Campagna Malware plausibilmente rivolta verso target italiani

ID: CERT-PA-B002-180309 Data: 09/03/2018

AVVERTENZE Il documento ha lo scopo di fornire alle Amministrazioni accreditate il quadro di riferimento degli scenari di minaccia

rilevati dal CERT-PA, al fine di consentire loro di avviare tempestivamente valutazioni di impatto sui propri sistemi

informativi e implementare le misure di contrasto/contenimento dei rischi correlati.

Il CERT-PA, nell’erogare al meglio questo servizio, si avvale di propri fornitori e di fonti pubbliche disponibili in Rete,

individuati e selezionati tra i più autorevoli organismi di sicurezza, aziende specializzate e fornitori di tecnologie, al fine di

garantire alla comunità di riferimento – con la massima accuratezza, affidabilità e tempestività possibile – le informazioni

utili per la prevenzione e la gestione degli incidenti di sicurezza informatica.

Non è consentito far uso di queste informazioni per finalità differenti da quelle sopra indicate.

La presenza di rinvii operati mediante tecniche di ipertesto (link) non costituisce una raccomandazione del CERT-PA verso il

soggetto richiamato, ma unicamente uno strumento per facilitare il rapido recupero di informazioni utili.

CERT-PA-B002-180309 1

Sommario .......................................................................................................................................................... 2

1. Campagna diffusione malware via posta elettronica ............................................................................. 2

La mail incriminata .................................................................................................................................... 2

Analisi Statica dell’allegato ........................................................................................................................ 3

Analisi Dinamica dell’allegato .................................................................................................................... 5

Analisi del Command & Control ................................................................................................................ 6

Analisi della campagna ...................................................................................................................................... 7

Indicatori di compromissione ............................................................................................................................ 8

CERT-PA-B002-180309 2

Sommario Questa sezione contiene l’elenco delle minacce oggetto del bollettino. Dalle segnalazioni e dal

monitoraggio delle fonti, il CERT-PA ha evidenziato i seguenti eventi:

1. Campagna diffusione malware via posta elettronica Nel corso delle ultime 48 ore il CERT-PA ha individuato una campagna di diffusione malware veicolata a

mezzo email su target italiani.

La mail incriminata

Il messaggio, proveniente da un generico account di posta elettronica, riporta come oggetto “Re Swift

Copy” e in allegato un file denominato “Swift_DBC4E0.pdf”.

Di seguito un estratto del messaggio:

CERT-PA-B002-180309 3

Analisi Statica dell’allegato

Il file allegato è mascherato da Pdf, ma le proprietà statiche del documento ne svelano la reale natura.

Short information ------------------------------------------------------------ File type ISO 9660 CD-ROM filesystem data 'Swift_DBC4E0.pdf' File name Swift_DBC4E0.pdf File size 544768 Hash MD5 6883bc9adf8f9afb5cc8e3698f58c717 Filename found ------------------------------------------------------------ Library winmm.dll Library MSVBVM60.DLL Library gdi32.dll Library circumbulbar3.dll Library VBA6.DLL Portable Win32 Swift_DBC4E0.pdf Autogen C:\Program Files (x86)\Microsoft Visual Studio\VB98\VB6.OLB

Trattando il file come un contenitore immagine ISO è stato possibile individuare ed esportare il contenuto

malevolo “Swift_DBC4E0.pdf.com” di 483,3 kb e sottoposto, successivamente, ad analisi.

Dall’analisi statica del sample “Swift_DBC4E0.pdf.com”, disponibile su Infosec (la piattaforma pubblica del

CERT-PA), il file risulta essere compilato in data “2018-03-06 19:49:23” tramite Microsoft Visual Basic

versione 5.0 o 6.0. La form è progettata con attributo “ShowInTaskbar = 0“ in modo da non risultare visibile

e contiene all’interno una CheckBox, una OptionButton e una Label come di seguito riportate.

