Tech
Emotet e la pausa di primavera
Tempo di lettura: 3 minuti. Il gruppo TA542 starebbe testando nuove tecniche di consegna

I ricercatori di Proofpoint avrebbero osservato tra il 4 aprile 2022 e il 19 aprile 2022 una attività di Emotet di minore intensità che differisce drasticamente dai suoi comportamenti tipici, durante un momento di fermo apparente definito dagli stessi ricercatori come la “pausa di primavera“.
Secondo il rapporto tale attività sarebbe attribuibile al gruppo di minacce TA542 (gli analisti riterrebbero molto probabile la paternità perché è dal 2014 che tale attore controlla da vicino il malware Emotet in via esclusiva) che starebbe probabilmente testando nuove tattiche, tecniche e procedure su piccola scala prima di adottarle in futuro in campagne più ampie.
Come si vede in grafica dal mese di novembre 2021, dopo la sua temporanea scomparsa dal panorama delle minacce (operazione LadyBird), si è osservato un riemergere della botnet Emotet e da allora il gruppo associato avrebbe a più riprese colpito con decine di migliaia di messaggi malspam in diverse aree geografiche (in alcuni casi, il volume dei messaggi supererebbe anche il milione per campagna) fino ad arrivare all’apparente fermo attività (OneDrive campaign).

I dettagli della campagna insolita
Secondo la ricostruzione durante questo periodo osservato, il gruppo TA542 avrebbe continuato in realtà lo sviluppo e il test di nuovi vettori di attacco, in particolare adoperando URL di OneDrive e file XLL, nel tentativo di bypassare la nuova politica adottata da Microsoft per le macro (come è noto Microsoft sta rendendo sempre più difficile per gli attaccanti utilizzare le macro come vettore di infezione, bloccando le macro Internet per impostazione predefinita in Office).
“Il caso in analisi”, commenta Pierluigi Paganini CEO Cybhorus, esperto di cybersecurity ed intelligence, “dimostra la reattività di alcune tra le piu’ prolifiche gang criminali in grado di rispondere tempestivamente a migliorie introdotte dai vendor dei principali software per evitare lo sfruttamento di falle e funzionalità in attacchi su larga scala.
Altro elemento interessante è la modalità con la quale si testino nuove metodiche di attacco prima di adottarle in via definitiva in campagne su larga scala.“
Nella fattispecie il flusso di email in questione e veicolanti Emotet (sfruttando la botnet Epoch 4) non sarebbero state inviate dal modulo spam di Emotet ma piuttosto da caselle di posta elettronica probabilmente compromesse.
Avente per oggetto tipicamente la parola “Salary”, il corpo dei messaggi conterrebbe solo URL OneDrive ospitanti archivi .zip contenenti file del componente aggiuntivo Microsoft Excel (XLL) che richiamano nel nome lo stesso oggetto (i file XLL, una volta eseguiti, rilasciano ed eseguono Emotet):
- “Salary_new.zip”;
- “Salary_and_bonuses-04.01.2022.xll”.

