Nuove Attività di Attacco Gootkit

Proto: N020718.

Con la presente Yoroi desidera informarLa relativamente a nuove emergenti attività di attacco legate al gruppo cyber-criminale TH-106 che nelle ultime settimane sta tentando di infettare numerosi host all’interno di organizzazioni private ed enti pubblici italiani. Le modalità di attacco sono similari all’ondata rilevata nella seconda metà di Giugno 2018, descritta all’interno dell early warning N050618, le cui operazioni apparivano terminate il 22 Giugno; tuttavia stiamo oggi registrando un nuovo picco di attacchi che può indicare la ripresa della campagna malevola.

La catena di infezione è originata da email fraudolente contenenti link volti allo scaricamento di ipotetici documenti (e.g. “Nuovo documento 2018.zip”), i quali puntano alle infrastrutture di distribuzione dell’attaccante dove vengono in primis serviti archivi contenenti uno script .js offuscato; una volta eseguito lo script da parte della vittima viene automaticamente scaricata una nuova variante malware del Trojan Gootkit

Yoroi è attivamente impegnata nel tracciamento attivo della minaccia al fine di mitigare la campagna in atto. Di seguito si riportano gli indicatori di compromissione individuati a seguito delle analisi condotte:

  • Dropurl:
    • http:// www.letsdomexico[.com/hgqrnz?etn=11295
    • http:// klmnopq[.com/pagenewex12.php
    • alkhabarpress[.com
    • amaretutti[.com
    • bahrconstruction[.com
    • bcspreli[.com
    • blahhouse[.com
    • connectedscooter[.com
    • darrenstanbridge[.com
    • demonica666[.com
    • emailcharities[.com
    • garmentsupplycompany[.com
    • householdhaircuts[.com
    • icloudunlockexperts[.com
    • ihackradio[.com
    • judisabungayam[.com
    • klmnopq[.com
    • letsdobrazil[.com
    • letsdocolombia[.com
    • letsdogermany[.com
    • letsdomalaysia[.com
    • letsdomexico[.com
    • manycouponcodes[.com
    • maxibuys[.com
    • mdquencydesigns[.com
    • newgooglasses[.com
    • rajatips[.com
    • rebelblade[.com
    • rebelknife[.com
    • siliconplanetbook[.com
    • singproperty[.com
    • spiderblades[.com
    • spiderknife[.com
    • suppliesandpartyfun4every1[.com
    • tradingforexschool[.com
    • winusapowerball[.com
  • C2:
    • reconautodetailing[.com
  • Hash:
    • 0f35a7491c62cbb5b5e403b5c2a79001b30b34b2c6b904f30a476e9550bcaf2f zip
    • 67421dbd4845f18c9dc0e158e0c15d692abbc1316bef4e8b17d62ad28844d3c4 js
    • 567e01ee66d04b2643eb2a78dfba18f974ab1dac7772d9f2008c23509edd1fc5 2_exx

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index