Mimecast Logo
Richiedi un preventivo

    Violazione del copyright

    12 febbraio 2025

    Di Samantha Clarke, Hiwot Mendahun e il team di ricerca sulle minacce di Mimecast

    Punti principali

    Cosa imparerai in questa notifica

    • Mirato ai settori del commercio al dettaglio, del turismo e dell'ospitalità prevalentemente nel Regno Unito e negli Stati Uniti.
    • Traffico costante in aumento da agosto 2024 fino alla fine dell'anno.
    • L'intento principale è distribuire un infostealer per esfiltrare dati sensibili

    Flusso della campagna

    Copyright-Infringement-Flow.jpg

    I ricercatori di minacce di Mimecast hanno monitorato e investigato una campagna di infostealer che prende di mira varie organizzazioni, con un focus particolare sui settori della vendita al dettaglio, del turismo e dell'ospitalità. Nella campagna, gli attori delle minacce si spacciano per noti studi legali contattando le aziende riguardo a una violazione del copyright, per indurre le vittime a scaricare file dannosi da Dropbox. I file dannosi mirano a distribuire malware sotto forma di vari InfoStealer.

    Copyright-Infringement-1.png

    Distribuito tramite Mail Merge, un servizio che consente la distribuzione di campagne email personalizzate di massa, integrando dati specifici del destinatario nei modelli. Gli attori delle minacce sfruttano gli account di prova gratuiti di Mail Merge insieme a Gmail per orchestrare e distribuire campagne email su vasta scala. Sfruttando piattaforme legittime, bypassano alcune autenticazioni DNS, assicurando la consegna riuscita delle loro campagne dannose.

    Una volta che l'utente scarica i file, un file eseguibile viene eseguito e utilizza un repository di GitHub appartenente a LoneNone1807 che include diversi file malware. Il repository include una recente campagna che inizia con un file batch altamente offuscato che, una volta eseguito, scarica e installa due tipi di malware: XWorm e RedLine. XWorm è un trojan di accesso remoto (o RAT) che consente agli aggressori di controllare i sistemi infetti, mentre RedLine è un software di furto di informazioni progettato per estrarre dati sensibili dalle vittime. Il malware impiega tecniche di offuscamento avanzate, utilizzando batch script altamente codificati con livelli di comandi annidati e generando dinamicamente payload per eludere i meccanismi di rilevamento tradizionali.

    Mimecast ha osservato un flusso costante di campagne iniziate intorno a luglio, che sono aumentate ad agosto, con il picco maggiore a dicembre per questa campagna.

    Copyright-Infringement-2.png

    Sono state condotte diverse analisi sui malware trovati sull'account GitHub di LoneNone1807, tra cui una recente campagna di malware che inizia con un file batch altamente offuscato. I dettagli completi delle capacità del malware possono essere letti nella ricerca del SANS.

    Tattiche, tecniche e procedure:

    T1566.002: phishing - link di spear phishing
    T1102.001: servizio web - dead drop resolver
    T1071: protocollo a livello di applicazione (comando e controllo)
    T1574.002: dirottamento del flusso di esecuzione - dirottamento dell'ordine di ricerca DLL
    T1562.001: compromissione delle difese - disabilitare o modificare gli strumenti
    T1497: evasione della virtualizzazione/sandbox
    T1056: cattura degli input
    T1010: scoperta delle finestre delle applicazioni
    T1082: scoperta delle informazioni di sistema


    Protezione Mimecast

    Abbiamo identificato diversi elementi nelle campagne che sono stati aggiunti alle nostre capacità di rilevamento.

    Obiettivi:

    Regno Unito e Stati Uniti, prevalentemente nei settori della vendita al dettaglio, del turismo e dell'ospitalità

    Indicatori di compromissione

    Hash dei file:

    • 8c6eaefb476c4b2679fb4f08e92f6e98a90cb941afb5c1fcd1fe651e3c47ca68
    • 27d78d9a5f40932da3305ba4ca0494076a539a8a648a8c8e36ee4c35bc76bb00
    • bc056f72454c34de86bdda578a0e67663470119dcc230aca2e692bab4ac64f9c
    • 02dad6cacc5ff17cc7dea8565e4eb7091e146822e5d2505c373889fc476a26f2
    • 71f502cc7b65f6c436582d8c31986e30bdc5d94ba84957a10259b0b4a6bd3459
    • 5b690097611a0529584d759df8a7f472acf7448aeeab046ae01d8dbe21349dcc
    • ae3ff323a5ae34175a4101589c6394c1aed17adf39137e582f96c15f122673a0
    • 1da0b740d3466c1fd55ede1728c5a3783b003c0511a16668061dbf8080cfb002
    • 0ca5044d7ae4946054b9223c835bd347df3752aab2a3126bb81dd8c4f7df2747
    • 64e0bfcc0b531f623adea6d888bd58450002474c7cd90c5c2c385d7eae2449eb
    • 0973047957a83c19ddad2638b46eb6a2bc2659366dbcec69583d2fc4c9473f85
    • 92dab0afa2c6488bf5a069bfcd5d18094145e5551d8d996cb01d3d3765bd5b00

    Raccomandazioni

    Back to Top