Compromissione Supply-Chain CCleaner 

 

Proto: N050917.

Con la presente Yoroi desidera informarLa riguardo alla recente scoperta di un campagna di attacco mirata alla Supply-Chain del software CCleaner, nota utility di pulizia per sistemi Windows prodotta da Piriform. Il cyber-attacco ha compromesso l’integrità della catena di distribuzione dei prodotti CCleaner e CCleaner Cloud, inserendo all’interno di specifiche versioni software codice malevolo in grado di mettere in esecuzione backdoor all’interno degli host vittima.

A seguito di anomalie riscontrate il 12 Settembre 2017, il Produttore ha confermato la compromissione rilevando manomissioni all’interno delle versioni 5.33.6162 di CCleaner e 1.07.3191 di CCleaner Cloud pubblicate a partire dal 15 Agosto 2017.

Analisi svolte da terze parti hanno permesso l’identificazione ed il blocco dei server di comando in uso dalle versioni del software munite di backdoor, pertanto le informazioni ad oggi disponibili indicano un contenimento della minaccia. Ciò nonostante Yoroi consiglia caldamente di aggiornare i software coinvolti dalla compromissione qualora in uso nel parco macchine della Vostra Organizzazione.

Yoroi ha provveduto ad integrare le informazioni all’interno dei motori dei Threat Intelligence al fine di rilevare e bloccare eventuali attività malevole legate alla minaccia. Di seguito si riportano gli indicatori di compromissione noti:

  • Hash:
    • 6f7840c77f99049d788155c1351e1560b62b8ad18ad0e9adda8218b9f432f0a9
    • 1a4a5123d7b2c534cb3e3168f7032cf9ebf38b9a2a97226d0fdb7933cf6030ff
    • 36b36ee9515e0a60629d2c722b006b33e543dce1c8c2611053e0651a0bfdb2e9
  • C2:
    • ab6d54340c1a[.]com
    • aba9a949bc1d[.]com
    • ab2da3d400c20[.]com
    • ab3520430c23[.]com
    • ab1c403220c27[.]com
    • ab1abad1d0c2a[.]com
    • ab8cee60c2d[.]com
    • ab1145b758c30[.]com
    • ab890e964c34[.]com
    • ab3d685a0c37[.]com
    • ab70a139cc3a[.]com
    • 216[.]126[.]225[.]148 , traffico HTTPS con header http fittizio “Host: speccy.piriform .com”


Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”.
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index