L'ANALISI TECNICA

Gamaredon sfrutta le macro di Outlook per attacchi di phishing mirati ai nostri contatti: i dettagli

Gli hacker del gruppo criminale Gamaredon usano le macro di Outlook per diffondere malware ai contatti della vittima mediante attacchi mirati di spear phishing e rubare loro dati riservati. Ecco tutti i dettagli e i consigli per difendersi

12 Giu 2020
L
Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore


I criminal hacker del gruppo APT russo Gamaredon, già famosi per precedenti operazioni di cyber spionaggio, tornano a far parlare di sé grazie a nuovo tool malevolo che sfrutta le macro di Outlook per creare e-mail personalizzate con documenti dannosi e le invia ai contatti della vittima.

In particolare, i ricercatori ESET hanno scoperto, durante le loro indagini sulle campagne dannose, che i criminal hacker utilizzano l’account di posta elettronica di un target precedentemente compromesso per inviare e-mail di spear phishing ai contatti contenuti nella rubrica di Microsoft Office delle vittime designate.

Questi nuovi strumenti utilizzati dal gruppo APT Gamaredon hanno anche la capacità di iniettare macro e modelli malevoli nei documenti di Office esistenti. L’uso di macro di Outlook per una diffusione automatizzata all’interno della rete colpita, come detto dai ricercatori, rappresenta senza dubbio un unicum e una strategia di attacco spear phishing originale.

Le tecniche di attacco dell’APT Gamaredon

Il gruppo APT, attivo almeno dal 2013, ha negli ultimi mesi fatto registrare un aumento delle sue attività, attraverso diverse campagne malspam: gli allegati a queste e-mail non sono altro che documenti con macro che, una volta eseguite, possono scaricare una vasta gamma di varianti malware allo scopo di esfiltrare dati diffondendosi il più velocemente possibile nella rete.

Il gruppo Gamaredon utilizza strumenti semplici e implementati con svariati linguaggi di programmazione (C#, VBScript, file batch, C e C++) per raccogliere informazioni sensibili dai sistemi compromessi, diffondersi ulteriormente e dialogare con centrali di comando e controllo raggiungibili attraverso domini sia gratuiti (con servizi DNS dinamici come hopto.org, ddns.net, myftp.biz) che a pagamento (.fun, .site, .space, .ru, .website) cambiandoli costantemente.

Lo strumento principale negli attacchi via Outlook

Il principale strumento tra quelli scoperti si è rivelato essere un pacchetto che include un progetto Visual Basic, personalizzato per Microsoft Outlook.

Il processo di esecuzione prevede che il pacchetto, prima di avviarsi, termini il processo Outlook se in esecuzione, provvedendo, successivamente, alla modifica di precise chiavi di registro per abbassare i livelli di sicurezza pe l’esecuzione di macro VBA e al salvataggio su disco di un opportuno file di progetto OTM che contiene:

  • una macro;
  • l’allegato e-mail malevolo;
  • e, in alcuni casi, un elenco di destinatari a cui inviare le e-mail, che potrebbero essere contatti diretti contenuti nella rubrica della vittima, contatti all’interno della stessa organizzazione oppure un elenco predefinito di destinazioni.

Il codice VBA implementato si occupa di generare il corpo del messaggio di posta elettronica e di allegare il documento malevolo “contact.docx”.

Altri strumenti: i moduli di iniezione CodeBuilder

DIGITAL EVENT 9 SETTEMBRE
Cyber Security: tra tecnologia e cultura del dato. Ecco cosa fanno i Security People
Legal
Sicurezza

I ricercatori ESET hanno rilevato e analizzato anche altri moduli utilizzati, sempre dallo stesso gruppo, per iniettare macro oppure riferimenti a modelli remoti in documenti già presenti sul sistema compromesso.

Questo modo di procedere risulta molto efficiente per estendere lateralmente la compromissione all’interno della rete locale di un’organizzazione perché tali documenti allestiti non solo potrebbero venire regolarmente condivisi tra colleghi, ma potrebbero essere aperti più volte e in momenti diversi, garantendo così anche una certa persistenza del malware.

A tal proposito, sono state rilevate due versioni del modulo denominato CodeBuilder, rispettivamente implementate in C# e VBScript.

Entrambe le versioni, pur presentando un comportamento simile (i moduli vengono consegnati in archivi autoestraenti), hanno fini diversi:

  • La prima (versione C#), attraverso due file (Word ed Excel) che contengono la macro malevola e un assembly .NET, si occupa di cercare sul sistema i documenti esistenti da compromettere;
Il modulo .NET
L’Assembly .NET si occupa in particolare:
  • di abbassare per i vari tipi di documenti Office le impostazioni di sicurezza macro modificando dei valori nel file di registro:

HKCU/Software/Microsoft/Office/<versione>/<prodotto>/Sicurezza/VBAWarnings

HKCU/Software/Microsoft/Office/<versione>/<prodotto>/Sicurezza/AccessVBOM

  • di eseguire una scansione su tutte le unità collegate al sistema per individuare i documenti con estensioni di file Word o Excel valide;
  • di provvedere a iniettare le macro dannose Word o Excel utilizzando l’oggetto “Microsoft.Office.Interop”, spostando per tale operazione temporaneamente ogni documento individuato nella cartella “AppData” per poi riposizionarlo nella sua cartella originale.
  • La seconda (versione VBScript) si occupa invece, tramite la proprietà VBScript “AttachedTemplate”, di inserire nei documenti determinati riferimenti ad un modello malevolo remoto, piuttosto che iniettare delle macro. In questo caso il pacchetto di archivio autoestraente contiene un file batch e due file VBS allestiti allo scopo.

Sempre durante le loro indagini sull’attività del gruppo Gamaredon, i ricercatori ESET hanno intercettato anche dei campioni malware con funzionalità di downloader e backdoor, che si sono rivelati essere in alcuni casi delle semplici varianti aggiornate di pacchetti già noti e in altri dei moduli riscritti ex novo.

Come proteggersi dagli attacchi dell’APT Gamaredon

Così come accade con il phishing, proprio perché viene sempre sfruttato lo stesso punto debole ovvero l’essere umano, il primo baluardo di sicurezza ad essere più facilmente espugnato, anche in questo caso le truffe che si possono congegnare con questi strumenti potrebbero non insospettire in alcun modo le vittime. Ecco perché l’applicazione di soluzioni di protezione hardware e software da sole non sono sufficienti ma occorre integrarle con adeguate regole comportamentali e di supporto, quali:

  1. creare opportuni protocolli di sicurezza aziendali con canali di comunicazione sicuri;
  2. verificare sempre la legittimità dei mittenti, prestando particolare attenzione ai messaggi con pretese urgenti;
  3. utilizzare sempre per account aziendali e personali password forti e diverse per ogni tipo di account;
  4. mantenere sempre aggiornati applicazioni e sistemi antivirus;
  5. utilizzare quando possibile l’autenticazione a due fattori.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4