Andariel all’attacco con DTrack e Maui

Il gruppo Andariel attacca le aziende con tool molto dannosi.

I nostri esperti hanno esaminato l’attività di Andariel, considerato un sottogruppo del gruppo APT Lazarus. I cybercriminali utilizzano il malware DTrack e il ransomware Maui per colpire aziende a livello globale. Com’è tipico di Lazarus, il gruppo attacca al fine di ottenere un profitto economico – questa volta tramite richieste di riscatto.

Gli obiettivi degli attacchi di Andariel

I nostri esperti sono giunti alla conclusione che il gruppo Andariel è pronto ad attaccare ogni tipo di azienda, piuttosto che focalizzarsi su un settore in particolare. Nel mese di giugno la US Cybersecurity and Infrastructure Security Agency ( CISA – Agenzia per la sicurezza informatica e la sicurezza delle infrastrutture USA) ha dichiarato che i target principali del ransomware Maui sono aziende e organizzazioni governative nel settore sanitario degli Stati Uniti. Tuttavia, il nostro team ha rilevato almeno un attacco nei confronti di una società immobiliare giapponese, oltre a diverse vittime in India, Vietnam e Russia.

Gli strumenti di Andariel

Il principale strumento utilizzato dal gruppo Andariel è un malware consolidato da tempo, DTrack, che raccoglie le informazioni della vittima e le invia ad un host remoto. Tra le altre cose, DTrack raccoglie anche la cronologia del browser e la salva in un file separato. La variante utilizzata negli attacchi di Andariel è in grado non solo di inviare le informazioni raccolte al server dei cybercriminali via HTTP ma anche di conservarle in un host remoto del network della vittima.

Il ransomware Maui entra in gioco nel momento in cui i malfattori rilevano informazioni degne di nota. Di solito viene rilevato, negli host oggetto dell’attacco, dieci ore dopo l’attivazione del malware DTrack. I nostri colleghi di Stairwell hanno studiato diversi campioni e sono giunti alla conclusione che il ransomware è controllato in modo manuale dagli operatori che specificano quali dati crittografare.

3Proxy è un altro tool che potrebbe essere utilizzato dai malfattori. Il server proxy – gratuito, multi-piattaforma e legale – potrebbe essere oggetto di interesse da parte dei cybercriminali a causa della dimensione compatta (solo poche centinaia di kilobyte). Tale tipo di strumento può essere utilizzato per mantenere l’accesso remoto ad un computer compromesso.

Come Andariel diffonde il malware

I cybercriminali sfruttano delle versioni senza patch di servizi pubblici online. In uno di questi casi, il malware è stato scaricato da un HFS (file server HTTP): i malfattori hanno utilizzato un exploit sconosciuto che ha permesso loro di eseguire uno script di Powershell da un server remoto. In un altro caso, sono riusciti a compromettere un server WebLogic tramite un exploit per la vulnerabilità CVE-2017-10271, che alla fine ha permesso loro di eseguire uno script.

Per una descrizione più dettagliata dal punto di vista tecnico, relativa all’attacco, agli strumenti utilizzati e gli indicatori di compromissione, visitate il nostro post Securelist.

Come proteggersi?

Innanzitutto, assicuratevi che ogni dispositivo aziendale, server inclusi, sia dotato di soluzioni di sicurezza efficaci. In aggiunta, è consigliabile elaborare preventivamente una strategia anti-ransomware , oltre ad altre opportune misure da adottare in caso di infezione.

Consigli