Pericolosa Campagna di Attacco TrickBot

Proto: N050719.

Con la presente Yoroi desidera informarLa riguardo ad una pericolosa campagna di attacco ai danni di Aziende ed Enti italiani. I messaggi di posta recapitati dai cyber-criminali simulano comunicazioni di vario tipo esplicitamente preparate per ingannare uffici e personale amministrativo. All’interno delle email sono presenti link volti allo scaricamento di archivi compressi malevoli: una volta aperto il contenuto dell’archivio, la vittima viene infettata con varianti malware della famiglia Trickbot.

La minaccia Trickbot è utilizzata da gruppi criminali organizzati per veicolare attacchi ransomware mirati di tipo Ryuk (TH-182), similari a quelli registrati nel mese di Giugno 2019 ai danni di importanti Azienda italiane nel settore manifatturiero. Per questa ragione si consiglia di trattare e mitigare tempestivamente i tentativi di attacco in oggetto.

Di seguito si riportano gli indicatori di compromissione a seguito delle analisi condotte:

  • Malspam:
    • LUL DD/2019 e Trattenute sindacali
    • Fattura n. NNNN del 29/07/2019
  • Dropurl (zip)
    • /altxcode[.com/90309_93_00.zip
    • altxcode[.com
    • 117.247.90[.115
  • Dropurl (exe):
    • s://www.penpilot[.net/quarder.php
    • www.penpilot[.net
    • 178.128.30[.161
  • C2 (trickbot ono12):
    • 103[.117[.172[.206:449
    • 103[.117[.232[.198:449
    • 103[.207[.1[.44:449
    • 103[.84[.238[.3:449
    • 107[.173[.42[.177:443
    • 107[.181[.175[.122:443
    • 125[.99[.253[.34:449
    • 131[.0[.142[.120:449
    • 131[.196[.184[.141:449
    • 131[.255[.82[.24:449
    • 138[.121[.24[.78:449
    • 146[.196[.122[.152:449
    • 146[.196[.122[.167:449
    • 164[.132[.138[.134:443
    • 168[.227[.229[.112:449
    • 168[.235[.102[.16:443
    • 177[.103[.240[.149:449
    • 177[.52[.79[.29:449
    • 177[.8[.172[.86:449
    • 180[.250[.197[.188:449
    • 181[.115[.168[.69:449
    • 181[.129[.140[.140:449
    • 181[.129[.49[.98:449
    • 181[.129[.93[.226:449
    • 185[.255[.79[.108:443
    • 186[.183[.199[.114:449
    • 186[.42[.186[.202:449
    • 186[.42[.226[.46:449
    • 187[.58[.56[.26:449
    • 189[.80[.134[.122:449
    • 190[.13[.160[.19:449
    • 190[.154[.203[.218:449
    • 191[.37[.181[.152:449
    • 192[.210[.132[.15:443
    • 195[.123[.213[.186:443
    • 195[.123[.240[.36:443
    • 195[.123[.246[.69:443
    • 195[.161[.114[.131:443
    • 195[.161[.114[.99:443
    • 202[.4[.169[.178:449
    • 212[.80[.217[.89:443
    • 23[.94[.93[.106:443
    • 36[.89[.85[.103:449
    • 45[.237[.240[.178:449
    • 46[.173[.219[.184:443
    • 51[.254[.69[.233:443
    • 82[.118[.22[.87:443

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index