Campagna di Attacco verso Organizzazioni Italiane (ZeuS/Panda)

 

Proto: N030917.

Con la presente Yoroi desidera informarLa riguardo ad una campagna di attacco in corso in questi giorni ai danni di varie Organizzazioni italiane. Sono state rilevate ondate di email fraudolente contenenti allegati malevoli in grado di infettare e trafugare informazioni dagli host vittima dell’attacco. Le email malevole rilevate sono caratterizzate da:

  • Oggetto:
    • “Invio FATTURA”
    • “I: Ordine n. NNN del 07/09/2017”
    • “fatt n. NNN del 07/09/2017”
    • “Invio Fattura n. NNN del 07/09/2017”
  • Allegati:
    • NNN.FATTURA.xls
    • Fattura(saldo) NNNNN.xls
    • Fatt_saldo_NNNN.xls
  • Mittenti:
    • vari, ad esempio provenienti da account appartenenti a domini @alice.it, @aliceposta.it, @eqnbg.191.it, @fastwebnet.it, @hotmail.it, @inwind.it, @legalmail.it, @libero.it, @outlook.it, @rpxvz.191.it, @tim.it, @tiscali.it, @virgilio.it, @yahoo.it, @yajsg.191.it

A seguito delle analisi internamente svolte da Yoroi è emerso che i documenti Excel allegati hanno la capacità di scaricare ed eseguire una variante malware della famiglia ZeuS/Panda, il quale è in grado di installarsi e nascondersi nel sistema, registrare ed esfiltrare ogni tasto digitato dalla vittima all’interno del sistema (keylogger),  garantire accesso remoto e visibilità della rete interna all’attaccante (backdoor vnc/socks). Oltre a tali funzionalità sono state rilevate particolari configurazioni del malware mirate ad Organizzazioni italiane in ambito finanziario.


zeus_panda_moduli.png
Figura 1. Moduli caricati dal campione della minaccia analizzato (ZeuS/Panda)


A seguito delle analisi interne sui campioni individuati si riportano gli indicatori relativi all’ondata di attacco:

  • DropUrl:
    • hxxp:// 34tfg4th .date /fmouse.exe
    • File Hash:
    • c8d74018ed335b0b85adf8db9be68275748cb494
    • 51015508b7135a51979fbc2d7290ce860c0fe21b
    • 5ba75eebf42fd3bc929c956a50abeee6f16b6178
    • 20ea640a8244664543de0168187e8a2ebf3a3ddf
  • C2:
    • E3113EAF8798 .bid
    • 569311CDA810 .faith
    • 47. 88.51 .250
    • 47. 89.251 .67
    • hxxps ://E3113EAF8798 .bid /1u49/Z0JdPPo7rHM/1F1/wxIh3av/w
    • hxxps ://E3113EAF8798 .bid /0ubf/ZkILY_s7-iw0FwpuIx2M4A
  • Path e Reg:
    • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
    • chiave con nome “Windows Explorer” (o variante)
    • HKEY_CURRENT_USERSoftwareMicrosoft<RANDOM-LUNGHEZZA-5/6>
    • Contenenti chiavi con nome casuale e valore binario
    • C:Usersj.seanceAppDataRoamingAdobeFlash PlayerAssetCache
    • “C:Usersj.seanceAppDataRoamingAdobeFlash PlayerAssetCacheWindows Explorer.exe”

Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”.
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index