Ondata di Attacchi Trojan/Gootkit

 

Proto: N070718.

 

Con la presente Yoroi desidera informarLa relativamente alla ripresa delle attività di attacco legate all’agente di minaccia TH-106 in ambito cyber-crime, autore di tentativi di infezione malware ai danni di organizzazioni private ed enti pubblici italiani (rif. early warning N020718 e N050618).

Gli attori malevoli stanno in queste ore intensificando le attività di attacco mirate specificatamente al panorama cyber-italiano: le email fraudolente recapitate alle vittime contengono link di scaricamento di archivi compressi “Nuovo1.zip” con script “.js” malevoli al loro interno che, una volta eseguiti dall’utente, scaricano ed installano sul sistema malware della famiglia Trojan/Gootkit.

Le campagne di attacco in corso utilizzano infrastrutture di distribuzione malware caratterizzate da forte dinamicità, basti rimembrare gli oltre 130 nomi a dominio utilizzati dagli attaccanti in meno di due settimane durante le ondate di Giugno 2018. Questa caratteristica rende molto pericolose le email in ingresso in quanto possono evadere i sistemi perimetrali.

Yoroi è attivamente impegnata nel tracciamento attivo della minaccia al fine di mitigare la campagna in atto. Di seguito si riportano gli indicatori di compromissione individuati a seguito delle analisi condotte:

  • Malspam:
    • Documentazione Richiesta del 06/07/18
    • Materiale Richiesto del 13/07/2018
    • Documentazione Richiesta del 14/07/2018
  • Dropurl:
    • /pagefour122.php
      • medansecuritysystem[.com
      • www[.viberspyware[.com
      • www[.myrtlepointlocalnews[.com
      • www[.cooslocalnews[.com
      • www[.tukbike[.com
      • www[.littlebluehouseprod[.com
      • snappyssl[.com
      • www[.stylebychristiana[.com
      • www[.abosarahtravel[.com
      • www[.rrsfinancial[.com
      • www[.colegiodelaconquista[.com
      • www[.365days47years[.com
      • www[.marellengifts[.com
      • www[.rechargedbattery[.com
      • www[.scubadiving4you[.com
      • www[.thedivaofdining[.com
      • www[.gahagandds[.com
      • www[.optimummass[.com
      • pascotees[.com
      • www[.pascotees[.com
      • www[.freezetheframes[.com
  • C2 (gootkit):
    • impulsekarma[.com
  • Hash:
    • 56ff164150015c26603e52922e1d49daa4d92fe50764b02a756efcd4f8e1e9b7 zip
    • c082b1224ef5b586d3409efea3997af036d1f2c7a25dc31c33984fbb8e041430 js
    • c309fe80766ca2587ec810eceba91c1ee810b144fb04216b06f64929c12aabb0 exe


Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index