Fonte originale: Microsoft Security Threat Intelligence
Negli ultimi anni, il mercato delle criptovalute si è notevolmente ampliato, suscitando l’interesse di investitori e autori di minacce. La stessa criptovaluta è stata utilizzata dai criminali informatici per le loro operazioni, in particolare per il pagamento del riscatto negli attacchi ransomware, ma abbiamo anche osservato che gli autori delle minacce prendono di mira direttamente le organizzazioni del settore delle criptovalute per ottenere guadagni finanziari. Gli attacchi mirati a questo mercato hanno assunto molte forme, tra cui frode, sfruttamento delle vulnerabilità, applicazioni false e utilizzo di ladri di informazioni, mentre gli aggressori tentano di mettere le mani sui fondi di criptovaluta.
Stiamo anche assistendo ad attacchi più complessi in cui l’autore della minaccia mostra grande conoscenza e preparazione, adottando misure per ottenere la fiducia del bersaglio prima di distribuire i payload. Ad esempio, Microsoft ha recentemente indagato su un attacco in cui l'autore della minaccia, identificato come DEV-0139, ha approfittato dei gruppi di chat di Telegram per prendere di mira le società di investimento in criptovaluta. DEV-0139 si è unito ai gruppi Telegram utilizzati per facilitare la comunicazione tra i clienti VIP e le piattaforme di scambio di criptovalute e ha identificato il loro obiettivo tra i membri. L'autore della minaccia si è presentato come rappresentante di un'altra società di investimento in criptovaluta e nell'ottobre 2022 ha invitato l'obiettivo in un altro gruppo di chat e ha finto di chiedere feedback sulla struttura delle commissioni utilizzata dalle piattaforme di scambio di criptovaluta. L’autore della minaccia aveva una conoscenza più ampia di questa parte specifica del settore, il che indica che era ben preparato e consapevole della sfida attuale che le aziende prese di mira potrebbero trovarsi ad affrontare.
Dopo aver guadagnato la fiducia del bersaglio, DEV-0139 ha inviato un file Excel armato con il nome OKX Binance & Huobi VIP fee comparision.xls che conteneva diverse tabelle sulle strutture tariffarie tra le società di scambio di criptovaluta. I dati contenuti nel documento erano probabilmente accurati per aumentare la loro credibilità. Questo file Excel utilizzato come arma avvia la seguente serie di attività:
Una macro dannosa nel file Excel utilizzato abusa di UserForm di VBA per offuscare il codice e recuperare alcuni dati.
La macro dannosa rilascia un altro foglio Excel incorporato nel modulo e lo esegue in modalità invisibile. Il suddetto foglio Excel è codificato in base64 e inserito in C:\ProgramData\Microsoft Media\ con il nome VSDB688.tmp
Il file VSDB688.tmp scarica un file PNG contenente tre eseguibili: un file Windows legittimo denominato logagent.exe, una versione dannosa della DLL wsock32.dll e una backdoor codificata XOR.
Il file logagent.exe viene utilizzato per eseguire il sideload del dannoso wsock32.dll, che funge da proxy DLL per il legittimo wsock32.dll. Il file DLL dannoso viene utilizzato per caricare e decrittografare la backdoor codificata XOR che consente all'autore della minaccia di accedere in remoto al sistema infetto.
Figura 1. Panoramica dell'attacco
Ulteriori indagini tramite la nostra telemetria hanno portato alla scoperta di un altro file che utilizza la stessa tecnica di proxy DLL. Ma invece di un file Excel dannoso, viene fornito in un pacchetto MSI per un'applicazione CryptoDashboardV2, datato giugno 2022. Ciò potrebbe suggerire che anche altre campagne correlate siano eseguite dallo stesso attore della minaccia, utilizzando le stesse tecniche.
In questo post del blog presenteremo i dettagli scoperti dalla nostra indagine sull'attacco contro una società di investimento in criptovaluta, nonché l'analisi dei file correlati, per aiutare organizzazioni simili a comprendere questo tipo di minaccia e prepararsi a possibili attacchi. Anche i ricercatori di Volexity hanno recentemente pubblicato le loro scoperte su questo attacco.
