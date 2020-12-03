Protezione Operazioni di business

IBM scopre una campagna globale di phishing che prende di mira la catena del freddo del vaccino contro il COVID-19.

Il medico preleva il vaccino dalla fiala

Autore

Claire Zaboeva

Senior Strategic Cyber Threat Analyst

IBM

Melissa Frydrych-Dean

Threat Hunt Researcher

IBM

All'inizio della pandemia di COVID-19, IBM Security X-Force ha creato una task force di threat intelligence dedicata a individuare le minacce informatiche contro le organizzazioni che mantengono in movimento la supply chain dei vaccini. Come parte di questi sforzi, il nostro team ha recentemente scoperto una campagna globale di phishing rivolta a organizzazioni associate a una catena del freddo del COVID-19. La catena del freddo è una componente della supply chain dei vaccini che garantisce la conservazione sicura dei vaccini in ambienti a temperatura controllata durante lo stoccaggio e il trasporto.

La nostra analisi indica che questa operazione calcolata è iniziata a settembre 2020. La campagna di phishing legata al COVID-19 si è estesa a sei paesi e ha preso di mira organizzazioni probabilmente associate al programma Cold Chain Equipment Optimization Platform (CCEOP) di Gavi, The Vaccine Alliance, che approfondiamo in questo blog. Sebbene non sia stata possibile un'attribuzione certa di questa campagna, il targeting preciso di dirigenti e organizzazioni globali chiave presenta potenziali caratteristiche di operazioni condotte da stati-nazione.

Alcuni dettagli dell'analisi di IBM Security X-Force su questa attività includono:

  • La storia di copertura: l'avversario si è spacciato per un dirigente aziendale della Haier Biomedical, una società membro credibile e legittima della supply chain dei vaccini contro il COVID-19 e fornitore qualificato per il programma CCEOP. L'azienda è presumibilmente l'unico fornitore di catena del freddo completa al mondo. Fingendosi questo dipendente, l'avversario ha inviato e-mail di phishing a organizzazioni ritenute fornitori di supporto materiale per soddisfare le esigenze di trasporto all'interno della catena del freddo legata al COVID-19. Valutiamo che lo scopo di questa campagna di phishing legata al COVID-19 possa essere stato quello di raccogliere credenziali, possibilmente per ottenere futuri accessi non autorizzati alle reti aziendali e a informazioni sensibili relative alla distribuzione del vaccino contro il COVID-19.
  • Gli obiettivi: gli obiettivi includevano la Direzione Generale Fiscalità e Unione Doganale della Commissione Europea, oltre ad organizzazioni nei settori dell'energia, della produzione, della creazione di siti web e delle soluzioni per la sicurezza informatica e Internet. Si tratta di organizzazioni globali con sede in Germania, Italia, Corea del Sud, Repubblica Ceca, Europa e Taiwan.
  • Il come: sono state inviate e-mail di spear-phishing a dirigenti selezionati in posizioni di vendita, procurement, tecnologia e finanza, probabilmente coinvolti negli sforzi dell'azienda per sostenere la catena del freddo dei vaccini. Abbiamo anche identificato casi in cui questa attività si è estesa a tutta l'organizzazione, includendo le pagine di aiuto e supporto di organizzazioni mirate.

IBM Security X-Force ha seguito protocolli di divulgazione responsabili e ha notificato le entità e le autorità competenti riguardo a questa operazione mirata.

Newsletter di settore

Le ultime notizie nel campo della tecnologia, supportate dalle analisi degli esperti

Resta al passo con le tendenze più importanti e interessanti del settore relative ad AI, automazione, dati e oltre con la newsletter Think. Leggi l' Informativa sulla privacy IBM.

Grazie per aver effettuato l'iscrizione!

L'abbonamento sarà fornito in lingua inglese. Troverai un link per annullare l'iscrizione in tutte le newsletter. Puoi gestire i tuoi abbonamenti o annullarli qui. Per ulteriori informazioni, consulta l'Informativa sulla privacy IBM.

Allerta per la supply chain del COVID-19

IBM Security X-Force esorta le aziende della supply chain del COVID-19 (dalla ricerca, alla erogazione sanitaria fino alla distribuzione di un vaccino) a essere vigili e a rimanere in massima allerta in questo periodo. I governi hanno già avvertito che entità straniere probabilmente tenteranno di condurre spionaggio informatico per rubare informazioni sui vaccini. Oggi, in concomitanza con questo blog, DHS CISA sta emettendo un avviso che invita le organizzazioni coinvolte nello stoccaggio e trasporto di vaccini a esaminare questa ricerca e le best practice raccomandate per mantenere alta la vigilanza.

