Un "arsenale di malware" si riferisce a una collezione di strumenti e tecniche software dannosi utilizzati dagli aggressori informatici per infiltrare, disturbare o danneggiare sistemi informatici o reti. Le cyberwar, o guerre digitali, rappresentano un fronte sempre più rilevante nelle dinamiche mondiali contemporanee. Al centro di questo panorama complesso e in evoluzione ci sono gli arsenali di malware, armi digitali sofisticate e spesso invisibili, che giocano un ruolo cruciale nell'ambito degli attacchi informatici.
Questi arsenali, sviluppati da hacker e organizzazioni criminali, costituiscono un mezzo efficace per sfruttare vulnerabilitànei sistemi informatici, compromettere infrastrutture critiche e influenzare gli eventi su scala globale. In questo articolo, esploreremo alcuni dei tipi di malware utilizzati durante le cyberwar, di seguito vediamone alcuni tra i più famosi:.
Graphiron
- • Graphiron è una Malware a due fasi composto da un downloader (Downloader.Graphiron) e un payload (Infostealer.Graphiron)
- • ll downloader contiene indirizzi del server di comando e controllo (C&C) codificati
- • Il downloader è configurato per controllare una lista di strumenti di analisi malware e connettersi a un server C&C per scaricare il payload, che viene quindi aggiunto all'autorun
- • Il payload è in grado di rubare informazioni da Firefox e Thunderbird, chiavi private da MobaXTerm, host conosciuti SSH, password memorizzate, catturare schermate e esfiltrare dati
- • Il furto delle password viene eseguito utilizzando un comando PowerShell
- • Il payload comunica con il server C&C utilizzando la porta 443 e le comunicazioni sono crittografate utilizzando il cifrario AES
- • Graphiron ha somiglianze con vecchi strumenti di Nodaria (come GraphSteel e GrimPlant) ma può esfiltrare più dati come schermate e chiavi SSH
- • Nodaria è un gruppo di minacce attivo almeno dal marzo 2021, che mira principalmente a organizzazioni in Ucraina ed è stato collegato anche ad attacchi in Kirghizistan e Georgia
- • Il gruppo utilizza email di spear-phishing per consegnare una serie di payload ai bersagli e i loro strumenti precedenti includono Elephant Dropper, Elephant Downloader, SaintBot, OutSteel, GrimPlant e GraphSteel.
- • Gli strumenti precedenti di Nodaria erano scritti in Go e Graphiron sembra essere l'ultimo pezzo di malware scritto dagli stessi sviluppatori, utilizzando la versione 1.18 di Go.
Elephant
- • Il Framework Elephant è composto da due componenti principali: GrimPlant (Backdoor) e GraphSteel (Stealer).
- • GrimPlant consente l'esecuzione remota di comandi PowerShell, comunica con il server C&C utilizzando gRPC ed è crittografato con TLS.
- • GraphSteel esfiltra i dati dalle macchine infette comunicando con il server C&C utilizzando WebSockets e il linguaggio di query GraphQL.
- • GraphSteel esfiltra informazioni sul sistema infetto, file da varie cartelle e unità, e credenziali da varie fonti, incluse password WiFi, credenziali del browser, password salvate e sessioni SSH.
GraphSteel Backdoor
- • GraphSteel è una semplice backdoor che consente l'esecuzione remota di comandi PowerShell. La comunicazione con il server C2 avviene sulla porta 80 ed è basata su gRPC. Le comunicazioni sono crittografate con TLS, e il suo certificato è codificato nel binario. La backdoor GraphSteel è progettata per esfiltrare dati dalle macchine infette. La comunicazione con il server C2 avviene sulla porta 443 ed è crittografata utilizzando il cifrario AES. Viene utilizzato il linguaggio di query GraphQL per la comunicazione.
- • GraphSteel & GrimPlant sono stati utilizzati in attacchi di phishing via email su organizzazioni governative.
- • GraphSteel e GrimPlant sono entrambi scritti nel linguaggio Go.
- • GraphSteel è progettato per esfiltrare dati dalle macchine infette. La comunicazione con il server C2 avviene sulla porta 443 ed è crittografata utilizzando il cifrario AES. Viene utilizzato •GraphQL per la comunicazione.
- • APT responsabile: UNC2589 (Ember Bear, Lorec53, UAC-0056)
OutSteel (LorecDocStealer)
- • Il malware OutSteel viene utilizzato in campagne di spear-phishing con allegati dannosi.
- • Il payload principale è un infostealer che ruba file dalla macchina della vittima e li carica su un server di comando e controllo (C2).
- • Il downloader utilizzato per caricare l'infostealer è il cripter BabaDeda.
- • Si ritiene che il malware sia sponsorizzato dallo stato, messo in atto da un gruppo di hacker chiamato Lorec53.
- • Il gruppo è sospettato di condurre attacchi di spionaggio contro dipendenti governativi in Georgia.
- • Il cripter BabaDeda funge da installatore ed esegue shellcode memorizzato cifrato in un file, come xml o pdf.
- • Il cripter BabaDeda è un malware evasivo che ha lo scopo di caricare un payload dannoso memorizzato in un altro file.
- • Il cripter BabaDeda è utilizzato per caricare un secondo cripter BabaDeda nella seconda fase dell'attacco.
- • Il payload finale è Outsteel, che invia i file rubati ad un URL specificato.
BabaDeda
- • BabaDeda Crypter viene rilasciato da un downloader, che può essere consegnato tramite un file con estensione ".cpl".