Come per qualsiasi attività osservata di attori statali, Microsoft avvisa direttamente i clienti che sono stati presi di mira o compromessi, fornendo loro le informazioni di cui hanno bisogno per proteggere i propri account. Microsoft utilizza le designazioni DEV-#### come nome temporaneo assegnato a un cluster di attività di minaccia sconosciuto, emergente o in via di sviluppo, consentendo a Microsoft Threat Intelligence Center (MSTIC) di monitorarlo come un insieme univoco di informazioni fino a raggiungere un livello elevato fiducia circa l’origine o l’identità dell’attore dietro l’attività. Una volta soddisfatti i criteri, un DEV viene convertito in un attore con nome.
Compromesso iniziale
Per identificare gli obiettivi, l’autore della minaccia ha cercato membri di gruppi di investimento in criptovalute su Telegram. Nell'attacco specifico, DEV-0139 è entrato in contatto con il proprio obiettivo il 19 ottobre 2022 creando un gruppo Telegram secondario con il nome <NameOfTheTargetedCompany> <> OKX Fee Adjustment e invitando tre dipendenti. L'autore della minaccia ha creato profili falsi utilizzando i dettagli dei dipendenti dell'azienda OKX. Lo screenshot qui sotto mostra gli account reali e quelli dannosi per due degli utenti presenti nel gruppo.
Figura 2. Profili legittimi dei dipendenti dello scambio di criptovaluta (a sinistra) e profili falsi creati dall'autore della minaccia (a destra)
Vale la pena notare che l'autore della minaccia sembra avere un'ampia conoscenza del settore delle criptovalute e delle sfide che l'azienda presa di mira potrebbe affrontare. L'autore della minaccia ha posto domande sulle strutture tariffarie, ovvero le commissioni utilizzate dalle piattaforme di scambio di criptovalute per il trading. Le commissioni rappresentano una grande sfida per i fondi di investimento in quanto rappresentano un costo e devono essere ottimizzate per ridurre al minimo l’impatto su margini e profitti. Come molte altre aziende in questo settore, i costi maggiori derivano dalle commissioni addebitate dagli scambi. Questo è un argomento molto specifico che dimostra come l'autore della minaccia fosse avanzato e ben preparato prima di contattare il suo obiettivo.
Dopo aver guadagnato la fiducia della vittima, l'autore della minaccia ha inviato alla vittima un documento Excel contenente ulteriori dettagli sulle tariffe per sembrare legittimo. L'autore della minaccia ha utilizzato la discussione sulla struttura tariffaria come un'opportunità per chiedere alla vittima di aprire il file Excel utilizzato come arma e inserire le proprie informazioni.
Analisi armata di file Excel
Il file Excel utilizzato come arma, che ha il nome file OKX Binance & Huobi VIP fee comparision.xls (Sha256: abca3253c003af67113f83df2242a7078d5224870b619489015e4fde060acad0), è ben realizzato e contiene informazioni legittime sulle tariffe attuali utilizzate da alcuni scambi di criptovalute. I metadati estratti hanno mostrato che il file è stato creato dall'utente Wolf:
Figura 3. Le informazioni nel file Excel dannoso
La macro è offuscata e abusa di UserForm (una funzionalità utilizzata per creare finestre) per archiviare dati e variabili. In questo caso, il nome del Form utente è IFUZYDTTOP e la macro recupera le informazioni con il seguente codice IFUZYDTTOP.MgQnQVGb.Caption dove MgQnQVGb è il nome dell'etichetta nel Form utente e .caption consente di recuperare le informazioni archiviate nel Form utente .
La tabella seguente mostra i dati recuperati dal Form utente:
La macro recupera alcuni parametri dal Form utente e un altro file XLS archiviato in base64. Il file XLS viene rilasciato nella directory C:\ProgramData\Microsoft Media come VSDB688.tmp e viene eseguito in modalità invisibile.
Figura 4. Il codice deoffuscato per caricare il foglio di lavoro estratto in modalità invisibile.
