Campagna di Attacco verso Organizzazioni Italiane

Con la presente Yoroi desidera informarLa riguardo al rilevamento di una nuova ondata di attacchi volti alla compromissione di organizzazioni italiane: le email malevole intercettate utilizzano apposite tematizzazioni caratterizzate da finte risposte ad ipotetiche conversazioni pregresse di carattere operativo/organizzativo.

I messaggi di posta contengono documenti Office armati di macro auto-eseguibili capaci di scaricare ed installare malware legato alla famiglia Gozi/Ursnif: minaccia in grado fornire accesso all’host infetto, scaricare ulteriore malware, trafugare dati o credenziali ed intercettare digitazioni effettuate su tastiera da parte dell’utente.  Le particolari varianti malware analizzate sfruttano due tipologie di canali di controllo: su rete internet in chiaro e su rete TOR per evadere il rilevamento ove permesso dai sistemi perimetrali.

Figura 1. Apertura del documento malevolo presentato all'utente

Di seguito si riportano gli indicatori di compromissione individuati a seguito delle analisi svolte:

• Malspam:
  • Mittente:
    • "Alfredo Rota" <[email protected]>
    • "Info - Hotel Cristina Napoli" <[email protected]>
    • (potrebbero variare, uso di potenziali account compromessi)
  • Oggetto:
    • “Re: R: Turni del 19/03/2018”
    • “Re: Rinnovo Convenzione - Dioniso's Hotels & Apartments”
    • (potrebbero variare ulteriormente)
  • Allegato:
    • “Richiesta.doc”
    • “<PREFISSO>-Richiesta.doc”
• Dropurl:
  • 107.152.196[.147
  • dqwodnqwdoajndwqdqwdasd[.com
  • qwdiqjdauqwdnaqudqawd.[com
  • http:// qwdiqjdauqwdnaqudqawd.[com/NOIT/testv.php?l=borter<1-10>.class
• Componenti:
  • http:// horse-technology.[com/files/alex.bmp
  • http:// horse-technology.[com/files/sofia.bmp
  • http:// lnx.eridanoweb.[com/gestioni/footer.png
  • http:// fioritononi.[it/modules/secure.doc
  • http:// voloweb[.net/assistenze/img/wp-64.png
  • http:// cmxsrl[.it/wp-64.zip
  • http:// onliva[.at/jvassets/rk/docs.rar
  • http:// playmuseek[.com/wp-admin/maint/admin.rar
  • http:// http://www.experience[.it/imgs/system.exe
• C2 (TOR):
  • wpxsrrj7nektcxri[.onion
  • nmct3onogb625qut[.onion
  • vxe42hjcu4yjiins.[onion
  • https:// wpxsrrj7nektcxri.[onion/wpdata
  • https:// nmct3onogb625qut.[onion/wpdata
  • https:// vxe42hjcu4yjiins[.onion/wpdata
• C2:
  • 47.74.247[.229
  • onliva[.at
  • farimon[.at
  • karilor[.at
  • fortares[.su
  • swoqup[.at
  • bukredo[.cn
  • ledal[.at
  • http:// onliva[.at/wpassets
  • http:// fortares[.su/wpassets
  • http:// swoqup.[at/wpassets
  • http:// bukredo[.cn/wpassets
  • http:// ledal.[at/wpassets
• Hash:
  • e918f6467e8b1b66633b71c45f9999e44e154101f41dda99e9df8cb01f8d10d9 doc
  • 903a6e34b077822108b8dd38a8733636368e2450f8eaae8a5eb939dd5569bfd5 exe
• Persistenza:
  • “C:Users%USER%AppDataRoamingMicrosoft<NOMEAUTOGENERATO1><NOMEAUTOGENERATO2>.exe”, e.g.
    • “C:Users%USER%AppDataRoamingMicrosoftDot3gpuibdeuroxy.exe”
    • “C:Users%USER%AppDataRoamingMicrosoftBitsdlerAudibrkr.exe”

Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber". 
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index