Riassumendo l’attività identificata differirebbe dalle precedenti campagne Emotet per i seguenti motivi secondo Proofpoint:
- La natura a basso volume dell’attività. In genere, Emotet distribuisce campagne e-mail ad alto volume e a livello globale;
- L’uso degli URL di OneDrive. In genere, Emotet fornisce allegati o URL che collegano ai file di Office ospitati su siti compromessi.
- L’uso di file XLL. In genere, Emotet utilizza documenti Microsoft Excel o Word contenenti macro VBA o XL4. Gli XLL sono un tipo di file DLL (Dynamic Link Library) per Excel e sono progettati per aumentare la funzionalità dell’applicazione.
“I test individuati da Proofpoint“, continua Paganini, “evidenziano la capacità degli operatori Emotet di elaborare nuove strategie e di constatarne l’efficienza in attacchi mirati e limitati, mentre continuano le campagne di malspam ordinarie. Questa tecnica consente di ridurre al minimo la possibilità che le nuove metodiche vengano individuate prima del loro utilizzo su larga scala. Gli attacchi su larga scala avranno luogo solo quando le nuove tecniche avranno dimostrato l’efficacia desiderata.
Nel caso specifico l’esecuzione di Microsoft Excel Add-in (XLL) contenuti in archivi ZIP consentono di scaricare ed eseguire il payload Emotet.
Per eludere i sistemi di difesa, gli attori delle minacce stanno testando una attack chain che a differenza di quella tipica utilizzata da Emotet, non sfrutta allegati Microsoft Excel o Word, contenenti macro malevoli, come vettori di attacco.”
Pertanto non bisogna mai abbassare la guardia.
Consigli
Per tali motivi agli amministratori di rete e professionisti della sicurezza si consiglia di valutare l’implementazione sui propri apparati di sicurezza degli IoC pubblicati per arginare tale attività della botnet.
Indicator | Description |
https[:]//1drv[.]ms/u/s!AnTRAbuGZ8jie3V-jtcrv7-8xx0 | Example URL leading to zipped XLL |
2da9fa07fef0855b4144b70639be4355507612181f9889960253f61eddaa47aa | SHA256 Salary_new.zip |
f83e9f85241d02046504d27a22bfc757ea6ff903e56de0a617c8d32d9f1f8411 | SHA256 Salary_and_bonuses-01.01.2022.xll |
8ee2296a2dc8f15b374e72c21475216e8d20d4e852509beb3cff9e454f4c28d1 | SHA256 Emotet Payload ezesqrmrsbhftab.lft |
Inoltre, si consiglia alle aziende di fornire periodiche sessioni di training formativo per accrescere l’awareness e prestare sempre la massima attenzione ai link e agli URL che ci vengono propinati giornalmente.
Tech
Snake keylogger, attenti ai malware via PDF
Tempo di lettura: 2 minuti. All’inizio di quest’anno una catena di infezione insolita avrebbe distribuito il malware tramite un documento PDF, un formato non comunemente usato per infettare i PC

In un nuovo rapporto gli analisti di HP Wolf Security hanno illustrato come una recente campagna malspam abbia utilizzato allegati PDF come vettore per documenti con macro dannose che scaricano e installano malware per il furto di informazioni sui computer delle vittime.
La scelta insolita, poiché la maggior parte delle e-mail dannose solitamente arriva con allegati Word o Excel corredati di codice macro per il caricamento di malware, consentirebbe, tuttavia, di ingannare le persone ormai abituate a prestare attenzione agli allegati malevoli di Microsoft Office.
La catena d’infezione
Il PDF allegato alla e-mail farebbe riferimento ad un rimborso a favore del destinatario accrescendo così l’interesse di chi legge ad aprire il PDF (REMMITANCE INVOICE.pdf).
Il PDF una volta aperto richiede all’utente di aprire un file DOCX opportunamente incorporato (l’analisi del file PDF rivela che il file .docx è archiviato come oggetto EmbeddedFile) e rinominato con un nome particolare. Gli autori infatti hanno avuto cura di usare la dicitura “has been verified. however pdf, jpeg, xlsx, ” come nome del file stesso. Questo farebbe in modo di travisare l’intestazione riportata sul prompt “Open file” inducendo i destinatari a credere che Adobe abbia verificato il file come legittimo e che il file sia sicuro da aprire.

L’apertura del DOCX abilitando l’esecuzione macro, scaricherebbe a sua volta un file RTF (f_document_shp.doc) da una risorsa remota (URL hardcoded “vtaurl[.]com/IHytw”).
Lo shellcode crittografato e interno all’RTF sfrutterebbe il difetto CVE-2017-11882 (un bug di esecuzione di codice remoto nell’editor delle equazioni di Microsoft corretto a novembre 2017 ma che ancora risulta disponibile per lo sfruttamento in natura) per scaricare Snake Keylogger (hxxp://192.227.196[.]211/FRESH/fresh.exe) un infostealer modulare con capacità di persistenza, evasione, accesso credenziali, raccolta ed esfiltrazione dei dati.