Inoltre, il foglio principale del file Excel è protetto con la password dragon per incoraggiare l'obiettivo ad abilitare le macro. Il foglio viene quindi non protetto dopo l'installazione e l'esecuzione dell'altro file Excel archiviato in Base64. Questo viene probabilmente utilizzato per indurre l'utente ad abilitare le macro e non destare sospetti.
Foglio di lavoro estratto
Il secondo file Excel, VSDB688.tmp (Sha256: a2d3c41e6812044573a939a51a22d659ec32aea00c26c1a2fdf7466f5c7e1ee9), viene utilizzato per recuperare un file PNG che viene successivamente analizzato dalla macro per estrarre due file eseguibili e la backdoor crittografata. Di seguito sono riportati i metadati per il secondo foglio di lavoro:
Figura 5. Il secondo file è completamente vuoto ma contiene la stessa tecnica di abuso di UserForm della prima fase.
La tabella seguente mostra i dati deoffuscati recuperati dal Form utente:
La macro recupera alcuni parametri dal Form utente quindi scarica un file PNG da hxxps://od.lk/d/d021d412be456a6f78a0052a1f0e3557dcfa14bf25f9d0f1d0d2d7dcdac86c73/Background.png. Il file non era più disponibile al momento dell'analisi, il che indica che probabilmente l'autore della minaccia lo ha utilizzato solo per questo attacco specifico.
Figura 6. Codice deoffuscato che mostra il download del file Background.png
Il PNG viene quindi diviso in tre parti e scritto in tre file diversi: il file legittimo logagent.exe, una versione dannosa di wsock32.dll e la backdoor crittografata XOR con il GUID (56762eb9-411c-4842-9530-9922c46ba2da). I tre file vengono utilizzati per caricare il payload principale nel sistema di destinazione.
Figura 7. I tre file vengono scritti in C:\\ProgramData\SoftwareCache\ ed eseguiti utilizzando l'API CreateProcess
Analisi del caricatore
Due dei tre file estratti dal file PNG, logagent.exe e wsock32.dll, vengono utilizzati per caricare la backdoor crittografata XOR. Le sezioni seguenti presentano la nostra analisi approfondita di entrambi i file.
Logagent.exe
Logagent.exe (Hash: 8400f2674892cdfff27b0dfe98a2a77673ce5e76b06438ac6110f0d768459942) è un'applicazione di sistema legittima utilizzata per registrare errori da Windows Media Player e inviare informazioni per la risoluzione dei problemi.
Il file contiene i seguenti metadati, ma non è firmato:
Logagent.exe importa la funzione da wsock32.dll di cui l'autore della minaccia abusa per caricare codice dannoso nel sistema di destinazione. Per attivare ed eseguire il dannoso wsock32.dll, logagent.exe viene eseguito con i seguenti argomenti precedentemente recuperati dalla macro: 56762eb9-411c-4842-9530-9922c46ba2da /shadow. Entrambi gli argomenti vengono quindi recuperati da wsock32.dll. Il GUID 56762eb9-411c-4842-9530-9922c46ba2da è il nome del file da caricare per il dannoso wsock32.dll e /shadow viene utilizzato come chiave XOR per decrittografarlo. Entrambi i parametri sono necessari affinché il malware funzioni, ostacolando potenzialmente l'analisi isolata.
Figura 8. Esecuzione della riga di comando dal processo in esecuzione logagent.exe
Wsock32.dll
Il wsock32.dll legittimo è l'API Windows Socket utilizzata dalle applicazioni per gestire le connessioni di rete. In questo attacco, l'autore della minaccia ha utilizzato una versione dannosa di wsock32.dll per eludere il rilevamento. Il dannoso wsock32.dll viene caricato da logagent.exe tramite il sideloading DLL e utilizza il proxy DLL per chiamare le funzioni legittime dal vero wsock32.dll ed evitare il rilevamento. Il proxy DLL è una tecnica di dirottamento in cui una DLL dannosa si inserisce tra l'applicazione che chiama la funzione esportata e una DLL legittima che implementa tale funzione esportata. In questo attacco, il dannoso wsock32.dll funge da proxy tra logagent.exe e il legittimo wsock32.dll.
