Il team di ricerca CrowdStrike Intelligence ha identificato un nuovo attacco alla catena di approvvigionamento durante l’installazione di una piattaforma di supporto chat-based. Nella fattispecie l’attacco avrebbe coinvolto un trojan spacciato come programma di installazione per l’implementazione dell’applicazione Comm100 Live Chat.
“Fino alla mattina del 29 settembre 2022, il malware distribuito tramite un programma di installazione firmato poteva essere scaricato direttamente dal sito Web dell’azienda. Le infezioni sarebbero state identificate presso organizzazioni dei settori industriale, sanitario, tecnologico, manifatturiero, assicurativo e delle telecomunicazioni in Nord America ed Europa.
Al momento, solo due sarebbero le versioni segnalate come contenenti il payload malevolo:
- 10.0.72 con hash SHA256 6f0fae95f5637710d1464b42ba49f9533443181262f78805d3ff13bea3b8fd45
- 10.0.8 con hash SHA256 ac5c0823d623a7999f0db345611084e0a494770c3d6dd5feeba4199deee82b86 “
ci riferisce Gaetano Scavo, Security Analyst di Exprivia.
Anche il Canadian Center for Cybersecurity ha sensibilizzato sulla questione.
“Il Cyber Center ha ricevuto segnalazioni di compromissione attiva in cui l’applicazione trojan è stata trovata installata e in uso.”, si legge in un avviso.
I dettagli dell’infezione
“Il malware veniva distribuito tramite un programma di installazione Comm100 firmato utilizzando un certificato Comm100 Network Corporation valido.
Si trattava di un agent desktop Microsoft Windows 7+ ospitato su https[:]//dash11.comm100[.]io/livechat/electron/10000/Comm100LiveChat-Setup-win.exe, ovvero un’applicazione Electron contenente una backdoor JavaScript (JS) che scaricava ed eseguiva uno script di seconda fase dall’URL http[:]//api.amazonawsreplay[.]com/livehelp/collect.
Lo script di seconda fase sarebbe stato un JS offuscato contenente un’altra backdoor deputata a raccogliere informazioni sull’host. I ricercatori suppongono che successivamente l’attaccante installasse dei file dannosi aggiuntivi sull’host interessato, inclusa una DLL denominata MidlrtMd.dll, eseguita da una copia legittima del binario Microsoft Metadata Merge Utility (mdmerge.exe), che decodifica il payload (con una chiave RC4 hardcoded) e lo inietta in una istanza dell’applicazione “notepad.exe“, aprendo una connessione con il server C2 (“api.microsoftfileapis[.]com”, IP 8.219.167[.]156).“, aggiunge Mauro Gadaleta, Security Analyst di Exprivia.
Possibili mitigazioni
CrowdStrike Intelligence valuta che con molta probabilità l’attore responsabile di questa attività sia collegato con la Cina, basandosi sulla presenza di alcune evidenze, sulle TTP riscontrate (Tattiche, Tecniche e Procedure) e sulla tipologia di targeting.
A seguito della divulgazione responsabile di CrowdStrike, Comm100 ha già rilasciato un programma di installazione aggiornato (10.0.9) che può essere scaricato dal suo portale.
Ulteriori approfondimenti e IoC sono reperibili su CrowdStrike BLOG.
