lunedì 26 settembre 2011

Trend Micro individua attacco massiccio attraverso il malware Lurid


Trend Micro ha scoperto una serie continua di attacchi mirati, conosciuti come "LURID", che sono riusciti a compromettere 1.465 computer in 61 paesi diversi ed avverte di possibili attacchi anche in Italia. Trend Micro è stato in grado di individuare 47 vittime comprese le rappresentanze diplomatiche, ministeri, agenzie spaziali governative e altre aziende e istituti di ricerca. I paesi più colpiti da questo attacco sono Russia, Kazakistan e Vietnam, insieme a numerosi altri paesi - principalmente in CSI (Comunità degli Stati Indipendenti - o dell'ex Unione Sovietica).

Questa particolare campagna comprende oltre 300 malicious, attacchi mirati, controllati dagli aggressori usando un identificatore univoco incorporato nel malware associato. L'analisi di Trend Micro rivela che le campagne degli aggressori sono mirate a comunità in specifiche aree geografiche così come altre a vittime specifiche. In totale, gli aggressori hanno usato una rete di comando e controllo di 15 nomi a dominio associato agli attaccanti e 10 indirizzi IP attivi per mantenere il controllo permanente sulle 1465 vittime. 

Il "lurid Downloader", spesso definito come "Enfal" è una ben nota famiglia di malware, ma non sono dei toolkit pubblici che possono essere acquistati dagli aspiranti criminali informatici. Questa famiglia di malware in passato è stata utilizzata per indirizzare sia il governo degli Stati Uniti e le organizzazioni non governative (ONG). Tuttavia, non sembrano esserci alcuni legami diretti tra questa particolare rete e quelle precedenti. Sempre più spesso, attacchi malware come questi vengono descritti come APT o Advanced Persistent Threats (Minacce Persistenti Avanzate). Un bersaglio riceve un messaggio e-mail che lo incoraggia ad aprire un file allegato.

I file inviati dagli aggressori contengono codice maligno che sfrutta le vulnerabilità dei programmi software più diffusi come Adobe Reader (ad es. PDF) e Microsoft Office (ad es. DOC). Il carico utile di questi attacchi è il malware che viene silenziosamente eseguito sul computer del bersaglio. Questo consente agli aggressori di prendere il controllo del computer e ottenere i dati. Gli aggressori possono poi muoversi letteralmente se tutta la rete del bersaglio e sono spesso in grado di mantenere il controllo sui computer compromessi usati per lunghi periodi di tempo. In definitiva, gli attacchi individuano ed filtrano le informazioni sensibili dalla rete della vittima. 

Questo attacco è in corso una serie di campagne di attacco mirato che hanno fatto uso di una varietà di exploit per Adobe Reader inclusi CVE-2009-4324, CVE-2010-2883 così come file screen saver compressi RAR  contenenti malware. Indipendentemente dal vettore di attacco, il malware "lurid" viene eseguito sul sistema vittima, causando la connessione alla stessa rete di comando e controllo (C & C) server. Gli attaccanti non sempre contano su sfruttamenti "zeroday" ma utilizzano spesso vecchi, exploit affidabili e riservano le loro gesta zeroday per bersagli corazzati. Anche se trend Micro deve ancora individuare tutti i campioni utilizzati in queste campagne che contengono exploit zeroday, gli identificatori della campagna utilizzata dagli aggressori fanno riferimento all'uso di questi abusi.

Durante la ricerca, Trend Micro ha trovato due diversi meccanismi di persistenza impiegati dal malware. Mentre una versione ha mantenuto la persistenza per installarsi come servizio di Windows, l'altra versione si copia nella cartella di sistema e garantisce la persistenza cambiando l'Avvio della cartella comune di Windows con una speciale che crea. E poi copia solitamente lì tutti gli oggetti auto-start, così come se stesso. Inoltre sono stati in grado di organizzare le "campagne" malware incluse in una campagna pubblicitaria per tenere traccia di chi è stato infettato e con quale malware. 

Il malware raccoglie informazioni dai computer infetti e le invia al server C & C via POST HTTP. Attraverso la comunicazione con i server di comando e controllo, gli attaccanti sono in grado di rilasciare una varietà di comandi ai computer compromessi. Questi comandi consentono agli aggressori di inviare e ricevere file oltre che attivare una shell interattiva a distanza sui sistemi compromessi. Gli aggressori tipicamente recuperano elenchi di directory dai computer compromessi e rubano dati (come specifica File .XLS). I ricercatori di Trend Micro hanno alcuni dei comandi, ma non i file effettivi.

In numeri, sulla base delle informazioni recuperate dai server C & C, Trend Micro può confermare che ci sono stati:
  • 1465 host unici (hostname + mac address come memorizzati dal C & C)
  • 2272 indirizzi IP univoci esterni
I primi 10 paesi delle vittime (in base al 2272 indirizzi IP):


Come spesso accade, è difficile accertare chi sta dietro questa serie di attacchi perché è facile manipolare gli oggetti, ad esempio, indirizzi IP e il nome di registrazione del dominio, al fine di trarre in inganno i ricercatori a credere che una particolare entità è responsabile. Sebbene la ricerca di Trend Micro non ha rivelato con precisione quali dati sono stati presi di mira, è stata in grado di determinare che, in alcuni casi, gli aggressori hanno tentato di rubare specifici documenti e fogli di calcolo. Per difendersi consigliamo:
  • tenere costantemente aggiornato il software antiviurs
  • usare un firewall
  • non scaricare da un sito web se non si è sicuri, lasciare il sito e la ricerca del software che viene chiesto di installare
  • approcciare le e-mail provenienti da persone sconosciute con cautela quando il messaggio contiene link o allegati. Se avete dei sospetti di ciò che viene chiesto di visualizzare o installare, non farlo.

Nessun commento:

Posta un commento