Un attore di minacce ribattezzato con il nome di Unfurling Hemlock è stato osservato mentre infettava i sistemi di destinazione simultaneamente con numerosi e diversi malware, in campagne che hanno distribuito centinaia di migliaia di file dannosi.
“Sono stati osservati in natura almeno 50.000 file che condividono queste caratteristiche in tutto il mondo, con campioni di malware correlati alla campagna che raggiungono centinaia di migliaia“, è il commento di Ettore Garcia di Outpost24.
Il metodo di attacco
Questo metodo di attacco è stato descritto dai ricercatori di sicurezza KrakenLabs di Outpost24, il team di Cyber Threat Intelligence che ha scoperto l’operazione, come una bomba a grappolo di malware, che permette all’attaccante di diffondere da un singolo malware altri payload all’interno del sistema compromesso. Tra i tipi di malware diffusi ci sarebbero: Redline, Mystic Stealer, RisePro, Amadey, SmokeLoader.
La catena d’infezione
La catena d’infezione inizia con l’apertura di un file un file PE a 32 bit “WEXTRACT.EXE .MUI”, il quale viene inviato ai dispositivi target attraverso e-mail di phishing e tramite l’utilizzo di loader.
Il file eseguibile malevolo contiene al suo interno diversi livelli di file cabinet compressi ognuno dei quali nasconde una versione malware insieme a un altro file compresso, creando una struttura nidificata che rende l’analisi più complicata. KrakenLabs avrebbe rilevato tra quattro e sette fasi nidificate.
Obiettivi
Dai campioni analizzati, i ricercatori hanno dedotto che oltre la metà di tutti gli attacchi Unfurling Hemlock hanno preso di mira sistemi negli Stati Uniti (50,8%) mentre sono state osservate attività anche in Germania (7,8%), Russia (6,3%), Turchia (6,3%), India (3,9%) e Canada (2,8%).
Attribuzione e motivazioni
Sulla base delle prove scoperte durante l’indagine (la presenza della lingua russa in alcuni campioni e l’uso dell’Autonomous System 203727, correlato al servizio di hosting diffuso tra le bande di criminali informatici dell’Europa dell’Est) i ricercatori ritengono che Unfurling Hemlock abbia sede in un paese dell’Europa orientale.
Il rapporto di KrakenLabs non approfondisce le attività post-compromissione, ma suppone che Unfurling Hemlock venda informazioni e l’accesso iniziale ad altri autori di minacce.
“È quasi certo che la motivazione principale del gruppo fosse il guadagno finanziario. I fattori che ci hanno portato a questa conclusione sono la natura del malware rilasciato (principalmente loader e stealer generici), la distribuzione massicciamente diffusa e il fatto che Unfurling Hemlock stava molto probabilmente diffondendo malware da altri gruppi, probabilmente in cambio di una commissione.“
Consigli
Poiché i malware rilasciati in questa campagna non hanno un alto grado di sofisticazione di offuscamento e anti-analisi e sono ben documentati con firme note, Outpost24 consiglia agli utenti finali di applicare sempre il buon senso evitando di scaricare file da siti ed e-mail sospetti e di utilizzare strumenti antivirus mantenendoli aggiornati.