Installer Zoom Modificato Usato dagli Hacker per Ottenere Accesso RDP

L’attacco attraverso il falso installer Zoom

Recentemente, i ricercatori di sicurezza hanno scoperto una sofisticata campagna di attacco informatico che sfrutta un falso installer di Zoom per diffondere il ransomware BlackSuit all’interno delle reti aziendali. Questa operazione dimostra un elevato livello di coordinazione e un approccio multi-fase nella distribuzione del malware, progettato per eludere il rilevamento e massimizzare l’impatto.

Il processo di infezione iniziale

L’attacco ha inizio quando una vittima ignara visita un sito web malevolo che imita la pagina ufficiale di download di Zoom. Il dominio utilizzato, zoommanager[.]com, è stato creato appositamente per ingannare gli utenti facendogli credere di trovarsi sul sito legittimo dell’applicazione di videoconferenza.

Una volta sul sito falso, la vittima scarica quello che crede essere il normale installer di Zoom, ma in realtà si tratta di un programma malevolo incorporato con un downloader chiamato “d3f@ckloader”. Questo loader è stato sviluppato utilizzando il linguaggio di scripting Pascal ed è confezionato utilizzando Inno Setup per apparire come un installer legittimo.

Le fasi dell’attacco

1. Stabilire la persistenza: Il malware aggiunge la sua directory di installazione alle esclusioni di Windows Defender e nasconde i file infetti.
2. Connessione al server di comando e controllo: Utilizza una pagina di profilo di Steam Community per ottenere l’indirizzo IP del server che ospita la seconda fase del malware.
3. Download di archivi ZIP: Scarica due archivi ZIP dal server C2, uno contenente il vero installer di Zoom e l’altro il payload malevolo.
4. Iniezione del malware: Il malware SectopRAT viene iniettato nel processo legittimo MSBuild.exe per eludere il rilevamento.
5. Periodo di latenza: Il malware rimane inattivo per 9 giorni prima di passare alla fase successiva.
6. Escalation dell’attacco: Dopo il periodo di latenza, SectopRAT distribuisce i beacon Brute Ratel e Cobalt Strike sulla rete compromessa.

Tecniche avanzate di intrusione

Gli attaccanti hanno dimostrato un alto livello di sofisticazione utilizzando diverse tecniche avanzate:

• Harvesting delle credenziali: Estrazione delle credenziali dalla memoria LSASS.
• Movimento laterale: Utilizzo della creazione di servizi remoti di Windows per diffondersi nella rete.
• Tunneling RDP: Impiego di un tool proxy chiamato QDoor per stabilire connessioni RDP attraverso l’ambiente.

L’uso innovativo di QDoor

Uno degli aspetti più notevoli di questa intrusione è stato l’utilizzo di QDoor, un tool proxy, per stabilire l’accesso RDP in tutto l’ambiente. Il malware è stato distribuito sui domain controller e configurato per inoltrare il traffico al server controllato dagli attaccanti all’indirizzo 143.244.146[.]183.

Questa tecnica di tunneling ha permesso agli hacker di stabilire connessioni desktop remoto attraverso il domain controller compromesso per accedere ai file server, dove hanno poi utilizzato WinRAR per archiviare dati sensibili.

Esfiltrazione dei dati e distribuzione del ransomware

Dopo aver ottenuto l’accesso e raccolto i dati sensibili, gli attaccanti hanno proceduto con le fasi finali del loro piano:

1. Esfiltrazione dei dati: Circa 934 MB di dati sono stati esfiltrati utilizzando il servizio di cloud storage Bublup.
2. Distribuzione del ransomware: Il ransomware BlackSuit è stato distribuito utilizzando PsExec per l’esecuzione remota su tutti i sistemi Windows della rete.

La sofisticata catena di attacco multi-fase, combinata con il periodo di latenza di nove giorni, dimostra la pazienza e l’approccio metodico degli attori della minaccia nel massimizzare sia il furto di dati che l’impatto della cifratura.

Implicazioni e consigli per la sicurezza

Questo attacco mette in luce la crescente sofisticazione delle minacce informatiche e la necessità di una maggiore vigilanza da parte di organizzazioni e individui. Ecco alcuni consigli per proteggersi da simili attacchi:

1. Verificare sempre la fonte dei download: Assicurarsi di scaricare software solo da fonti ufficiali e verificate.
2. Implementare una soluzione EDR: Utilizzare soluzioni di Endpoint Detection and Response per rilevare e bloccare comportamenti sospetti.
3. Monitorare attivamente la rete: Prestare attenzione a connessioni o attività di rete insolite, specialmente quelle che coinvolgono RDP.
4. Applicare il principio del minimo privilegio: Limitare i privilegi degli utenti e dei processi al minimo necessario per ridurre la superficie di attacco.
5. Educare i dipendenti: Formare regolarmente il personale sul riconoscimento di phishing e altre tecniche di ingegneria sociale.
6. Mantenere i sistemi aggiornati: Applicare tempestivamente patch e aggiornamenti di sicurezza a tutti i sistemi e software.
7. Utilizzare l’autenticazione a più fattori: Implementare MFA per tutti gli accessi, specialmente per connessioni RDP.
8. Segmentare la rete: Dividere la rete in zone isolate per limitare la diffusione di eventuali infezioni.
9. Backup regolari e offline: Mantenere backup aggiornati e disconnessi dalla rete principale per facilitare il ripristino in caso di attacco ransomware.
10. Monitorare le attività degli account privilegiati: Prestare particolare attenzione alle azioni eseguite da account con elevati privilegi.

L’attacco tramite il falso installer di Zoom evidenzia come i criminali informatici stiano diventando sempre più sofisticati nelle loro tattiche. Sfruttando la popolarità di applicazioni ampiamente utilizzate come Zoom e combinando tecniche di social engineering con malware avanzato, gli attaccanti sono in grado di penetrare anche nelle reti più protette.

È fondamentale che le organizzazioni adottino un approccio proattivo alla sicurezza, implementando misure di difesa a più livelli e mantenendo un alto livello di consapevolezza tra i dipendenti. Solo attraverso una combinazione di tecnologia, formazione e procedure di sicurezza rigorose sarà possibile contrastare efficacemente queste minacce in continua evoluzione.

La vigilanza costante e l’adattamento rapido alle nuove tattiche degli attaccanti sono essenziali per mantenere la sicurezza delle reti aziendali in un panorama di minacce sempre più complesso e dinamico.

Fonte: https://cybersecuritynews.com/hackers-used-weaponized-zoom-installer