VERSION 5.00 Begin VB.Form Dmatest8 Caption = “Simunul” ScaleMode = 1 AutoRedraw = False FontTransparent = True Picture = “Dmatest8.frx”:0 BorderStyle = 3 ‘Fixed Dialog LinkTopic = “Simunul” ClientLeft = 3453 ClientTop = 3292 ClientWidth = 3399 ClientHeight = 2532 ShowInTaskbar = 0 ‘False StartUpPosition = 3 ‘Windows Default

Begin CheckBox Check5 Caption = “Check5” Left = 2351 Top = 268 Width = 1517 Height = 1657 TabIndex = 1 End

Begin OptionButton Option1 Caption = "Option1" Left = 2992 Top = 3346 Width = 3613 Height = 1443 TabIndex = 2 End

Begin Label Label3 Caption = "Label3" Left = 215 Top = 1677 Width = 963 Height = 2812 TabIndex = 0 End End Attribute VB_Name = “Dmatest8”

CERT-PA-B002-180309 4

Nel modulo “Sub_Main “ è stata individuata una porzione di codice che impone una comparazione binaria

tra stringhe al fine di procedere con la routine successiva.

Compiled Code Pseudo code push 00401FB0h ; "Nooli1" push 00401FC4h ; "Exoticness0" push esi call 004011EEh ; __vbaInStr test eax, eax jnz 00473A57h

var_38 = var_38 + 1 If InStr(1, "Nooli1", "Exoticness0", 0) <> 0 Then GoTo loc_00473A57 If (var_38 > 4856622) = 0 Then GoTo loc_00473950 ecx = vbNullString / 22 var_B4 = Global.CompanyName var_eax = DdeEnableCallback(var_B4, CLng(var_68), CLng(vbNullString))

Nel modulo “Api”, attraverso il quale vengono indicate le librerie da importare, figurano chiamate a

funzioni note presenti nelle librerie di sistema e chiamate a funzioni che vengono importate da una libreria

proprietaria denominata “circumbulbar3.dll” di cui al momento non vi è traccia.

Private Declare Function LoadModule Lib "kernel32" Alias "LoadModule" (ByVal lpModuleName As String, lpParameterBlock As Any) As Long Private Declare Function DdeEnableCallback Lib "user32" Alias "DdeEnableCallback" (ByVal idInst As Long, ByVal hConv As Long, ByVal wCmd As Long) As Long Private Declare Function DrvGetModuleHandle Lib "winmm.dll" Alias "DrvGetModuleHandle" (ByVal hDriver As Long) As Long Private Declare Function SetPolyFillMode Lib "gdi32" Alias "SetPolyFillMode" (ByVal hdc As Long, ByVal nPolyFillMode As Long) As Long Private Declare Function waveInGetPosition Lib "winmm.dll" Alias "waveInGetPosition" (ByVal hWaveIn As Long, lpInfo As MMTIME, ByVal uSize As Long) As Long Private Declare Sub EnumFontsW Lib "gdi32"() Private Declare Sub Singlestick Lib "circumbulbar3.dll"() Private Declare Sub Bytime Lib "circumbulbar3.dll"() Private Declare Sub Fadija Lib "circumbulbar3.dll"() Private Declare Sub Frontshiftl Lib "circumbulbar3.dll"() Private Declare Sub Ellenyard5 Lib "circumbulbar3.dll"()

Dal report di VirusTotal, il sample oggetto di analisi è stato rilevato da 24 antivirus su un totale di 67 ed è

stato classificato come Trojan Horse nonostante altre analisi antivirus lo collochino nella categoria Lokibot.

CERT-PA-B002-180309 5

Analisi Dinamica dell’allegato

Il sample è stato analizzato dinamicamente su due ambienti di test: Windows XP e Windows 10. In

entrambi i casi, differentemente da quanto emerso da alcune sandbox online dai quali non risulta evidenza

di traffico network, il malware verifica in prima battuta la presenza di connettività contattando il server

Microsoft NTP “time.windows.com” e successivamente invia richieste HTTP di tipo POST al server

“http://osspanels.info” puntando al file “fre.php” situato nella directory “osita”.

Request Response

Gli headers della richiesta presentano un campo opzionale denominato “Content-Key” il cui valore è settato

a “21986CAE” mentre il campo “User-Agent” risulta essere sempre “Mozilla/4.08 (Charon; Inferno)”. Le

informazioni inerenti la macchina da cui è stato eseguito sono incluse nel corpo della richiesta.

Poiché la risposta dal server è puntualmente “File not found.” si presuppone siano stati apportati dei

cambiamenti al server di Command & Control per cui il sample analizzato non riesce a completare le

operazioni successive.

Una volta eseguito il malware, il file viene automaticamente rimosso dalla posizione in cui è stato lanciato,

ma una copia fedele viene comunque salvata sul disco in un percorso differente:

“C:\Users\admin\AppData\Roaming\F63AAA\<filname>.exe”

CERT-PA-B002-180309 6

Analisi del Command & Control

Visitando il dominio contattato dal malware “http://osspanels.info” viene mostrata la pagina di cortesia

“CentOS-WebPanel”. La pagina di login, probabilmente legata a questa campagna, risulta accessibile alla

seguente url “http://osspanels.info/osita/PvqDq929BSx_A_D_M1n_a.php".