Spoofing calcolato per compromettere la catena del freddo legata al COVID-19

IBM Security X-Force ha scoperto obiettivi provenienti da molteplici settori, governi e partner globali che supportano il programma CCEOP. Il CCEOP è stato lanciato da Gavi, The Vaccine Alliance insieme al Fondo delle Nazioni Unite per l'Infanzia (UNICEF) e altri partner nel 2015. Il suo obiettivo è quello di rafforzare le supply chain dei vaccini, ottimizzare l'equità dell'immunizzazione e garantire una risposta medica agile alle epidemie di malattie infettive. Diverse classi di farmaci, e in particolare i vaccini, richiedono stoccaggio e trasporto in ambienti a temperatura controllata per garantirne la conservazione sicura.

L'iniziativa CCEOP sta naturalmente accelerando gli sforzi per facilitare la distribuzione di un vaccino contro il COVID-19. Una violazione all'interno di qualsiasi parte di questa alleanza globale potrebbe portare all'esposizione di numerosi ambienti informatici partner in tutto il mondo.

Le e-mail di phishing falsificate sembrano provenire da un dirigente aziendale di Haier Biomedical, una società cinese che attualmente funge da fornitore qualificato per il programma CCEOP, in coordinamento con l'Organizzazione Mondiale della Sanità (OMS), l'UNICEF e altre agenzie delle Nazioni Unite. È molto probabile che l'avversario abbia scelto strategicamente di impersonare Haier Biomedical perché si sostiene che sia l'unico fornitore di catena del freddo completa al mondo. Allo stesso modo, il dipendente di Haier Biomedical che si suppone invii queste e-mail sarebbe probabilmente associato alle operazioni di distribuzione della catena del freddo di Haier Biomedical in base al suo ruolo, elencato nel blocco della firma e-mail.

Dalla nostra analisi non è chiaro se la campagna di phishing COVID-19 abbia avuto successo. Tuttavia, il ruolo consolidato che Haier Biomedical attualmente svolge nel trasporto dei vaccini, e il loro probabile ruolo nella distribuzione dei vaccini contro il COVID-19, aumenta la probabilità che gli obiettivi previsti possano interagire con le e-mail in arrivo senza mettere in discussione l'autenticità del mittente.

Mixture of Experts | 12 dicembre, episodio 85

Decoding AI: Weekly News Roundup

Unisciti al nostro gruppo di livello mondiale di ingegneri, ricercatori, leader di prodotto e molti altri mentre si fanno strada nell'enorme quantità di informazioni sull'AI per darti le ultime notizie e gli ultimi insight sull'argomento.
Guarda tutti gli episodi di Mixture of Experts

Raccolta di credenziali per un accesso più ampio

L'oggetto delle e-mail di phishing si presentava come richieste di preventivo (RFQ) relative al programma CCEOP. Le e-mail contengono allegati HTML dannosi che si aprono localmente, invitando i destinatari a inserire le proprie credenziali per visualizzare il file. Questa tecnica di phishing aiuta gli aggressori a evitare di creare pagine di phishing online che possono essere scoperte e rimosse dai team di ricerca sulla sicurezza e dalle forze dell'ordine.

Valutiamo che lo scopo di questa campagna possa essere stato quello di raccogliere credenziali per ottenere futuri accessi non autorizzati. Da lì, l'avversario potrebbe ottenere insight sulle comunicazioni interne, nonché sul processo, i metodi e i piani per distribuire un vaccino contro il COVID-19. Sono incluse informazioni riguardanti le infrastrutture che i governi intendono utilizzare per distribuire un vaccino ai fornitori che lo forniranno. Tuttavia, oltre alle informazioni critiche relative al vaccino COVID-19, l'accesso dell'avversario potrebbe estendersi più a fondo negli ambienti delle vittime. Muovendosi lateralmente attraverso le reti e rimanendo nascosto, potrebbe condurre attività di cyber spionaggio e raccogliere ulteriori informazioni riservate per operazioni future.

Schermata di un e-mail di phishing inviata a dirigenti di organizzazioni legate alla supply chain del vaccino COVID-19.

Figura 1: E-mail di phishing inviata ai dirigenti di organizzazioni relative alla supply chain del vaccino COVID-19.

Targeting globale

Data la specializzazione e la distribuzione globale delle organizzazioni prese di mira in questa campagna, è molto probabile che l'avversario sia intimamente consapevole dei componenti critici e dei partecipanti alla catena del freddo.

