Ieri il team di esperti di Kaspersky Lab ha pubblicato un nuovo
report che analizza una serie di incidenti che hanno coinvolto
l’utilizzo di recenti exploit scoperti nei documenti PDF di Adobe Reader
(CVE-2013-6040) e un nuovo programma nocivo personalizzato conosciuto
con il nome di MiniDuke. La backdoor MiniDuke è stata utilizzata per
attacchi multipli contro enti governativi e istituzioni in tutto il
mondo durante la scorsa settimana. Gli esperti di Kaspersky Lab, in
collaborazione con CrySys Lab, hanno analizzato gli attacchi nel
dettaglio e pubblicato i risultati. Secondo l’analisi di Kaspersky
Lab, un numero di obiettivi di alto profilo era già stato compromesso
da attacchi compiuti da MiniDuke, compresi enti governativi in Ucraina,
Belgio, Portogallo, Romania, Repubblica Ceca e Irlanda. Inoltre, sono
stati attaccati un istituto di ricerca, due think tank e un fornitore di
assistenza sanitaria negli Stati Uniti, così come un’importante
fondazione di ricerca in Ungheria.
“Questo è un attacco
informatico davvero insolito”, ha dichiarato Eugene Kaspersky, Fondatore
e CEO di Kaspersky Lab. “Non vedevo questo tipo di programmazione
nociva dalla fine degli anni 90/inizi del 2000. Mi stupisco di come gli
autori di questo tipo di malware, rimasti nell’ombra per più di un
decennio, siano improvvisamente riapparsi e si siano uniti al gruppo di
cyber criminali. Questo gruppo di autori "old school" di malware sono
stati estremamente efficaci in passato nel creare virus molto complessi e
ora stanno combinando queste abilità con i nuovi exploit
sandbox-evading avanzati per colpire enti o istituti di ricerca in
diversi paesi".“La backdoor personalizzata di MiniDuke è stata
scritta in Assembler e in un formato molto piccolo, essendo solo di
20Kb”, ha aggiunto Kaspersky. “Questa tipologia di malware compatto e
molto sofisticato è spesso scritto in Assembler ed era molto comune ai
tempi del VX group 29, ma oggi è molto raro. La combinazione di
scrittori di malware esperti appartenenti alla vecchia scuola che
utilizzano exploit scoperti di recente e l’utilizzo dell’ingegneria
sociale per compromettere gli obiettivi di alto profilo, è estremamente
pericolosa".
- Gli autori di MiniDuke in questo momento sono ancora attivi e hanno creato il malware il 20 febbraio 2013. Per colpire le vittime, i criminali hanno utilizzato tecniche efficaci di ingegneria sociale, come l’invio di PDF nocivi agli obiettivi scelti. I contenuti presenti nei file PDF erano di una certa rilevanza come le informazioni riguardanti il seminario sui diritti umani (ASEM), dettagli sulla politica estera in Ucraina e piani di adesione alla NATO. Questi file PDF nocivi contenevano exploit che attaccavano le versioni 9, 10 e 11 di Adobe Reader, oltrepassando il sandbox. Un toolkit è stato utilizzato per creare questi exploit e sembra che sia proprio questo stesso toolkit ad essere stato impiegato nel recente attacco riportato da FireEye. Tuttavia, gli exploit impiegati negli attacchi MiniDuke avevano obiettivi diversi e ognuno il proprio malware personalizzato.
- Una volta che il sistema viene colpito dagli exploit, un piccolo downloader di soli 20Kb viene rilasciato nel disco della vittima. Questo downloader è unico per ogni sistema e contiene una backdoor personalizzata scritta in Assembler. Quando viene caricato all'avvio del sistema, il downloader utilizza una serie di calcoli matematici per determinare l’impronta digitale per accedere al computer e utilizza a sua volta questa per crittografare le proprie comunicazioni. E' inoltre programmato per evitare le analisi attraverso un set di strumenti hardcoded presenti in alcuni ambienti come VMware. Se viene trovato uno di questi indicatori, esso verrà eseguito vuoto nell’ambiente, invece di spostarsi in un’altra operazione e scoprire ulteriori funzionalità da decifrare; questo consente agli autori del malware di sapere esattamente cosa stanno facendo i professionisti della sicurezza IT per analizzare e identificare il malware.
- Se il sistema di destinazione soddisfa i requisiti prestabiliti, il malware utilizza Twitter (all'insaputa dell'utente) e inizia a cercare i tweet specifici di account già in uso. Questi account sono stati creati dagli operatori dei server di comando e controllo di MiniDuke e i tweet mantengono tag specifici di categorie crittografate per gli URL della backdoor. Questi URL consentono di accedere al C2, che fornisce i comandi e trasferisce in maniera crittografata ulteriori backdoor sui sistemi tramite i file GIF.
- Sulla base dell'analisi, sembra che i creatori di MiniDuke forniscano un sistema dinamico di backup che può passare anche sotto i radar. Se Twitter non funziona o gli account sono colpiti dal malware, si può utilizzare Google Search per trovare le stringhe crittografate del prossimo C2. Questo modello è flessibile e permette agli operatori di cambiare continuamente le loro backdoor e recuperare ulteriori comandi o codici nocivi in base alle esigenze.
- Una volta che il sistema infetto localizza il C2, riceve le backdoor criptate che si confondono tra i file GIF sotto forma di immagini che appaiono sul computer della vittima. Una volta che vengono installati sulla macchina, è possibile scaricare una backdoor più grande che svolge una serie di azioni, come ad esempio copia di file, rimozione di file, creazione di una directory, interruzione del processo ed esecuzione del nuovo malware.
- La backdoor del malware si connette ai due server, uno a Panama e uno in Turchia, per ricevere istruzioni da parte dei cyber criminali.
Per leggere il report di CrySys Lab, cliccare qui.
Il sistema Kaspersky Lab individua e neutralizza il malware MiniDuke, classificato come
HEUR:Backdoor.Win32.MiniDuke.gen e Backdoor.Win32.Miniduke. Kaspersky Lab individua gli exploit utilizzati nei documenti PDF e classificati come Exploit.JS.Pdfka.giy.
Fonte: Kaspersky Lab
Nessun commento:
Posta un commento