- • Il file ".cpl" è progettato per eseguirsi automaticamente quando viene fatto doppio clic, rendendo più facile per gli utenti poco istruiti attivare il malware.
- • BabaDeda Crypter viene installato da un file MSI che viene scaricato dal downloader LorecCPL.
- • Il payload finale è consegnato come un binario dannoso principale chiamato "mathparser.exe".
- • BabaDeda Crypter ha la capacità di installarsi sul sistema della vittima.
- • Il malware può eseguire un binario dannoso principale, che potrebbe svolgere varie attività dannose come il furto di dati, l'esfiltrazione di informazioni o altre.
SaintBot Downloader
- • Il malware SaintBot è stato osservato in una email mirata inviata ad un individuo presso un'organizzazione energetica nel febbraio 2022.
- • L'email era un tentativo di spear phishing che utilizzava tattiche di ingegneria sociale per convincere l'individuo bersaglioad aprire il documento Word maligno allegato.
- • Il documento istruiva l'utente a fare doppio clic su icone con punti esclamativi che, a loro volta, eseguivano JavaScript dannoso.
- • Il file JavaScript eseguiva una riga di comando PowerShell che scaricava un eseguibile da un URL e lo salvava in una posizione specifica.
- • L'URL ospitava un eseguibile maligno che fungeva da loader, agendo come primo stadio di diversi, nella catena di infezione complessiva.
- • La catena di infezione ha comportato l'installazione e l'esecuzione di OutSteel (un ruba-documenti), SaintBot (un Trojan loader), uno script batch trasformato in un eseguibile che disabilita Windows Defender e un eseguibile di installazione legittimo di Google Chrome.
- • Il loader iniziale era firmato con un certificato relativo al portafoglio Bitcoin Electrum.
- • Il loader del primo stadio era un semplice wrapper per stadi successivi che decriptava DLL e le caricava in memoria.
- • La DLL è oscurata ma contiene funzionalità anti-analisi che rifiuta di eseguirsi all'interno di una macchina virtuale.
- • La DLL è un altro stager che decripterà ed eseguirà quattro binari incorporati.
- • I quattro binari incorporati sono OutSteel, SaintBot, un eseguibile che esegue uno script batch per disabilitare Windows Defender e l'installatore di Google Chrome.
Cobalt Strike (Beacon)
- • Cobalt Strike è uno strumento commerciale usato per il penetration test utilizzato da attori minacciosi come un agente backdoor chiamato 'Beacon' sui dispositivi di destinazione. È uno strumento versatile utilizzato da una vasta gamma di attori minacciosi, tra cui gruppi APT e operatori di ransomware, per scaricare ed eseguire payload dannosi.
- • L'impianto Beacon è una shellcode fileless, senza stadi o multistadio che viene caricato sfruttando una vulnerabilità o eseguendo un caricatore di shellcode. Il Beacon può comunicare con il server C2 utilizzando diversi protocolli tra cui HTTP, HTTPS, DNS, SMB, chiamati pipes. Il Beacon può anche concatenare connessioni per stabilire una presa di posizione all'interno della rete compromessa e pivotare internamente in altri sistemi.
- • Cobalt Strike è stato utilizzato in molteplici attacchi di phishing via email contro organizzazioni governative ed è attribuito al gruppo APT UNC2589. Il Beacon è stato anche utilizzato in combinazione con exploit come CVE-2021-40444 e CVE-2022-30190 (Follina).BEACON: backdoor scritto in C/C++, parte del framework Cobalt Strike.
- • Supporta l'esecuzione di comandi shell, il trasferimento di file, l'esecuzione di file, la gestione dei file.
- • Può catturare tasti premuti e screenshot, agire come server proxy.
- • Può raccogliere credenziali di sistema, eseguire la scansione delle porte e enumerare sistemi in una rete.
WhisperGate Wiper
- • Utilizza il seguente comando della shell di Windows per eseguire il malware distruttivo:
- • cmd.exe /Q /c start c:\stage1.exe 1> \127.0.0.1\ADMIN$__[TIMESTAMP] 2>&1
- • Utilizza comandi PowerShell per connettersi al suo C2 server e scaricare payload aggiuntivi.
- • Consegna comandi PowerShell in forma codificata in Base64.
- • Comando PowerShell: Start-Sleep -s 10
- • Tattica: Evasione della difesa e persistenza.
- • Modifica il Master Boot Record (MBR) per eludere la difesa.
- • Consegna comandi PowerShell in forma codificata in Base64.
- • Cerca specifiche estensioni di file in determinate directory per alterare il loro contenuto.
- • Scarica un payload di corruzione file da un canale Discord ospitato dal gruppo APT.
- • Il link per il download del file eseguibile dannoso è codificato nel file stage2.exe.
- • Sovrascrive il Master Boot Record (MBR) causando l'impossibilità di avviare il sistema infetto dopo lo spegnimento.
- • Sovrascrive file e ne corrompe l'integrità.
- • Rinomina i file per aumentare il suo impatto.
- • Si presenta erroneamente come ransomware.
- • Malware a due fasi per la cancellazione dei dati.
- • Lo stadio di accesso iniziale è sconosciuto, ma si sospetta che sia un attacco alla catena di distribuzione.
- • Sovrascrive i Master Boot Record (MBR) con una falsa nota di riscatto.
- • Corrompe file con determinate estensioni e in determinate directory sovrascrivendoli con byte 0xCC.
- • Rinomina i file con un'estensione casuale di quattro byte.