  • Direzione Generale Fiscalità e Unione Doganale della Commissione Europea: la Direzione Generale è responsabile della promozione della cooperazione in materia doganale e fiscale in tutta l'UE. Mantiene legami diretti con diverse reti di governo nazionali ed è associata al commercio e alla regolamentazione. Prendere di mira questa entità potrebbe rappresentare un unico punto di compromissione, influenzando molteplici obiettivi di alto valore nei 27 stati membri dell'Unione Europea e oltre.
  • Settore energetico: gli obiettivi di spear phishing includevano aziende impegnate nella produzione di pannelli solari. Uno dei modi in cui i vaccini vengono mantenuti freddi nei paesi in cui non è possibile avere un'alimentazione affidabile è l'utilizzo di frigoriferi per vaccini alimentati da pannelli solari. Una compromissione di tali tecnologie potrebbe comportare il furto di proprietà intellettuale o il furto e la vendita di container sui mercati neri di tutto il mondo. Il targeting includeva anche aziende associate ai petrolchimici. Tra i componenti chiave della catena del freddo vi è l'uso del ghiaccio secco, che è un sottoprodotto della produzione petrolifera.
  • Settore IT: tra gli obiettivi c'erano un'azienda sudcoreana di sviluppo software e un'azienda tedesca di sviluppo di siti web. Quest'ultima supporta diversi clienti associati ai produttori farmaceutici, al trasporto di container, alla biotecnologia e ai produttori di componenti elettrici che consentono la navigazione e le comunicazioni marittime, terrestri e aeree.

Chi c'è probabilmente dietro questi attacchi?

Sebbene l'attribuzione sia attualmente sconosciuta, la precisione del targeting e la natura delle specifiche organizzazioni prese di mira indicano potenzialmente l'attività di uno stato-nazione. Senza una chiara possibilità di monetizzazione, i criminali informatici difficilmente investiranno il tempo e le risorse necessari per portare avanti un'operazione così calcolata con così tanti obiettivi interconnessi e distribuiti a livello globale. Allo stesso modo, l'insight sul trasporto di un vaccino può rappresentare una materia prima di tendenza sul mercato nero, tuttavia, un insight avanzato sull'acquisto e sulla circolazione di un vaccino che può avere un impatto sulla vita e sull'economia globale è probabilmente un obiettivo nazionale di alto valore e ad alta priorità.

All'inizio del 2020, IBM Security X-Force ha scoperto attività relative al targeting di una supply chain globale di DPI per il COVID-19. Allo stesso modo, mentre la competizione globale si fa serrata per un vaccino, è altamente probabile che la catena del freddo rappresenti un obiettivo rilevante e sia in cima alle liste delle priorità nazionali di raccolta dati a livello mondiale.

Raccomandazioni ai difensori

IBM Security X-Force è pronta ad ospitare la comunità della supply chain del COVID-19 sulla nostra piattaforma Enterprise Intelligence Management, dove potranno condividere informazioni sulle minacce e agire in base alle più recenti threat intelligence. Di seguito sono riportate le raccomandazioni per le organizzazioni che vogliono aumentare la loro preparazione informatica nel contesto degli sviluppi delineati in questo blog:

  • Creare e testare piani di risposta agli incidenti per rafforzare la prontezza dell'organizzazione a rispondere in caso di attacco.
  • Condividere e acquisire threat intelligence. Le iniziative e le partnership di condivisione delle minacce sono essenziali per rimanere aggiornati sulle ultime minacce e tattiche che hanno un impatto sul proprio settore. IBM Security X-Force ha fornito queste informazioni di threat intelligence all'enclave di condivisione delle minacce legate al COVID-19. All'inizio della pandemia, IBM ha reso questa enclave liberamente accessibile a qualsiasi organizzazione che necessitasse di più attenzione alle minacce informatiche.
  • Valutare il proprio ecosistema di terze parti e i potenziali rischi introdotti dai partner terzi. Assicurarsi di disporre di solidi standard di monitoraggio, controllo degli accessi e sicurezza che i partner terzi devono rispettare.
  • Applicare un approccio zero-trust alla propria strategia di sicurezza. Con la continua espansione degli ambienti, la gestione dei privilegi di accesso diventa fondamentale per garantire che gli utenti accedano solo ai dati essenziali per il loro lavoro.
  • Usare l'autenticazione a più fattori (MFA) nell'organizzazione. L'MFA funziona come un sistema di sicurezza in caso di accesso alle credenziali da parte di un malintenzionato. Come ultima linea di difesa, l'MFA offre una seconda forma di verifica per accedere a un account.
  • Svolgere regolarmente corsi educativi sulla sicurezza delle e-mail affinché i dipendenti restino vigili sulle tattiche di phishing e conoscano le best practice di sicurezza delle e-mail.
  • Utilizzare gli strumenti di protezione e risposta degli endpoint per rilevare più rapidamente e impedire che le minacce si diffondano nell'organizzazione.

Se la tua organizzazione necessita di assistenza immediata per la risposta agli incidenti, contatta la linea diretta statunitense di IBM Security X-Force al numero 1-888-241-9812 | Linea diretta globale (+001) 312-212-8034 Scopri di più sui servizi di threat intelligence e risposta agli incidenti di X-Force.

