per il comando e controllo (C2), consentendo agli attaccanti di mimetizzarsi nel traffico di rete regolare. Questa tecnica consente anche di aggiornare le funzionalità del malware o di consegnare moduli aggiuntivi senza essere rilevati.
Procedura di infezione e strumenti impiegati
Il punto di partenza è un’email malevola che contiene un archivio ZIP con un file collegamento fasullo (.LNK) che si spaccia per un file PDF. Questo file .LNK incorpora uno script PowerShell e un documento PDF finto, con lo script che recupera ed esegue un altro script PowerShell da un’infrastruttura Dropbox controllata dall’attore.
Il secondo script PowerShell scarica un nuovo file da Dropbox, un file di assemblaggio .NET sotto forma binaria che è in realtà un RAT (Remote Access Trojan) open-source conosciuto come TruRat, dotato di funzionalità per registrare i tasti premuti, gestire file e facilitare il controllo remoto.
Un aspetto notevole dello script VBScript è l’uso di Google Docs per recuperare dinamicamente i dati di configurazione per la connessione a Dropbox, consentendo all’attore della minaccia di cambiare le informazioni dell’account senza dover modificare lo script stesso.
Implicazioni per la Sicurezza e Consigli
La capacità del malware di agire come una backdoor per controllare i sistemi compromessi e mantenere un registro continuo delle attività degli utenti sottolinea l’importanza di adottare misure di sicurezza robuste e di mantenere aggiornati i sistemi per proteggersi da tali minacce sofisticate.
L’uso di servizi cloud legittimi per il comando e controllo evidenzia inoltre la necessità per le organizzazioni di monitorare il traffico di rete per rilevare comportamenti sospetti, anche quando il traffico sembra essere associato a servizi affidabili.