Campagna di Attacco verso Organizzazioni Italiane

 

Proto: N060318.

Con la presente Yoroi desidera informarLa riguardo al rilevamento di una nuova ondata di attacchi volti alla compromissione di organizzazioni italiane: le email malevole intercettate utilizzano apposite tematizzazioni caratterizzate da finte risposte ad ipotetiche conversazioni pregresse di carattere operativo/organizzativo.

I messaggi di posta contengono documenti Office armati di macro auto-eseguibili capaci di scaricare ed installare malware legato alla famiglia Gozi/Ursnif: minaccia in grado fornire accesso all’host infetto, scaricare ulteriore malware, trafugare dati o credenziali ed intercettare digitazioni effettuate su tastiera da parte dell’utente.  Le particolari varianti malware analizzate sfruttano due tipologie di canali di controllo: su rete internet in chiaro e su rete TOR per evadere il rilevamento ove permesso dai sistemi perimetrali.


Figura 1. Apertura del documento malevolo presentato all’utente


Di seguito si riportano gli indicatori di compromissione individuati a seguito delle analisi svolte:

  • Malspam:
    • Mittente:
      • “Alfredo Rota” <direzione@alkaservizi.com>
      • “Info – Hotel Cristina Napoli” <info@hotelcristinanapoli.com>
      • (potrebbero variare, uso di potenziali account compromessi)
    • Oggetto:
      • “Re: R: Turni del 19/03/2018”
      • “Re: Rinnovo Convenzione – Dioniso’s Hotels & Apartments”
      • (potrebbero variare ulteriormente)
    • Allegato:
      • “Richiesta.doc”
      • “<PREFISSO>-Richiesta.doc”
  • Dropurl:
    • 107.152.196[.147
    • dqwodnqwdoajndwqdqwdasd[.com
    • qwdiqjdauqwdnaqudqawd.[com
    • http:// qwdiqjdauqwdnaqudqawd.[com/NOIT/testv.php?l=borter<1-10>.class
  • Componenti:
    • http:// horse-technology.[com/files/alex.bmp
    • http:// horse-technology.[com/files/sofia.bmp
    • http:// lnx.eridanoweb.[com/gestioni/footer.png
    • http:// fioritononi.[it/modules/secure.doc
    • http:// voloweb[.net/assistenze/img/wp-64.png
    • http:// cmxsrl[.it/wp-64.zip
    • http:// onliva[.at/jvassets/rk/docs.rar
    • http:// playmuseek[.com/wp-admin/maint/admin.rar
    • http:// www.experience[.it/imgs/system.exe
  • C2 (TOR):
    • wpxsrrj7nektcxri[.onion
    • nmct3onogb625qut[.onion
    • vxe42hjcu4yjiins.[onion
    • https:// wpxsrrj7nektcxri.[onion/wpdata
    • https:// nmct3onogb625qut.[onion/wpdata
    • https:// vxe42hjcu4yjiins[.onion/wpdata
  • C2:
    • 47.74.247[.229
    • onliva[.at
    • farimon[.at
    • karilor[.at
    • fortares[.su
    • swoqup[.at
    • bukredo[.cn
    • ledal[.at
    • http:// onliva[.at/wpassets
    • http:// fortares[.su/wpassets
    • http:// swoqup.[at/wpassets
    • http:// bukredo[.cn/wpassets
    • http:// ledal.[at/wpassets
  • Hash:
    • e918f6467e8b1b66633b71c45f9999e44e154101f41dda99e9df8cb01f8d10d9 doc
    • 903a6e34b077822108b8dd38a8733636368e2450f8eaae8a5eb939dd5569bfd5 exe
  • Persistenza:
    • “C:Users%USER%AppDataRoamingMicrosoft<NOMEAUTOGENERATO1><NOMEAUTOGENERATO2>.exe”, e.g.
      • “C:Users%USER%AppDataRoamingMicrosoftDot3gpuibdeuroxy.exe”
      • “C:Users%USER%AppDataRoamingMicrosoftBitsdlerAudibrkr.exe”


Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. 
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

 

One thought on “Campagna di Attacco verso Organizzazioni Italiane”

Comments are closed.