Campagna di Attacco WormCryptoMiner
09/25/2017
Con la presente Yoroi desidera informarLa riguardo al recente rilevamento di una pericolosa campagna di attacco mirata alla propagazione di malware di tipologia WormCryptoMiner. Le investigazioni intraprese hanno ricondotto la minaccia all’ambito Cyber-Crime con motivazioni finanziarie, i campioni analizzati hanno riportato evidenza di tecniche di propagazione automatica basate su exploit di rete per sistemi Microsoft e tecniche di esecuzione remota basate sulla tecnologia WMI (Windows Management Instrumentation).
In dettaglio, i campioni analizzati mirano a sfruttare le risorse degli host infetti al fine di minare crypto-valuta “Monero” ed utilizzano codice reperibile in strumenti di sicurezza open-source per propagarsi orizzontalmente all'interno delle reti locali. La struttura dell’impianto malware suggerisce una separazione a due livelli dove è presente un primo livello di framework PowerShell in grado di fornire funzionalità di propagazione, persistenza ed evasione da antivirus, mentre il secondo in VBScript finalizzato all'esecuzione del Miner per crypto-valuta “Monero”.
A seguito delle analisi intraprese sono state identificate le principali caratteristiche della minaccia, ovvero:
- Uso di tecniche di propagazione laterale verso le reti di appartenenza di host infetti e gli host ad esso collegati attraverso l’utilizzo di credenziali ed hash presenti all'interno della vittima tramite interfaccia WMI e lo sfruttamento di exploit Eternal Blue (MS17_010)
- Uso di tecniche di persistenza in grado di evadere controlli antivirus attraverso l’uso di blob binari, file e dipendenze all’interno di oggetti WMI
- Utilizzo di funzionalità di post-exploitation reperite da strumenti di sicurezza open-source scritti in linguaggio Powershell
- Utilizzo di codice script Powershell e VBScript offuscati
- Uso di miner Monero basato sul progetto open-source Xmrig
Figura 1. Codice de-offuscato relativo alla propagazione laterale
Figura 2. Codice de-offuscato relativo all'installazione del miner
Di seguito si riportano gli indicatori di compromissione associati alla minaccia:
- Malware Distribution
- hxxp:// 118.184[.48.]95:8000/
- 118.184[.48.]95 CNISP-CN CN
- Hash
- f9716daf35926d9091719158fd737cce62be80c0393bd0e19572194a1b0532db y1 bat (launcher/dropper)
- 10ad4969ccabd8e5a2d205a4048bd548cbd22d32a8e2b8216954ae916c8a9e9b info6.ps1 (powershell worm, encoded)
- 3f287e29bcb10b200439626d97dd49521816c8dc847797f5acc7ebfe25b4efc4 info3.ps1 (powershell worm, encoded)
- 2c3351d6664f59e94dca0408d94ebf2c9ad02211178c798f8e338a223b414e1f info.vbs (miner launcher, encoded)
- b5ee37e17cde4c14b4ed1eb5d9a024dc7ef5b9f4db7e9c2a2c6eb10c5ad2356d funs32 (powershell dependencies, encoded)
- f130e78f638dfa64a846f0043f044a5b420aba4dca6f342e29b3d3ac3ee03116 mimi32 (mimikatz dll, encoded)
- 038d4ef30a0bfebe3bfd48a5b6fed1b47d1e9b2ed737e8ca0447d6b1848ce309 taskservice.exe (monero miner)
- Wallet Monero
- 46CJt5F7qiJiNhAFnSPN1G7BMTftxtpikUjt8QXRFwFH2c3e1h6QdJA5dFYpTXK27dEL9RN3H2vLc6eG2wGahxpBK5zmCuE
- File
- %TEMP%taskservice.exe
- %TEMP%y1.bat
- %WINDIR%11.vbs
- %WINDIR%info.vbs
- Oggetti WMI
- “winmgmts:rootdefault:Win32_TaskService"
- “winmgmts:rootdefault:Win32_TaskService.zlib"
- “winmgmts:rootdefault:Win32_TaskService.mimi"
- “winmgmts:rootdefault:Win32_TaskService.mon"
- “winmgmts:rootdefault:Win32_TaskService.vcp"
- “winmgmts:rootdefault:Win32_TaskService.vcr"
- “winmgmts:rootdefault:Win32_TaskService.funs"
- “winmgmts:rootdefault:Win32_TaskService.sc"
- “winmgmts:rootdefault:Win32_TaskService.ipsuc"
- “winmgmts:rootdefault:Win32_TaskService.ip17"
Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber".
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index
