Pericolosa Campagna di Attacco TrickBot

Proto: N050719.

Con la presente Yoroi desidera informarLa riguardo ad una pericolosa campagna di attacco ai danni di Aziende ed Enti italiani. I messaggi di posta recapitati dai cyber-criminali simulano comunicazioni di vario tipo esplicitamente preparate per ingannare uffici e personale amministrativo. All’interno delle email sono presenti link volti allo scaricamento di archivi compressi malevoli: una volta aperto il contenuto dell’archivio, la vittima viene infettata con varianti malware della famiglia Trickbot.

La minaccia Trickbot è utilizzata da gruppi criminali organizzati per veicolare attacchi ransomware mirati di tipo Ryuk (TH-182), similari a quelli registrati nel mese di Giugno 2019 ai danni di importanti Azienda italiane nel settore manifatturiero. Per questa ragione si consiglia di trattare e mitigare tempestivamente i tentativi di attacco in oggetto.

Di seguito si riportano gli indicatori di compromissione a seguito delle analisi condotte:

• Malspam:
  • LUL DD/2019 e Trattenute sindacali
  • Fattura n. NNNN del 29/07/2019
• Dropurl (zip)
  • /altxcode[.com/90309_93_00.zip
  • altxcode[.com
  • 117.247.90[.115
• Dropurl (exe):
  • s://www.penpilot[.net/quarder.php
  • http://www.penpilot[.net
  • 178.128.30[.161
• C2 (trickbot ono12):
  • 103[.117[.172[.206:449
  • 103[.117[.232[.198:449
  • 103[.207[.1[.44:449
  • 103[.84[.238[.3:449
  • 107[.173[.42[.177:443
  • 107[.181[.175[.122:443
  • 125[.99[.253[.34:449
  • 131[.0[.142[.120:449
  • 131[.196[.184[.141:449
  • 131[.255[.82[.24:449
  • 138[.121[.24[.78:449
  • 146[.196[.122[.152:449
  • 146[.196[.122[.167:449
  • 164[.132[.138[.134:443
  • 168[.227[.229[.112:449
  • 168[.235[.102[.16:443
  • 177[.103[.240[.149:449
  • 177[.52[.79[.29:449
  • 177[.8[.172[.86:449
  • 180[.250[.197[.188:449
  • 181[.115[.168[.69:449
  • 181[.129[.140[.140:449
  • 181[.129[.49[.98:449
  • 181[.129[.93[.226:449
  • 185[.255[.79[.108:443
  • 186[.183[.199[.114:449
  • 186[.42[.186[.202:449
  • 186[.42[.226[.46:449
  • 187[.58[.56[.26:449
  • 189[.80[.134[.122:449
  • 190[.13[.160[.19:449
  • 190[.154[.203[.218:449
  • 191[.37[.181[.152:449
  • 192[.210[.132[.15:443
  • 195[.123[.213[.186:443
  • 195[.123[.240[.36:443
  • 195[.123[.246[.69:443
  • 195[.161[.114[.131:443
  • 195[.161[.114[.99:443
  • 202[.4[.169[.178:449
  • 212[.80[.217[.89:443
  • 23[.94[.93[.106:443
  • 36[.89[.85[.103:449
  • 45[.237[.240[.178:449
  • 46[.173[.219[.184:443
  • 51[.254[.69[.233:443
  • 82[.118[.22[.87:443

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber". Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index