A partire da novembre 2024, IBM X-Force ha monitorato le campagne Hive0145 in corso che diffondevano il malware Strela Stealer alle vittime in tutta Europa, principalmente in Spagna, Germania e Ucraina. Le e-mail di phishing utilizzate in queste campagne sono vere e proprie notifiche di fatture, sottratte tramite credenziali e-mail precedentemente esfiltrate. Strela Stealer è progettato per estrarre le credenziali degli utenti memorizzate in Microsoft Outlook e Mozilla Thunderbird. Negli ultimi 18 mesi, il gruppo ha testato varie tecniche per migliorare l'efficacia delle sue operazioni. Hive0145 è probabilmente un broker di accesso iniziale (IAB) motivato finanziariamente, attivo dalla fine del 2022 e potenzialmente l'unico operatore di Strela Stealer. Il ritmo continuo delle campagne di Hive0145 mette in evidenza un rischio crescente per le potenziali vittime in tutta Europa.
A partire da metà aprile 2023, X-Force ha iniziato a monitorare un aumento dell'attività di Hive0145. Hive0145 è probabilmente un broker di accesso iniziale (IAB) motivato finanziariamente e potenzialmente l'unico operatore di Strela Stealer. Strela Stealer è un malware progettato per estrarre le credenziali e-mail degli utenti memorizzate in Microsoft Outlook e Mozilla Thunderbird, causando eventuali compromissioni dell'e-mail aziendale (BEC). Gli IAB raccolgono regolarmente credenziali e altri dati che vengono venduti ad attori delle minacce affiliati, specializzati nello sfruttamento delle reti vittime. Tuttavia, non è noto se Hive0145 disponga di una rete di partner specifici per la vendita degli accessi ottenuti attraverso le sue campagne.
Nell'ultimo anno, Hive0145 ha dimostrato competenza nell'evoluzione di tattiche, tecniche e procedure (TTP) per colpire le vittime in tutta Europa. Le vittime italiane, spagnole, tedesche e ucraine continuano a ricevere allegati trasformati in armi che inducono la vittima ad aprire il file. Le campagne dell'attore presentano alla vittima fatture o ricevute false e spesso un breve messaggio generico di urgenza a cui le vittime devono dare riscontro. Dopo aver caricato il file allegato, la vittima avvia inconsapevolmente la catena di infezione che porta al malware Strela Stealer.
Figura 1 Campagna e-mail a tema Banco Santander
Hive0145 ha continuato con questo schema di utilizzo di messaggi generici, fatture e ricevute false per tutta la prima metà del 2024. Tuttavia, all'inizio di luglio 2024, il gruppo ha adottato un approccio diverso e ha iniziato a utilizzare le e-mail rubate di entità reali nei settori finanziario, tecnologico, manifatturiero, media, e-commerce e altri settori. L'abbandono della semplicità indica il passaggio di Hive0145 a una funzionalità informatica in fase di maturazione.
Nel luglio 2024, X-Force ha osservato un cambiamento a metà campagna nelle e-mail distribuite da Hive0145, con la sostituzione dei messaggi brevi e generici con quelle che sembravano essere e-mail legittime rubate. Le e-mail di phishing corrispondevano esattamente alle e-mail ufficiali di comunicazione delle fatture e, in alcuni casi, si rivolgevano comunque direttamente ai destinatari originali per nome. X-Force è riuscita a verificare che le e-mail fossero effettivamente notifiche di fattura autentiche provenienti da vari enti nei settori finanziario, tecnologico, manifatturiero, media, e-commerce e altri settori. È probabile che il gruppo abbia ottenuto le e-mail tramite credenziali precedentemente esfiltrate dalle campagne precedenti.
Il concetto di utilizzare e-mail rubate non è nuovo, è stato ampiamente utilizzato dal gruppo Emotet e da distributori di malware come Hive0118 (noto anche come TA577), TA551 e TA570. Nelle loro campagne, hanno utilizzato il dirottamento del thread, in cui sono stati impiegati nuovi thread di e-mail rubate per aumentare l'apparenza di legittimità. Le e-mail modificate sono state inviate ai contatti corrispondenti delle vittime precedenti, facendo apparire l'e-mail finale come una risposta all'e-mail rubata, dirottando così il thread di e-mail. Il testo aggiunto dai distributori alle e-mail è spesso composto da brevi risposte che invitano le vittime a consultare gli allegati o gli URL inclusi.
La tecnica utilizzata da Hive0145 differisce dal dirottamento del thread poiché, invece di aggiungere un messaggio di risposta all'e-mail rubata, mantiene il contenuto originale in gran parte inalterato mentre solo l'allegato viene modificato per includere un payload malevolo usando il nome del file originale (senza l'estensione originale). All'interno del corpo dell'e-mail, Hive0145 sostituisce sia la parte locale sia il dominio del mittente originale con quello della nuova vittima del phishing per personalizzare l'e-mail. Le e-mail con allegati dirottati vengono poi inviate in campagne di phishing di massa. Hive0145 sembra anche considerare attentamente le e-mail dirottate selezionando solo quelle che fanno riferimento alle fatture e contengono allegati. X-Force ha osservato la tecnica di dirottamento degli allegati dalla metà del 2024 nelle campagne rivolte a utenti di lingua tedesca, spagnola e ucraina.
Figura 2 Esempio di e-mail originale rubata di una fattura della Deutsche Bahn con allegato dirottato
La campagna di luglio 2024 ha iniziato a rivelare bassi volumi di consegna delle e-mail durante la settimana dell'8 luglio. Hive0145 sembra essersi preso una breve pausa prima di tornare con una campagna più ampia nella settimana del 22 luglio, seguita da un periodo di inattività. A partire da metà ottobre 2024, Hive0145 è tornato con una campagna di dirottamento degli allegati su larga scala, prendendo di mira vittime spagnole, tedesche e ucraine. A differenza della breve campagna di luglio, questa ha continuato a inviare notevoli volumi di e-mail, la maggior parte delle quali durante i giorni feriali.
Figura 3 La campagna in corso a fine ottobre 2024
Le e-mail rubate nei settori finanziario, tecnologico, manifatturiero, mediatico, e-commerce e altri settori hanno continuato ad essere usate come armi all'inizio di novembre 2024, in una delle più grandi campagne Hive0145 osservate fino ad oggi. Nella campagna in corso, la vittima riceve un archivio contenente un file JavaScript fortemente offuscato che scarica ed esegue una DLL Strela Stealer criptata. Dal 7 novembre 2024, Hive0145 include anche i parlanti ucraini nella campagna in corso, segnalando uno sviluppo significativo rispetto alla vittimologia osservata in precedenza.
Figura 4 Esempio dell'e-mail originale rubata di una fattura rivolta all'Ucraina
L'aumento del volume di consegne di Hive0145 tramite il dirottamento degli allegati e una consegna costante di e-mail appena rubate potrebbe suggerire che il gruppo abbia adottato l'automazione per la raccolta, l'uso di armi, l'impacchettamento e l'invio delle e-mail di phishing. Il gruppo continua a preferire lo sfruttamento diffuso delle vittime spagnole, tedesche e ucraine in tutta Europa.
Hive0145 si distingue tra gli altri distributori di malware per il livello di impegno profuso nell'adottare metodi sempre più sofisticati per distribuire Strela Stealer. Il livello di sofisticazione si riflette su altri distributori di massa di successo di malware come Emotet, Pikabot e Qakbot, che spesso hanno portato alla distribuzione di ransomware. Di seguito è riportato un riassunto delle tecniche più rilevanti utilizzate da Hive0145 nel tempo, alcune testate brevemente e altre completamente adottate.
Le prime campagne Strela Stealer osservate da X-Force hanno utilizzato file poliglotti, come riportato per la prima volta in un blog da DCSO (Deutsche Cyber-Sicherheitsorganisation) alla fine del 2022. Questi file hanno diversi formati validi e possono essere analizzati da diverse applicazioni. Lo stesso file potrebbe essere reso sia come HTML per visualizzare una fattura esca, sia come DLL valida, implementando Strela Stealer. Questa è una tecnica piuttosto rara per tentare di aggirare le soluzioni di sicurezza.
Nel corso del 2023, numerose campagne hanno utilizzato certificati di firma del codice validi per i file binari dannosi Strela Stealer. Ad esempio, le campagne rivolte alle vittime di lingua spagnola risalenti ad aprile 2023 contenevano payload con un certificato valido firmato da Tecfinance Informatica E Projetos De Sistemas Ltda, un'azienda di software in Brasile.
Figura 5 Certificato aziendale brasiliano utilizzato nelle campagne del 2023
Il 5 maggio 2024, X-Force ha preso provvedimenti per informare le parti interessate della scoperta, e il certificato è stato successivamente revocato.
Da segnalare che una campagna rivolta all'Italia a metà 2023 ha utilizzato un certificato diverso:
Figura 6 Un altro certificato rubato utilizzato a metà del 2023 per prendere di mira le vittime italiane
Le campagne di phishing di Strela Stealer hanno anche adattato i nomi dei file includendo nomi di dominio mirati. I nomi dei file sono spesso identici a quelli dell'organizzazione o dell'azienda, potenzialmente nel tentativo di generare autenticità. L'esempio sottostante è un'e-mail di phishing del 2023 che si spaccia per una fattura o una ricevuta di pagamento.
Figura 7 Campagna e-mail a tema "factura"
Come suggerisce l'e-mail, gli allegati sono file ZIP criptati, con password che differiscono leggermente tra un'e-mail e l'altra. Gli attori delle minacce criptano gli allegati e-mail, poiché le soluzioni di filtraggio e-mail e sandbox di base spesso non sono in grado di ispezionare o distruggere questi file.
Strela Stealer ha anche utilizzato estensioni poco comuni per i suoi file eseguibili PE come .com invece di .exe:
Questa soluzione utilizza una condizione nei sistemi operativi Microsoft Windows in cui è possibile utilizzare tre diverse estensioni per contrassegnare un file come eseguibile: .exe, .com, e .pif.
Se il contenuto è un file PE eseguibile, Microsoft Windows lo eseguirà automaticamente una volta aperto. Utilizzando estensioni meno comuni e sconosciute, la campagna può eludere le semplici soluzioni antivirus o i sospetti della vittima. È stato osservato che anche le campagne precedenti con gli stessi payload utilizzavano il file con estensione .pif .
Oltre agli archivi ZIP allegati direttamente con gli eseguibili dannosi, le campagne Strela Stealer utilizzano spesso anche script offuscati come Batch, JavaScript o PowerShell per scaricare o rilasciare il loro payload.
Le campagne del 2024 si sono basate principalmente su questi script offuscati per eseguire un comando PowerShell per connettersi a un server WebDAV e scaricare ed eseguire una DLL crittografata:
I server di staging WebDAV ospitano un gran numero di DLL, con nomi e hash diversi. Sembra che siano stati costruiti utilizzando un crypter che X-Force identifica come "Stellar Crypter", probabilmente utilizzato esclusivamente da Hive0145 almeno da maggio 2023. I file binari dannosi identificati come "Stellar Loader" contengono il payload crittografato Strela Stealer.
Stellar Loader è un crypter in uso almeno dall'aprile 2023 ed è prevalentemente un precursore dei payload Strela Stealer successivi. In genere, i campioni di Stellar sono altamente offuscati e utilizzano tecniche come l'offuscamento del flusso di controllo, oltre a includere grandi quantità di istruzioni inutili per ostacolare l'analisi e la creazione di firme. Il payload di Stellar è criptato XOR e memorizzato nella sezione .data del binario del loader Stellar. I dati crittografati del payload sono preceduti dalla chiave XOR che, negli esempi recenti, è composta esclusivamente da lettere maiuscole e minuscole e può contenere migliaia di caratteri.
All'esecuzione, Stellar Loader decripta i dati del payload usando XOR e la chiave memorizzata. Il processo di decrittazione può anche includere un ulteriore round di XOR utilizzando una chiave a singolo byte codificata. Come parte dell'offuscamento del codice di Stellar Loader, l'algoritmo di decodifica all'interno del codice viene spesso ampliato per includere centinaia di operazioni. Tuttavia, la stragrande maggioranza di queste operazioni si annullano a vicenda e ciò che sembra un algoritmo complesso può essere ridotto a una semplice operazione XOR. La schermata sottostante mostra una versione di Stellar Loader con un minimo offuscamento, in cui la struttura del codice loader e dell'algoritmo di decrittazione è facilmente visibile.