Adeguata consapevolezza e gestione delle vulnerabilità
“Che gli aggressori utilizzino documenti PDF (e non solo) per caricare exploit ospitati in remoto o shellcode crittografate sui dispositivi target è cosa nota.” , commenta per #MatriceDigitale Domenico Raguseo, Head of Cybersecurity, Exprivia, “Nel caso specifico il malware utilizza una vulnerabilità del 2017 ma che evidentemente in tanti ancora non hanno risolto per qualsivoglia ragione. Ne scaturisce l’importanza di una adeguata gestione delle vulnerabilità, perché se è vero che la vulnerabilità potrebbe non essere risolta, è pur vero che in questo caso si debbano implementare contro-misure adeguate per mitigare il rischio senza lasciare l’utente con il suo istinto di sopravvivenza. Ovviamente anche su questo istinto bisogna lavorare, perché il software perfetto non è stato ancora inventato e senza una adeguata consapevolezza del rischio, qualunque contro-misura risulterà prima o poi non sufficiente.”
Sicuramente la prudenza non è mai troppa.
Notizie
WordPress 6 diventa ufficiale e si chiama Arturo.
Tempo di lettura: < 1 minuto. Presentata la mondo dei webmaster “Arturo”, la versione 6 di WordPress ispirata al musicista jazz vincitore di un Grammy, Arturo O’Farrill. Noto per la sua influenza sul jazz latino contemporaneo, Arturo ha inciso più di 15 album che abbracciano cinque decenni di lavoro.

Presentata la mondo dei webmaster “Arturo”, la versione 6 di WordPress ispirata al musicista jazz vincitore di un Grammy, Arturo O’Farrill. Noto per la sua influenza sul jazz latino contemporaneo, Arturo ha inciso più di 15 album che abbracciano cinque decenni di lavoro.
WordPress è il software open source più utilizzato al mondo per la realizzazione e gestione di siti web. La versione 6.0 rappresenta un ulteriore passo verso il “full site editing”, ovvero la possibilità di modificare ogni pixel del tuo sito, senza utilizzare template e plug in esterni.
Per maggiori informazioni ecco il comunicato stampa ufficiale : https://wordpress.org/news/2022/05/arturo/
Avere una community così attiva alle spalle permette a WordPress di reagire in maniera veloce alla scoperta di eventuali exploit. Questo non vale però per la maggior parte dei temi e plugin disponibili in maniera più o meno gratuita in rete.
Il nostro consiglio resta sempre quello di utilizzare il numero minore possibile di plugin esterni, e di attivare l’aggiornamento automatico sui security update.
Abbiamo più volte trattato l’argomento sicurezza wordpress su Matrice Digitale e la nuova versione promette di aver risolto un gran quantitativo di bug della piattaforma.
Tech
Il Canada vieta le apparecchiature Huawei e ZTE per le reti 5G