È possibile notare che la DLL sta inoltrando la chiamata alle funzioni legittime guardando la tabella degli indirizzi di importazione:
Figura 9. Importa tabella indirizzi da
Figura 10. Il recupero dei dati con PeStudio ha rivelato il nome del file originale del dannoso wsock32.dll.
Quando viene caricato il file wsock32.dll dannoso, recupera innanzitutto la riga di comando e controlla se il file con il GUID come nome file è presente nella stessa directory utilizzando l'API CreateFile per recuperare un handle di file.
Figura 11. Verifica della presenza del file 56762eb9-411c-4842-9530-9922c46ba2da per la decrittazione
Il dannoso wsock32.dll carica e decodifica l'impianto finale nella memoria con il nome GUID utilizzato per accedere in remoto alla macchina infetta.
Una volta caricato nella memoria, il file fornisce accesso remoto all'autore della minaccia. Al momento dell'analisi, non siamo riusciti a recuperare il carico utile finale. Tuttavia, abbiamo identificato un’altra variante di questo attacco e recuperato il payload, di cui parleremo nella sezione successiva. Gli impianti identificati si riconnettevano allo stesso server di comando e controllo (C2).
Attacco correlato
Abbiamo identificato un altro file utilizzando un meccanismo simile a logagent.exe e fornendo lo stesso payload. Il caricatore è confezionato come pacchetto MSI e come previsto un'applicazione chiamata CryptoDashboardV2 (Hash: e5980e18319027f0c28cd2f581e75e755a0dace72f10748852ba5f63a0c99487). Dopo aver installato MSI, utilizza un'applicazione legittima chiamata tplink.exe per eseguire il sideload della DLL dannosa chiamata DUser.dll e utilizza anche il proxy DLL.
Figura 12. Dettagli di installazione del file MSI
Una volta installato, il pacchetto esegue e carica lateralmente la DLL utilizzando il seguente comando: C:\Users\user\AppData\Roaming\Dashboard_v2\TPLink.exe” 27E57D84-4310-4825-AB22-743C78B8F3AA /sven, dove utilizza notevolmente un GUID diverso.
Ulteriori analisi del dannoso DUser.dll hanno mostrato che anche il suo nome originale è HijackingLib.dll, lo stesso del dannoso wsock32.dll. Ciò potrebbe indicare l'utilizzo dello stesso strumento per creare questi proxy DLL dannosi. Di seguito sono riportati i dettagli del file di DUser.dll:
Una volta che la DLL è in esecuzione, carica e decodifica l'impianto nella memoria e inizia a indirizzare lo stesso dominio. In tal caso, l'impianto utilizza il nome GUID 27E57D84-4310-4825-AB22-743C78B8F3AA e la chiave XOR /sven.
Analisi degli impianti
Il payload decodificato nella memoria dalla DLL dannosa è un impianto utilizzato dall'autore della minaccia per accedere in remoto alla macchina compromessa. Siamo riusciti a ottenere quello dalla seconda variante che abbiamo scoperto. Di seguito i dettagli del carico utile:
Dettagli di rilevamento
Antivirus Microsoft Defender
Microsoft Defender Antivirus rileva i componenti delle minacce come il seguente malware:
TrojanDownloader:O97M/Wolfic.A
TrojanDownloader:O97M/Wolfic.B
TrojanDownloader:O97M/Wolfic.C
TrojanDownloader:Win32/Wolfic.D
TrojanDownloader:Win32/Wolfic.E
Comportamento:Win32/WolficDownloader.A
Comportamento:Win32/WolficDownloader.B
Microsoft Defender per endpoint
Gli avvisi con i seguenti titoli nel Centro sicurezza possono indicare attività di minaccia sulla rete:
Un eseguibile ha caricato una DLL imprevista
Dirottamento dell'ordine di ricerca DLL
Il malware “Wolfic” è stato impedito
