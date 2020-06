Di Pierguido Iezzi, Co-Founder di Swascan

Non esistono tattiche off-limits per i Criminal Hacker in cerca di credenziali da rubare a quanto pare…

Gli aggressori, sempre alla ricerca di combinazioni di email e password, hanno recentemente preso di mira le organizzazioni del settore dell’industria con operazioni altamente mirate e sofisticate che nascondevano script PowerShell dannosi in innocenti immagini.

La tecnica, che si chiama steganografia, è stata utilizzata in questi attacchi, dove i Criminal Hacker hanno utilizzato servizi di di hosting d’immagini pubblici per eludere gli scanner del traffico di rete e gli strumenti di controllo che segnalavano il download dannoso.

Vittime scelte con cura

Sono state identificate vittime in diversi Paesi (Giappone, Regno Unito, Germania e anche in Italia), in particolare tra le aziende che si occupano di fornire attrezzature e software al manifatturiero.

Gli attacchi sono iniziati con un’e-mail di phishing contenente un documento di Microsoft Office con codice macro maligno il cui ruolo è quello di decifrare ed eseguire un primo script PowerShell.

Queste mail sono state create con cura: si sono adattate alla diversità geografica dei destinatari creando messaggi e documenti nella lingua specifica di ogni vittima, con il malware svolgeva i suoi compiti solo su sistemi che corrispondevano alla localizzazione dell’e-mail.

Diversi parametri consentono l’esecuzione dello script in una finestra nascosta (-WindowStyle Hidden) indipendentemente dalla policy configurata (-ExecutionPolicy Bypass) e senza caricare la configurazione dell’utente (-NoProfile).

Lo scopo di questo primo script PowerShell è quello di scaricare un’immagine da indirizzi selezionati a caso sui servizi di hosting Imgur o Imgbox e iniziare ad estrarre il payload.

Il malware nascosto nell’immagine è codificato con Base64, criptato con RSA, e codificato ancora una volta usando Base64. Un errore deliberato nello script genera un messaggio di eccezione che è la chiave di decrittazione.

I ricercatori della sicurezza di Kaspersky ICS CERT che hanno analizzato questi attacchi hanno visto che il messaggio di eccezione dipende anche dal linguaggio del sistema operativo di destinazione.

I dati nascosti nelle immagini decifrano un secondo script PowerShell che decodifica ulteriormente alcuni dei suoi contenuti, che rivelano un esempio di applicazione open-source Mimikatz per ottenere le credenziali di accesso su Windows.

L’utilizzo della steganografia e dei servizi di hosting di immagini permettono al Criminal Hacker di “far passare” il suo malware senza che questo venga rilevato dalle misure di sicurezza.

Perché colpire i fornitori?

È curioso e al contempo preoccupante che tra le vittime di un attacco vi siano una serie di fornitori di imprese del comparto dell’industria.

Se gli aggressori sono in grado di raccogliere le credenziali dei dipendenti di un’organizzazione appaltatrice, ciò può portare a una serie di conseguenze negative, dal furto di dati sensibili agli attacchi ransomware tramite strumenti di amministrazione remota.

Insomma, un vero e proprio effetto a cascata lungo tutta la Supply Chain…

Per evitare questi attacchi si parte dal blocco dell’accesso iniziale. Il phishing è il metodo più comune per far entrare il malware nella rete di un bersaglio. Difendersi dal vettore di attacco addestrando i dipendenti a individuare i messaggi sospetti è un buon passo avanti verso una migliore posizione di sicurezza.

Anche lo stesso codice macro è disabilitato di default nei documenti di Microsoft Office proprio per prevenire le infezioni da malware e PowerShell viene regolarmente utilizzato dai Criminal Hacker per eseguire comandi per il recupero e l’esecuzione dei payload; limitarlo quando possibile non fa altro che rafforzare le difese.

Alcune best practice per tenere al minimo il livello di rischio potenziale: