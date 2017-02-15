Scritto dal team IBM X-Force Incident Response and Intelligence Services (IRIS).
I ricercatori del team IBM X-Force Incident Response and Intelligence Services (IRIS) hanno individuato un anello mancante nelle operazioni di un attore delle minacce coinvolto nei recenti attacchi malware Shamoon contro delle organizzazioni degli stati del Golfo. Questi attacchi, avvenuti nel novembre 2016 e gennaio 2017, avrebbero colpito migliaia di computer in diverse organizzazioni di governo e organizzazioni civili in Arabia Saudita e altrove negli stati del Golfo. Shamoon è progettato per distruggere i dischi rigidi dei computer cancellando il master boot record (MBR) e i dati in modo irrecuperabile, a differenza del ransomware, che tiene i dati in ostaggio a pagamento.
Grazie a recenti indagini, i nostri analisti forensi hanno individuato il vettore di compromissione iniziale e le operazioni post-compromissione che hanno portato all'impiego del malware distruttivo Shamoon sulle infrastrutture mirate. Vale la pena menzionare che, secondo X-Force IRIS, il compromesso iniziale è avvenuto settimane prima della vera e propria implementazione e attivazione dello Shamoon.
Poiché gli incidenti Shamoon presentano le caratteristiche delle fasi di infiltrazione ed escalation degli attacchi mirati, i risponditori di X-Force IRIS hanno cercato il punto di ingresso degli aggressori. I risultati hanno evidenziato quello che sembra essere il punto iniziale della compromissione utilizzato dagli attaccanti: un documento contenente una macro malevola che, una volta approvata per l'esecuzione, consentiva le comunicazioni C2 verso il server dell'attaccante e la shell remota tramite PowerShell.
Il documento non è stato l'unico scoperto nelle recenti ondate di attacchi. I ricercatori di X-Force IRIS avevano monitorato precedenti attività associate a documenti dannosi simili, contenenti PowerShell, a tema curriculum e documenti sulle risorse umane, alcuni dei quali relativi ad organizzazioni in Arabia Saudita. Questa ricerca ha identificato diversi episodi di attività offensiva avvenuti negli ultimi mesi, che hanno rivelato metodi operativi simili in cui gli attaccanti hanno inviato documenti dannosi e altri eseguibili malware dai server web ai loro obiettivi per stabilire una prima presenza in rete.
Sebbene Shamoon fosse precedentemente documentata nei blog di ricerca, i metodi specifici di compromissione della rete che hanno portato agli attacchi sono rimasti poco chiari nei casi segnalati. I ricercatori di X-Force IRIS hanno studiato il ciclo di vita dell'attacco di Shamoon e hanno osservato le tattiche presso organizzazioni e aziende del settore privato con sede in Arabia Saudita. Questa ricerca li ha portati a credere che l'attore che ha utilizzato Shamoon nei recenti attacchi si sia affidato molto a documenti armati costruiti per sfruttare PowerShell per stabilire il punto di appoggio iniziale sulla rete e le operazioni successive:
Figura 1: Attacco Shamoon — Flusso logico degli eventi
X-Force IRIS ha identificato il seguente documento dannoso:
I nostri ricercatori hanno esaminato il dominio che ospitava il primo file dannoso, mol.com-ho[.]me. Secondo il record WHOIS del dominio, un registrante anonimizzato ha registrato com-ho[.]me nell'ottobre 2016 e l'ha usato per notificare documenti dannosi con funzionalità simili di attivazione macro. Il seguente elenco di documenti include:
Molto probabilmente questi file sono stati inviati tramite e-mail di spear phishing per indurre i dipendenti a lanciare inconsapevolmente il payload dannoso.
Un esame più attento dei nomi dei file ha rivelato "IT Worx" e "MCI". Una ricerca del nome IT Worx porta a un'organizzazione globale di servizi professionali software con sede in Egitto. MCI è il Ministero del Commercio e degli Investimenti dell'Arabia Saudita. È possibile che questi nomi siano stati usati nelle e-mail di spear phishing perché sarebbero apparsi innocui ai dipendenti sauditi e li avrebbero indotti ad aprire l'allegato.
I ricercatori di X-Force IRIS hanno inoltre identificato che l'attore della minaccia dietro i documenti dannosi ne ha serviti molti utilizzando uno schema di accorciamento dell'URL nel seguente schema: briefl[.]Inchiostro/{a-z0-9}[5].
La figura seguente è un esempio visivo di ciò che i dipendenti potrebbero aver riscontrato quando hanno aperto i file Word dannosi inviati loro in preparazione di un attacco Shamoon:
Figura 2: Documento Word dannoso consegnato in preparazione di un attacco malware di Shamoon (Fonte: X-Force IRIS)
I risultati DNS passivi su un dominio di comunicazione associato all'attacco di Shamoon hanno rivelato infrastrutture di rete correlate, identificando ulteriori domini utilizzati dagli attori della minaccia.
X-Force IRIS ha scoperto che l'attore della minaccia ospitava almeno un eseguibile malevolo su un server in hosting su ntg-sa[.]com. Questo file ingannava i target facendogli credere di essere un installer Flash Player che avrebbe rilasciato un batch di Windows per evocare PowerShell nelle stesse comunicazioni C2.
L'analisi di uno dei documenti dell'attore delle minacce ha rilevato che, se la macro viene eseguita, avvia due script PowerShell separati. Il primo esegue uno script PowerShell servito da hxxp://139.59.46.154:3485/eiloShaegae1. L'host è probabilmente collegato ad attacchi che servivano Pupy RAT, uno strumento di accesso remoto multipiattaforma pubblico e disponibile.
Il secondo script chiama VirtualAlloc per creare un buffer, utilizza memset per caricare lo shellcode correlato a Metasploit in quel buffer e lo esegue tramite CreateThread. Metasploit è un framework open source popolare come strumento per lo sviluppo e l'esecuzione di codice exploit contro una macchina di destinazione remota. Il codice shell esegue un'operazione XOR DWORD di 4 byte con uno spostamento dall'inizio del codice shell che modifica il codice per creare un ciclo in modo che l'XOR continui 0x57 volte.
Se questa esecuzione ha successo, crea un buffer usando VirtualAlloc e chiama InternetReadFile in un ciclo finché tutto il contenuto del file non viene recuperato da hxxp://45.76.128.165:4443/0w0O6. Il contenuto viene quindi restituito come stringa a PowerShell, che richiama invoke-expression (iex), indicando che il payload previsto è PowerShell.
Da notare che la macro conteneva una funzione DownloadFile() che avrebbe utilizzato URLDownloadToFileA, ma in realtà non è mai stata utilizzata.
Sulla base delle osservazioni associate al documento dannoso, abbiamo osservato sessioni shell successive probabilmente associate al Meterpreter di Metasploit che hanno permesso l'implementazione di strumenti aggiuntivi e malware prima della distribuzione di tre file correlati a Shamoon: ntertmgr32.exe, ntertmgr64.exe e vdsk911.sys.
Sebbene l'elenco completo delle vittime di Shamoon non sia pubblico, Bloomberg ha riferito che in un caso migliaia di computer sono stati distrutti presso la sede dell'Autorità Generale dell'Aviazione Civile saudita, cancellando dati critici e fermando le operazioni per diversi giorni.
L'attività recente che X-Force IRIS sta registrando dagli aggressori di Shamoon è stata finora rilevata in due ondate, ma è probabile che si attenui a seguito dell'attenzione pubblica che i casi hanno raccolto dalla fine del 2016.
L'Arabia Saudita ha rilasciato un avvertimento alle organizzazioni locali riguardo al malware Shamoon, avvisando di potenziali attacchi e consigliando alle organizzazioni di prepararsi. L'analisi e gli avvertimenti su Shamoon si traducono in una preparazione da parte degli obiettivi, ed è probabile che gli attori scompaiano e cambino le loro tattiche fino alla prossima ondata di attacchi.
Per i dettagli tecnici su questa ricerca e sui relativi indicatori di compromissione, consulta il documento X-Force Advisory su X-Force Exchange.