
Campagna di Attacco verso Organizzazioni Italiane
03/20/2018
Con la presente Yoroi desidera informarLa riguardo al rilevamento di una nuova ondata di attacchi volti alla compromissione di organizzazioni italiane: le email malevole intercettate utilizzano apposite tematizzazioni caratterizzate da finte risposte ad ipotetiche conversazioni pregresse di carattere operativo/organizzativo.
I messaggi di posta contengono documenti Office armati di macro auto-eseguibili capaci di scaricare ed installare malware legato alla famiglia Gozi/Ursnif: minaccia in grado fornire accesso all’host infetto, scaricare ulteriore malware, trafugare dati o credenziali ed intercettare digitazioni effettuate su tastiera da parte dell’utente. Le particolari varianti malware analizzate sfruttano due tipologie di canali di controllo: su rete internet in chiaro e su rete TOR per evadere il rilevamento ove permesso dai sistemi perimetrali.
Figura 1. Apertura del documento malevolo presentato all'utente
Di seguito si riportano gli indicatori di compromissione individuati a seguito delle analisi svolte:
- Malspam:
- Mittente:
- "Alfredo Rota" <[email protected]>
- "Info - Hotel Cristina Napoli" <[email protected]>
- (potrebbero variare, uso di potenziali account compromessi)
- Oggetto:
- “Re: R: Turni del 19/03/2018”
- “Re: Rinnovo Convenzione - Dioniso's Hotels & Apartments”
- (potrebbero variare ulteriormente)
- Allegato:
- “Richiesta.doc”
- “<PREFISSO>-Richiesta.doc”
- Mittente:
- Dropurl:
- 107.152.196[.147
- dqwodnqwdoajndwqdqwdasd[.com
- qwdiqjdauqwdnaqudqawd.[com
- http:// qwdiqjdauqwdnaqudqawd.[com/NOIT/testv.php?l=borter<1-10>.class
- Componenti:
- http:// horse-technology.[com/files/alex.bmp
- http:// horse-technology.[com/files/sofia.bmp
- http:// lnx.eridanoweb.[com/gestioni/footer.png
- http:// fioritononi.[it/modules/secure.doc
- http:// voloweb[.net/assistenze/img/wp-64.png
- http:// cmxsrl[.it/wp-64.zip
- http:// onliva[.at/jvassets/rk/docs.rar
- http:// playmuseek[.com/wp-admin/maint/admin.rar
- http:// http://www.experience[.it/imgs/system.exe
- C2 (TOR):
- wpxsrrj7nektcxri[.onion
- nmct3onogb625qut[.onion
- vxe42hjcu4yjiins.[onion
- https:// wpxsrrj7nektcxri.[onion/wpdata
- https:// nmct3onogb625qut.[onion/wpdata
- https:// vxe42hjcu4yjiins[.onion/wpdata
- C2:
- 47.74.247[.229
- onliva[.at
- farimon[.at
- karilor[.at
- fortares[.su
- swoqup[.at
- bukredo[.cn
- ledal[.at
- http:// onliva[.at/wpassets
- http:// fortares[.su/wpassets
- http:// swoqup.[at/wpassets
- http:// bukredo[.cn/wpassets
- http:// ledal.[at/wpassets
- Hash:
- e918f6467e8b1b66633b71c45f9999e44e154101f41dda99e9df8cb01f8d10d9 doc
- 903a6e34b077822108b8dd38a8733636368e2450f8eaae8a5eb939dd5569bfd5 exe
- Persistenza:
- “C:Users%USER%AppDataRoamingMicrosoft<NOMEAUTOGENERATO1><NOMEAUTOGENERATO2>.exe”, e.g.
- “C:Users%USER%AppDataRoamingMicrosoftDot3gpuibdeuroxy.exe”
- “C:Users%USER%AppDataRoamingMicrosoftBitsdlerAudibrkr.exe”
- “C:Users%USER%AppDataRoamingMicrosoft<NOMEAUTOGENERATO1><NOMEAUTOGENERATO2>.exe”, e.g.
Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber".
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index