Cerca nel blog

giovedì 19 luglio 2018

Quasar, Sobaken e Vermin: l’analisi dei tre RAT utilizzati per campagne di cyber spionaggio ai danni delle istituzioni governative ucraine





Individuati dai ricercatori di ESET, sono attualmente diffusi con tecniche di social engineering tramite allegati infetti alle email

Roma, 19 luglio 2018 - I ricercatori di ESET hanno individuato Quasar, Sobaken e Vermin, tre RAT utilizzati per campagne di spionaggio ai danni delle istituzioni governative ucraine. I tre malware sono stati utilizzati contro obiettivi diversi allo stesso tempo, condividono parti della loro infrastruttura e si collegano agli stessi server C & C.
I criminali dietro queste campagne di spionaggio sono stati individuati dai ricercatori di ESET dalla metà del 2017 e le loro attività sono state rese pubbliche per la prima volta nel gennaio 2018. Da allora i cyber criminali hanno continuato a migliorare le loro campagne sviluppando nuove versioni dei loro strumenti di spionaggio.
Vermin è una backdoor con numerose funzionalità e componenti opzionali: la sua versione più recente supporta 24 comandi, implementati nella payload principale, oltre a diversi comandi aggiuntivi implementati tramite componenti opzionali, tra cui registrazione audio, keylogging e password stealing. Apparso per la prima volta a metà del 2016, Vermin è ancora in uso. Come Quasar e Sobaken, Vermin è scritto in .NET.
 
Quasar è un RAT open-source, liberamente disponibile su GitHub, le cui tracce sono state individuate dai ricercatori di ESET già dall'ottobre 2015. Sobaken è una versione molto modificata di Quasar: alcune funzionalità sono state rimosse per rendere l'eseguibile più piccolo e sono stati aggiunti diversi trucchi anti-sandbox.
 
Le campagne analizzate dai ricercatori di ESET sono basate sul social engineering e veicolano i tre RAT come allegati alle email. Sono stati comunque utilizzati diversi trucchi per attirare le vittime nel download e nell'esecuzione del malware, come l'override da destra a sinistra per oscurare la reale estensione degli allegati e una combinazione appositamente predisposta di un documento Word che contiene un exploit CVE-2017-0199.
 
Tutte le famiglie di malware analizzate sono installate nello stesso modo: un dropper rilascia un file contenente una payload dannosa nella cartella %APPDATA%, inserendolo all'interno di una sottocartella denominata con il nome di una società legittima (solitamente Adobe, Intel o Microsoft). Quindi, crea un'attività pianificata che esegue la payload ogni 10 minuti per garantire la sua persistenza.
 
Per assicurarsi che il RAT venga eseguito solo su macchine mirate ed eviti sistemi di analisi e sandbox automatici, gli hacker hanno implementato diverse misure: il malware cessa di funzionare se non sono installati layout di tastiera russi o ucraini, se l'indirizzo IP del sistema di destinazione si trova al di fuori di questi due paesi o se è registrato da uno dei numerosi fornitori di soluzioni di sicurezza o provider cloud selezionati.
 
I criminali informatici dietro queste campagne hanno dimostrato che, con astuti stratagemmi di ingegneria sociale, gli attacchi di cyber-spionaggio possono riuscire anche senza l'utilizzo di malware sofisticati. Questo sottolinea ancora una volta l'importanza di una corretta formazione ed educazione alla cyber sicurezza, oltre che dell'utilizzo di una valida soluzione per proteggere i dispositivi da ogni tipo di minaccia.
Per visionare il white paper completo di analisi di Quasar, Sobaken e Vermin è possibile collegarsi al link: https://www.welivesecurity.com/wp-content/uploads/2018/07/ESET_Quasar_Sobaken_Vermin.pdf
: + 39 3289092482
























Nessun commento:

Posta un commento

Tutte le news della Rete le trovi sul:


Giornale online realizzato da una redazione virtuale composta da giornalisti e addetti stampa, professionisti di marketing, comunicazione, PR, opinionisti e bloggers. Il CorrieredelWeb.it vuole promuovere relazioni tra tutti i comunicatori e sviluppare in pieno le potenzialità della Rete per una comunicazione democratica e partecipata.

Disclaimer

www.CorrieredelWeb.it e' un periodico telematico senza scopi di lucro, i cui contenuti vengono prodotti al di fuori delle tradizionali industrie dell'editoria o dell'intrattenimento, coinvolgendo ogni settore della Societa' dell'Informazione, fino a giungere agli stessi utilizzatori di Internet, che divengono contemporaneamente produttori e fruitori delle informazioni diffuse in Rete. In questo la testata ambisce ad essere una piena espressione dell'Art. 21 della Costituzione Italiana.

Pur essendo normalmente aggiornato piu' volte quotidianamente, CorrieredelWeb.it non ha una periodicita' predefinita e non puo' quindi considerarsi un prodotto editoriale ai sensi della legge n.62 del 7.03.2001.

L'Autore non ha alcuna responsabilita' per quanto riguarda qualità e correttezza dei contenuti inseriti da terze persone. L'Autore si riserva, tuttavia, la facolta' di rimuovere quanto ritenuto offensivo, lesivo o contraro al buon costume.

Le immagini e foto pubblicate sono in larga parte strettamente collegate agli argomenti e alle istituzioni o imprese di cui si scrive. Alcune fotografie possono provenire da Internet, e quindi essere state valutate di pubblico dominio. Eventuali detentori dei diritti d'autore non avranno che da segnalarlo via email alla redazione, che provvedera' all'immediata rimozione o citazione della fonte, a seconda di quanto richiesto.

Viceversa, sostenendo una politica volta alla libera circolazione di ogni informazione e divulgazione della conoscenza, ogni articolo pubblicato sul CorrieredelWeb.it, pur tutelato dal diritto d'autore, può essere ripubblicato citando la legittima fonte e questa testata secondo quanto previsto dalla licenza Creative Common.

Questa opera è pubblicata sotto una Licenza Creative Commons Creative Commons License

CorrieredelWeb.it è un'iniziativa del Cav. Andrea Pietrarota, Sociologo della Comunicazione, Public Reporter, e Giornalista Pubblicista

indirizzo skype: apietrarota