L'ANALISI TECNICA

Asylum Ambuscade, il phishing a tema Ucraina che prende di mira gli enti governativi europei

È in corso una campagna di phishing ribattezzata Asylum Ambuscade mirata agli enti governativi europei coinvolti nella gestione della logistica dei rifugiati ucraini. Lo scopo è ottenere informazioni di intelligence. Ecco come riconoscere le e-mail malevoli e perché è importante avere consapevolezza delle minacce di questo tipo

07 Mar 2022
L
Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore

Sono stati divulgati i dettagli di una nuova campagna di spear phishing, denominata Asylum Ambuscade, in cui gli attori delle minacce probabilmente sponsorizzati da operatori nation-state starebbero prendendo di mira enti governativi europei coinvolti nella gestione della logistica dei rifugiati in fuga dall’Ucraina per ottenere informazioni di intelligence, utilizzando e-mail provenienti da un account forse compromesso del personale militare ucraino (@ukr[.]net).

La scoperta è stata fatta dai ricercatori Proofpoint e non è un caso che l’annuncio arrivi proprio subito dopo che già il servizio statale per le comunicazioni speciali e la protezione delle informazioni dell’Ucraina (SSSCIP) e il CERT-UA (Computer Emergency Response Team Ucraino) abbiano emesso degli avvisi sulle diffuse campagne di phishing rivolte agli account di posta elettronica privati dei membri delle forze armate ucraine.

Pertanto, quest’ultima campagna rilevata il 24 febbraio 2022 potrebbe rappresentare senz’altro una estensione delle precedenti.

Rapporti CERT-UA di UNC1151

Il contenuto dei messaggi di spear phishing

Il contenuto dei messaggi sarebbe correlato alla riunione di emergenza del Consiglio di Sicurezza della NATO, tenutasi a febbraio e veicolerebbe con un allegato un malware noto come “SunSeed”.

INFOGRAFICA
Le 7 opportunità imperdibili di un ERP di ultima generazione per il Settore Servizi
CRM
Digital Transformation

L’e-mail con oggetto “IN ACCORDANCE WITH THE DECISION OF THE EMERGENCY MEETING OF THE SECURITY COUNCIL OF UKRAINE DATED 24.02.2022” includeva un file XLS con macro intitolato “list of people.xlsx” che è stato appurato in seguito distribuire il malware SunSeed”, si legge nel rapporto Proofpoint.

Asylum Ambuscade: analisi della catena d’infezione

Scritto in Lua, un linguaggio di scripting, SunSeed fungerebbe in realtà, secondo i ricercatori, da downloader per stabilire comunicazioni con un server controllato dall’attaccante ed estrarre il vero carico utile in una fase successiva.

Il malware SunSeed, quando eseguito, emetterebbe infatti richieste GET su http e porta 80 utilizzando un socket Lua (LuaSocket 2.0.2), aggiungendo il numero di serie della partizione C Drive del target infetto alla richiesta URI, forse nel tentativo da parte degli attori di tracciare le vittime infette sulla base di un numero di serie univoco e consentire inoltre agli operatori di selezionare il tipo di carico utile da emettere in seconda battuta.

malware SunSeed Lua

La ricostruzione condotta dagli esperti ha permesso in tal modo di ricostruire la catena d’infezione, il cui incipit è un documento Excel con macro distribuito tramite phishing.

La catena di infezione utilizzata in questa campagna presenterebbe, tra l’altro, anche somiglianze significative con una campagna storica osservata da Proofpoint nel luglio 2021 e collegata al gruppo APT Ghostwriter noto anche come TA445 o UNC1151.

Agguato per l'asilo

Pertanto, l’analisi ha rilevato che il file .XLS allegato all’e-mail conterrebbe una macro VB (“Module1”) che, puntando ad un IP di staging controllato dall’attore della minaccia, consentirebbe di scaricare un pacchetto MSI malevolo (“qwerty_setup.msi”) responsabile dell’installazione di:

  • una serie di Lua dependencies;
  • un interprete Lua per Windows;
  • uno script Lua dannoso “SunSeed” (“print.lua”, 7bf33b494c70bd0a0a865b5fbcee0c58fa9274b8741b03695b45998bcd459328);
  • un file .LNK per l’esecuzione automatica all’avvio di Windows e garantire persistenza (~/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/Software Protection Service.lnk).

In conclusione

Sebbene le tecniche utilizzate in questa campagna non siano particolarmente sofisticate, campagne simili e contestualizzate potrebbero risultare nel lungo termine abbastanza efficaci persino ai fini della disinformazione, una delle tecniche purtroppo in uso anche nell’attuale conflitto ibrido all’interno dello spazio cyber.

I ricercatori valutando che sia molto probabile il ripetersi di attacchi simili contro entità governative nei paesi della NATO, rimarcano che “Essere consapevoli di questa minaccia e rivelarla pubblicamente è fondamentale per coltivare la consapevolezza tra le entità prese di mira”.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4