Analizzando il contenuto delle directory “accessibili” si è avuta evidenza di numerosi file utili al

funzionamento del C&C. Tra i vari file disponibili sono stati individuati all’interno del server due contenitori

(.kdbx) KeePass e un file denominato “e084d867fb_riesci_a_.zip” che dal nome lascia presupporre il

contributo italiano a questa campagna.

Index of /osita/sSCcUzO Index of /osita/ogftJZY/page Index of /osita/ogftJZY Index of /osita/ogftJZY/class

365bd41284_cyqOMjpIfz.snt 61215d9af1_IZdccfkScP.snt 9ec8a3241f_PbkVyJzgga.kdbx e084d867fb_riesci_a_.zip e74e884804_QlYAOezojV.kdbx

bot.inc.php command.inc.php data.inc.php dump.inc.php error.inc.php header.inc.php login.inc.php main.inc.php report.inc.php settings.inc.php wallet.inc.php

class/ lang.db.php page/ style/

chart.class.php geoip/ login.class.php misc.class.php mysqli.class.php pCharts/ pass_module/ wallet.class.php worker.class.php

Inoltre, alcune redirezioni dal server di C&C verso un indirizzo IP esterno ci hanno consentito di individuare

un “Control Panel” al seguente url: “http://185.145.128.60:2030/login/index.php” sulla porta 2082, mentre

una pagina di login a phpMyAdmin per gestire il database MySql è disponibile sul medesimo server alla

porta 2030 “http://185.145.128.60:2030/pma/”.

CERT-PA-B002-180309 7

Analisi della campagna Si riportano di seguito alcune immagini esplicative sulla diffusione geografica della campagna, il protocollo

utilizzato come veicolo e le principali tipologie di industrie coinvolte.

Come è possibile notare dall’immagine sopra indicata, l’Italia al momento risulta essere il paese più

impattato da questa campagna. Le immagini a seguire riportano come veicolo principale la posta

elettronica e la navigazione web, mentre riguardo ai settori coinvolti non sembra esserci un target

specifico.

CERT-PA-B002-180309 8

Indicatori di compromissione Di seguito si riportano gli IoC associabili alla minaccia indicata, rilevati da fonti CLOSINT di "threat

intelligence" nella data compresa tra il 05/03/2018 e il 09/03/2018.

Hash MD5 Domain IP Address

6a9a5cb02fc6dfcdddf8874ca94b53c3 5663c67e6f12160e618a6fa3ea0f6084 cfc4ac689b62525ed4d88df43cdd6594 d57f55562baa9e0dbef41b6a55921e67 eef9939a42d0f6ad254d4aa0542a593a be52295de365c30b54b6de6af7f86ecb dcbb7d1d6597deff99362420b3988052 556452fbee555eee0039ffa196b9fb2b a6e27432f1c466ee4544d9b9be71ccaa 9eb1f9c38c8f8e45e72b2529fdf114af f043642d7a238a525fba77de8225955b 0fbd795357b5408ba27ab5e50f0f67e3 c439a0dd7c945d168316fcf2600bbf6c 750f02569ed9f047c5e5ceea64f3921e ed508ffd540bc4b82dacc73a2ca42cb6 fc16b2fc8d7fb1ec48b4cfdd94379c8a 3382dac16afc7f9e68b198f1e319531d 22800e786bd76d8b8712c9bbe68b10cd 5d58cb0803405d2ad235be0463ec5086 9047596c183b86a0c9487005a2725bbb 2db37fad85cfbecd966a45c4c50aaf97 15eafa65f1776e321e8e8f989498de06 15d8266ce3e62a912a785738cdc7de72 ed2a995e2d3bac49d0a93cb425c8c1da 8d72ebd2fcae8afe5ff389b04c23bccf

18panels.info timbet.space steevya.com 0422018.ml bandroxoma.com pastwinnerclue.ml chritlebrittle.ga bandroxo.patdns.ru spark-technology.com joshkelly.club joshkell.patdns.ru osspanels.info 476436783.blotdns.ru

83.220.171.57 81.17.30.238 185.145.128.60 185.183.96.78 185.198.57.204 89.46.222.18