Nelle versioni più recenti del loader, i dati del payload cifrati sono seguiti da un blocco aggiuntivo criptato contenente un elenco di nomi API richiesti dal codice del loader, come VirtualAlloc. Il loader decripta questo blocco usando la stessa chiave del payload ma senza l'XOR a singolo byte aggiuntivo. Il loader può quindi utilizzare i nomi API nel blocco per recuperare gli indirizzi API corrispondenti.
Una volta decriptati il payload e l'elenco API, Stellar alloca lo spazio in memoria utilizzando VirtualAlloc e mappa il payload PE all'indirizzo allocato. Successivamente esegue i passaggi standard di caricamento PE, come il caricamento delle importazioni e l'elaborazione di eventuali sezioni di ricollocazione (.reloc), e infine esegue il payload all'indirizzo del punto di ingresso.
Strela Stealer è cambiato poco in termini di funzionalità negli ultimi due anni. A partire dalla versione iniziale riportata da DCSO alla fine del 2022, l'obiettivo principale dello stealer è estrarre le credenziali e-mail da due client e-mail comuni: Microsoft Outlook e Thunderbird. Questo approccio è coerente con tutte le varianti, anche se l'ultima variante supporta più chiavi di registro per la ricerca delle credenziali di Microsoft Outlook rispetto alle versioni precedenti.
Strela Stealer esegue due funzioni incaricate di rubare le credenziali da due client di e-mail:
Client di e-mail
Thunderbird
Microsoft Outlook
Sede
File system
Registro
Percorso
%APPDATA%
%APPDATA%
SOFTWARE\\Microsoft\\Office\\16.0\\Outlook\\Profiles\\Outlook\\
SOFTWARE\\Microsoft\\Office\\15.0\\Outlook\\Profiles\\Outlook\\
Software\\Microsoft\\Windows Messaging Subsystem\\Profiles\\9375CFF0413111d3B88A00104B2A6676
Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows MessagingSubsystem\\Profiles\\Outlook\\
Per Outlook, Strela Stealer cerca specificamente i valori del registro:
I dati sono formattati e preceduti dalla stringa "FF" o "OL" rispettivamente per i dati di Thunderbird e per i dati di Outlook. Successivamente, vengono anche crittografati con una chiave XOR statica, che rappresenta una stringa GUID come:
Successivamente, Strela Stealer invia una richiesta POST per ogni client e-mail al suo server C2 codificato:
La risposta viene decrittata tramite la stessa chiave XOR di cui sopra. Strela Stealer continua a inviare richieste POST a intervalli di 1 secondo finché una richiesta non genera errore o non riceve in risposta la stringa "KH" (versioni 2023), "ANTIROK" (versioni 2024) o "CHOLLIMA" (versioni nov. 2024).
Da ottobre 2024, Strela Stealer include anche altre due funzioni di esfiltrazione. La prima raccoglie informazioni di sistema sull'host e le scrive in un file tramite il comando:
La seconda funzione di esfiltrazione utilizza oggetti COM per enumerare l'elenco delle applicazioni installate dalla "AppsFolder" (una cartella virtuale, visualizzata come "Applicazioni") sul computer della vittima.
Il file droppato, insieme all'elenco delle applicazioni installate, vengono letti e criptati prima dell'esfiltrazione nello stesso modo degli altri. Vengono inviati al server C2 rispettivamente con gli identificatori “SI” e “LA”.
Strela Stealer ha iniziato a implementare controlli linguistici verificando la lingua della tastiera sull'host vittima. Le versioni fino al 2024 funzionano solo su host con una delle seguenti lingue di tastiera:
All'inizio di novembre, Hive0145 ha iniziato a distribuire anche e-mail ucraine rubate e ha modificato leggermente la logica di verifica linguistica, aggiungendo l'ucraino (0x422) all'elenco dei layout di tastiera. Inoltre, gli sviluppatori sono passati all'API GetKeyboardLayoutList per coprire tutti i layout di tastiera installati. Se nessuna delle lingue corrisponde, Strela Stealer esegue un controllo secondario confrontando il risultato delle impostazioni locali predefinite dell'utente da GetLocaleInfoA con "AU" e "UA", che sono i codici per Australia e Ucraina. È possibile che lo sviluppatore non fosse sicuro dell'ordine dei byte del valore restituito e non avesse intenzione di prendere di mira l'Australia. Nel complesso, questi cambiamenti ampliano la gamma di macchine disponibili per un'infezione da Strela Stealer.
