Il bypass Mark-of-the-Web

Il gruppo APT BlueNoroff ha adottato metodi per aggirare il meccanismo del Mark-of-the-Web

Di solito, quando un utente cerca di leggere un documento di Office inviato via e-mail o scaricato da un sito web, Microsoft Office lo apre in modalità protetta. Ciò avviene utilizzando il Mark-of-the-Web (MOTW), uno dei meccanismi di protezione predefiniti di Windows. Questo meccanismo contrassegna i file apparsi sul PC da Internet, in modo che le applicazioni ne conoscano la fonte e possano richiamare l’attenzione dell’utente su un potenziale pericolo. Tuttavia, affidarsi ciecamente all’efficacia di tale meccanismo di avviso è probabilmente una cattiva idea, poiché negli ultimi tempi molti criminali informatici hanno iniziato a utilizzare metodi per aggirare MOTW. Ad esempio, quando i nostri esperti hanno recentemente studiato gli strumenti del gruppo BlueNoroff (che si pensa faccia parte del gruppo Lazarus), hanno scoperto che sta utilizzando nuovi trucchi per ingannare il sistema operativo.

Come BlueNoroff aggira il meccanismo MOTW

Il meccanismo del Mark-of-the-Web funziona come segue: non appena un utente (o un programma) scarica un file dalla rete, il file system NTFS gli attribuisce l’attributo “da Internet”. Ma questo attributo non viene sempre acquisito. Quando si scarica un archivio, tutti i file al suo interno ricevono questo attributo. Tuttavia, un archivio non è l’unico modo per trasferire un file indirettamente.

Gli aggressori del gruppo BlueNoroff hanno iniziato a sperimentare l’uso di nuovi tipi di file per trasmettere documenti dannosi. In alcune occasioni utilizzano il formato .iso, comunemente usato per archiviare immagini di dischi ottici. L’altra opzione è un file .vhd che di solito contiene un disco rigido virtuale. In altre parole, nascondono il vero payload dell’attacco – un documento esca e uno script dannoso – all’interno dell’immagine o dell’unità virtuale.

Una descrizione tecnica più dettagliata degli strumenti e dei metodi aggiornati di BlueNoroff, nonché degli indicatori di compromissione, è disponibile nel post dei nostri esperti sul blog di Securelist.

Chi sono i BlueNoroff e cosa stanno cercando?

All’inizio di quest’anno abbiamo già scritto della campagna SnatchCrypto finalizzata al furto di criptovalute. Sulla base di una serie di indizi, i nostri ricercatori ritengono che dietro ci sia lo stesso gruppo BlueNoroff. Anche l’attività osservata oggi è finalizzata principalmente a ottenere un guadagno finanziario. In realtà, la fase finale dell’attacco è rimasta la stessa: i criminali installano una backdoor sul computer infetto.

Il gruppo BlueNoroff ha registrato molti domini che imitano società di venture capital e di investimento, nonché grandi banche. A giudicare dai nomi delle banche e dai documenti esca utilizzati dagli aggressori, al momento sono interessati soprattutto a obiettivi che parlano giapponese. Tuttavia, almeno una vittima del gruppo è stata trovata negli Emirati Arabi Uniti. Come dimostra la prassi, BlueNoroff è interessato soprattutto alle imprese legate alle criptovalute e alle società finanziarie.

Come rimanere al sicuro?

Innanzitutto, vale la pena di abbandonare l’illusione che i meccanismi di protezione predefiniti integrati nel sistema operativo siano sufficienti a garantire la sicurezza dell’azienda. Il meccanismo del Mark-of-the-Web non può proteggere da un dipendente che apre un file ricevuto da Internet ed esegue uno script dannoso. Affinché la vostra azienda non sia vittima degli attacchi di BlueNororff e di gruppi APT simili, i nostri esperti raccomandano quanto segue:

  • installate soluzioni di sicurezza moderne su tutti i dispositivi in uso: impediranno l’esecuzione di script da file dannosi;
  • mantenete i dipendenti consapevoli delle moderne minacce informatiche: una formazione adeguatamente organizzata li aiuterà a non cadere nell’esca dei criminali informatici;
  • utilizzate soluzioni di sicurezza di classe EDR e, se necessario, impiegate servizi di Managed Detection and Response, che consentiranno di rilevare tempestivamente le attività dannose nella rete aziendale e di bloccare un attacco prima che si verifichino danni reali.
Consigli