Indicatori di compromissione (IOC)

File HTML dannosi: RFQ – UNICEF CCEOP e progetto vaccini – Copia (#).html

Hash SHA256
d32b4793e4d99bb2f9d4961a52aee44bbdba223699075ed40f6a6081e9f1e6b4
ace86e8f5d031968d0c9319081a69fa66ce798e25ec6bbd23720ee570651aa04
7f53eca4a3e083ad28c8d02862bc84c00c3c73a9d8b7082b7995f150713d4c51
e3de643f3acebf1696a2b275f4ab1d0bacb5a8ba466ee8edbaaffaaa44cd2f10
a8c42db5ccddbde5b17ce3545189329a33acfdd4a8b9aff0c7e4294709b60af6
07dbe854a34e61349adcc97dd3e2eb5a9158e02568bae3e2aae3859aeeb5b8a9
7898d4596b6125129698866dbfa1a71d069aee3fd84ecb43343c3bf377a7abe2
7fc47e4fdce42b032b8ad0438cb5c76ed42a36d8c6a3e16d42dd0b69f49f33bd
83f8934fadccbaaa8119cd542382fbb9b97dfd196ef787b746ccaaf11f1d444e
6126052b0b200e04ce83a3fa470efee6ba82882674ebcc46c326b0a6c7fbfab4
75768be2e98b8010256f519a19a2a47d8983686389b2eeab300aca063b229be5
b98984a7bf669518b074ef1c8fc4240e4ad6f4a2ccc80a7940a0b56150809e37
33c44f32de3153d7705371c4a0c8d695a4e4eb22b4c4f2f3bda519631efb09af
a90056d8d0853f54dec3c8738fbcea6185f87aae6102cff2c0e1def49ccde977
68f4e8b58367ae1d0f8c392b43f459b1d942faf979953233a104cd74944b88f4
0ec6a1a0b353c672307220fe69ca4c3be6e516505e1f16b5bb8f3b55adaa0c0e
61e7f48f41414d3c945b7317023ca27e5d3f011b0a2e16354641748cc0f9df8e
0ac984f340a2903228b17e28c3a0f4507f5fc780bfe6505f196d2b92feccfab8
9143c2499a1cb2fb4e86ba6f9552f752358d8c8b635376aa619305431a3eec50
49468e2cbaab71a1035f45ef1d4a7cd791e2d5c2bbbfc9d29249d64f40be9aa4
8dc052382d626a2b1fb9181bdc276858386098e1919276c682a0a2b397dab80b
61bae857955c5cabf20119a918a0ebd83cbe9a34ebc6ee628144d225ab0867df
93643badb18f8dccba1eae3d0a44e8a91d4646cb4d1d4b61e234bf7edc58969c
c22ec0725f45221e477c9966a32b8faadd3e320c278043e57252903be89664cc
d5cd18bd27b7525d5e240d5dca555844ec721f8f4be224b91c047b827b7e5529
3e6b7d3055b50c2fd65231d1f757e3f0a6a1dbd803601d2e4223ace4d2bc1198
d32b4793e4d99bb2f9d4961a52aee44bbdba223699075ed40f6a6081e9f1e6b4
28511c50efe2fc02f7a437864e48f8c2983637507c2f8d8773e32ed9a420c895

URL C2

hxxps://e-mailer.cf/next[.]php

hxxps://e-mailer.ga/next[.]php

hxxps://nwa-oma2.ml/next[.]php

hxxps://routermanager.ga/next[.]php

hxxps://routermanager.gq/next[.]php

hxxps://routermanager.ml/next[.]php

hxxps://routermanagers.cf/next[.]php

hxxps://routermanagers.ga/next[.]php

hxxps://routermanagers.gq/next[.]php

hxxps://routermanagers.ml/next[.]php

hxxps://serverrouter.cf/next[.]php

hxxps://serverrouter.ga/next[.]php

hxxps://serversrouter.cf/next[.]php

hxxps://serversrouter.gq/next[.]php

hxxps://nwa-oma.ml/next[.]php

Indirizzi e-mail del mittente

yongbinxu@haierbiomedical[.]com

Indirizzi SOA DNS

rahim[@]protonmail[.]com

kilode[@]cock.li.

URL correlati aggiuntivi

hxxps://mailerdeamon[.]cf

hxxps://mailerdeamon[.]ga

hxxps://mailerdeamon[.]gq

hxxps://mailerdeamon[.]ml

hxxps://mailerdeamon[.]tk

hxxps://routermanager[.]tk

hxxps://routermanagers[.]tk

hxxps://serverrouter[.]tk