Il Federal Bureau of Investigation (FBI) e la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti hanno pubblicato il Malware Analysis Report (AR20-232A) che segnala un nuovo ceppo di malware denominato "BLINDINGCAN". Si tratta di un Trojan ad accesso remoto (RAT) creato da hacker sponsorizzati dallo Stato nordcoreano per eseguire una serie di attacchi contro aziende statunitensi e d'oltreoceano che operano nei settori della difesa militare e dell'aerospazio per ottenere informazioni riservate e segrete.
In questo blog analizziamo le tattiche nascoste dell'attore della minaccia, descriviamo il vettore di infezione del malware e la sua esecuzione e forniamo la soluzione per prevenire questo tipo di attacco.
Vettore di infezione
Il malware è stato iniettato nel sistema delle vittime tramite una campagna di phishing che imita gli annunci di lavoro delle principali aziende del settore aerospaziale e della difesa. Alle vittime è stato chiesto di aprire un documento MS Word allegato, che alla fine ha infettato i loro sistemi. Gli scenari di attacco sembrano familiari e facili da individuare. Tuttavia, in questa campagna, gli hacker nordcoreani non hanno utilizzato malware o macro VBA incorporati nel documento allegato, ma hanno utilizzato il metodo AttachedTemplate per scaricare un file infetto da una fonte esterna al momento dell'apertura ed eseguirlo. È possibile che l'oggetto esterno sia stato utilizzato per creare un attacco a più stadi per aggirare i sistemi AV. Questa tecnica di attacco evasivo non è nuova, ma è ancora molto efficace per eludere e attenuare il rilevamento.
Qui potete trovare il risultato dettagliato della scansione condotta dal nostro MetaDefender Cloud . Solo 14/38 motori AV hanno rilevato la minaccia.
Analizziamo di seguito 3 dimostrazioni di attacchi che utilizzano oggetti OLE per capire perché questo trucco evasivo è pericoloso e come prevenirlo.
Oggetto incorporato VS Macro VS Modello allegato, come funzionano?
Nella prima dimostrazione, abbiamo inserito un malware in un documento MS Word come oggetto OLE.
Se il documento viene scansionato da MetaDefender Cloud, anche se MetaDefender Cloud non è configurato per estrarre i file di Microsoft Office, 9 AV hanno rilevato con successo il malware incorporato. Ci saranno più motori che rileveranno il malware se il documento viene scansionato da MetaDefender Core (la versione on-premises con funzionalità di configurazione complete), dove l'estrazione è abilitata.
Per la seconda demo, abbiamo utilizzato una macro incorporata per scaricare il malware. La minaccia è stata rilevata da 4 motori.
Infine, abbiamo sostituito il malware di cui sopra con un file eicar esterno utilizzando il metodo AttachedTemplate. Di conseguenza, solo un AV è riuscito a rilevare la minaccia.
In linea di massima, nelle prime dimostrazioni, come oggetto incorporato, il malware è presente nella cartella "embeddings" che consente ai sistemi AV di rilevarlo facilmente.
Tuttavia, se si tratta di un oggetto collegato, come mostrato nella seconda e terza demo, sarà molto più difficile per i sistemi AV rilevare la minaccia. Questi tipi di attacchi sono efficaci contro le difese basate sulle firme, poiché il malware non viene scaricato finché le vittime non aprono il file.
Per gli attacchi che utilizzano una macro incorporata, alcuni sistemi di protezione basati sul rilevamento possono identificare il malware grazie al codice dannoso all'interno del file. Tuttavia, quando il malware viene scaricato da una fonte esterna sfruttando il modello di documento allegato, l'unico elemento sospetto è l'URL nel file XML. Purtroppo, la maggior parte dei sistemi AV esistenti sul mercato non è in grado di analizzare gli URL. Inoltre, l'URL dannoso può essere modificato in qualsiasi momento.
Soluzione: OPSWAT Deep Content Disarm and Reconstruction (Deep CDR)
Deep CDR è una tecnologia avanzata di prevenzione delle minacce che non si basa sul rilevamento. Al contrario, presuppone che tutti i file siano dannosi e provvede a sanificare e ricostruire ogni file, garantendo la piena fruibilità con contenuti sicuri. Indipendentemente dal tipo di oggetti OLE, Deep CDR li identifica come oggetti potenzialmente pericolosi e li rimuove tutti dal file. Di conseguenza, tutti e 3 i vettori di infezione sopra menzionati non sono più utilizzabili. Gli utenti riceveranno un file sicuro con tutte le funzionalità.
Dopo essere stati elaborati da Deep CDR, tutti e tre i campioni sono privi di minacce. Anche i file incorporati, come le immagini, vengono sanificati in modo ricorsivo per garantire il 100% di prevenzione delle minacce.
Deep CDR garantisce che ogni file che entra nella vostra organizzazione non sia dannoso, aiutandovi a prevenire gli attacchi zero-day e il malware evasivo. La nostra soluzione supporta la sanificazione di oltre 100 tipi di file comuni, tra cui PDF, file di Microsoft Office, HTML, file di immagine e molti formati specifici regionali come JTD e HWP.
Contattateci per saperne di più sulle tecnologie avanzate di OPSWAT e per proteggere la vostra organizzazione da attacchi sempre più sofisticati.
Riferimento:
Malwrologist, 2020. A Close Look At Malicious Documents (Part I ). [online] Malware Analysis. Available at <https://dissectmalware.wordpre...> [Accessed 7 September 2020].
Us-cert.cisa.gov. 2020. MAR-10295134-1.V1 – North Korean Remote Access Trojan: BLINDINGCAN | CISA. [online] Available at: <https://us-cert.cisa.gov/ncas/... > [Accessed 7 September 2020].