In precedenza, il malware visualizzava un messaggio di errore discreto all'utente dopo l'esecuzione, per non destare alcun sospetto. Il messaggio indica che il file è stato danneggiato e non può essere aperto, nella lingua che dipende dalla tastiera installata. Le versioni più recenti utilizzano il messaggio di errore più universale "Err 100", che viene visualizzato dopo 5 secondi dall'inizio dell'esecuzione.
Nel giugno 2023, X-Force ha osservato una singola campagna Hive0145 rivolta all'Italia, che ha consegnato una nuova variante di Strela Stealer completamente riscritta in .NET. Analogamente alle campagne precedenti, anche questa utilizzava certificati di firma del codice validi. La reimplementazione di un malware in una lingua diversa dimostra uno sforzo significativo da parte dell'attore della minaccia. Per nascondere stringhe, nomi di funzioni e flusso di controllo, gli sviluppatori hanno utilizzato il commerciale "Aldaray Rummage Obfuscator" per .NET. La schermata qui sotto mostra il codice utilizzato per accedere e proteggere le credenziali IMAP dalle chiavi di registro di Microsoft Outlook.
In particolare, l'offuscatore commerciale include una filigrana per la licenza, che è stata osservata come:
L'esempio sopra riportato mostra il seguente messaggio di errore in italiano:
Il focus di Hive0145 sulla raccolta di credenziali e-mail lo distingue da altri operatori di malware stealer o botnet, che spesso sono commercializzati e mirano a una gamma più ampia di credenziali e dati, o facilitano i payload di follow-on destinati all'accesso iniziale. L'uso da parte di Hive0145 di e-mail rubate per il dirottamento di allegati indica che una parte delle credenziali di queste e-mail potrebbe essere utilizzata per raccogliere e-mail legittime per ulteriori distribuzioni. Sia le e-mail rubate che quelle create dagli attori utilizzate da Hive0145 presentano prevalentemente fatture come temi, indicando una potenziale motivazione finanziaria. È possibile che Hive0145 venda e-mail rubate a partner affiliati ai fini di ulteriori compromissioni di e-mail aziendali.
Hive0145 è un attore delle minacce in rapida crescita e cerca di infettare le vittime con l'intento di ottenere credenziali di e-mail valide. Le osservazioni suggeriscono che il furto di credenziali di e-mail, tramite campagne iniziali, ha portato a ulteriori furti di e-mail valide utilizzate in successive campagne di dirottamento degli allegati. Il malware Stela Stealer continua a essere uno strumento efficace per Hive0145 per estrarre le credenziali dell'e-mail.
L'ampia varietà di settori emulati dalle campagne e-mail di Hive0145 aumenta il rischio potenziale di essere presi di mira dalle organizzazioni commerciali di tutta Europa. È importante notare che le organizzazioni nelle regioni di lingua italiana, spagnola, tedesca o ucraina potrebbero essere più esposte al rischio immediato di una campagna Hive0145. X-Force raccomanda una maggiore vigilanza sugli allegati e-mail ricevuti e un'attenta verifica del tipo di file previsto per la consegna.
X-Force consiglia alle organizzazioni di:
Indicatore
Tipo di indicatore
Contesto
03853c56bcfdf87d71ba
SHA256
Stellar Loader (ottobre 2024)
e50bea80513116a1988822
SHA256
Stellar Loader (maggio 2024)
2cac42735170cd3f67111807
SHA256
Stellar Loader - offuscazione minima (gennaio 2024)
9a032497b82c3db8146cb6
SHA256
Carico utile Strela Stealer
e4a7ad38aaea4bd27c32c57
SHA256
Carico utile Strela Stealer
2f7ac330e100b577748bb34
SHA256
Stellar Loader (novembre 2024)
94.159.113[.]48
IPv4
Strela Stealer C2
94.159.113[.]86
IPv4
Strela Stealer C2
193.109.85[.]231
IPv4
Strela Stealer C2
5906c8e683b8eb9d2bc104f
SHA256
Variante Strela Stealer .NET