Il Canada ha vietato l’uso delle apparecchiature Huawei e del colosso tecnologico cinese ZTE nelle sue reti 5G, lo ha annunciato il suo governo.
Seguendo la linea già percorsa da altri Paesi, anche il Canada vieta l’uso dei sistemi Huawei e ZTE in merito alle reti 5G. In una dichiarazione, ha citato le preoccupazioni per la sicurezza nazionale come spinta al Ban, affermando che i fornitori potrebbero essere costretti a rispettare “direttive extragiudiziali da governi stranieri” in modi che potrebbero “entrare in conflitto con le leggi canadesi o sarebbero dannosi per gli interessi canadesi”.
Le società di telecomunicazioni non potranno acquistare nuove apparecchiature 4G o 5G dalle società e dovranno rimuovere tutte le apparecchiature 5G a marchio ZTE e Huawei dalle loro reti entro il 28 giugno 2024. Anche le apparecchiature delle reti 4G devono essere rimosse dalla fine del 2027. “Il governo si è impegnato a massimizzare i benefici sociali ed economici del 5G e l’accesso ai servizi di telecomunicazioni a grandi linee, ma non a scapito della sicurezza”, ha scritto il governo canadese nella sua dichiarazione.
La mossa rende il Canada l’ultimo membro dell’alleanza di intelligence Five Eyes ad aver posto restrizioni all’uso delle apparecchiature Huawei e ZTE nelle loro reti di comunicazione. Le società di telecomunicazioni statunitensi stanno spendendo miliardi per rimuovere e sostituire le apparecchiature nelle loro reti, mentre il Regno Unito ha vietato l’uso delle apparecchiature Huawei nel 2020 e ne ha ordinato la rimozione entro il 2027. Anche Australia e Nuova Zelanda hanno limitato l’uso delle loro apparecchiature per motivi di sicurezza nazionale.
Al centro di queste preoccupazioni c’è la legge nazionale sull’intelligence cinese, che, secondo i critici, può essere utilizzata per far collaborare organizzazioni e cittadini cinesi con il lavoro dell’intelligence statale come riferisce CBC News. L’ipotesi è che questo possa essere utilizzato con le aziende tecnologiche cinesi per arrivare ad informazioni sensibili sulle reti straniere. Huawei contesta l’affermazione e afferma in un comunicato che si basa su una lettura sbagliata della legge cinese.
Il Canada ha impiegato circa tre anni per prendere la sua decisione sull’uso delle apparecchiature Huawei e ZTE nelle sue reti di telecomunicazioni, un periodo che secondo Bloomberg ha coinciso con il peggioramento delle relazioni tra esso e la Cina. Nel dicembre 2018 infatti il Canada ha arrestato Meng Wanzhou, Chief Financial Officer di Huawei, sospettato di aver violato le sanzioni statunitensi. Qualche giorni dopo, la Cina ha imprigionato due cittadini canadesi, l’ex diplomatico Michael Spavor e l’imprenditore Michael Kovrig. Dopo che gli Stati Uniti hanno raggiunto un accordo di rinvio dell’accusa con Meng che le ha permesso di tornare in Cina l’anno scorso, i canadesi sono stati rilasciati.
I politici dell’opposizione hanno criticato il ritardo del governo canadese. “Negli anni di ritardo, le società di telecomunicazioni canadesi hanno acquistato centinaia di milioni di dollari di apparecchiature Huawei che ora dovranno essere rimosse dalle loro reti con enormi spese”, ha affermato il parlamentare conservatore Raquel Dancho in una dichiarazione riportata dal Toronto Sun. La vicenda non peserà positivamente sui conti Huawei come abbiamo già visto nel caso del Ban dagli Stati Uniti. Vedremo se la vicenda finisce qui o se si uniranno ulteriori paesi a questa esclusione tecnologica con inevitabili ripercussioni sui rapporti tra gli Stati coinvolti.
-
Editoriali2 settimane fa
Se vi dicessi che nei riguardi di Orsini è in essere uno stupro di gruppo?
-
Inchieste2 settimane fa
KillNet ed il suo battaglione Legion ostile alla NATO. Intervista esclusiva agli hacker russi che hanno colpito l’Italia
-
Inchieste2 settimane fa
Un “cyborg” dentro Azovstal: la propaganda occidentale elogia Terminator Azov
-
Inchieste2 settimane fa
Non solo Huggy Wuggy: genitori attenzione a Phasmofobia
-
Editoriali2 settimane fa
Killnet e Legion: la nostra intervista ha scoperchiato la cyberpropaganda occidentale
-
Inchieste2 settimane fa
Clubhouse, cresce la tensione: “No a liste di proscrizione e pressioni psicologiche”
-
Inchieste3 settimane fa
Cina attacca militari del Sud Est Asiatico con l’APT OverridePanda
-
DeFi1 settimana fa
Ho perso 500 euro con il crollo di Luna, ma non ho pensato al suicidio