Si ritiene che la banda di hacker Golden Chickens venda la sua backdoor more_eggs per campagne di spear phishing eseguite utilizzando le informazioni raccolte dai profili LinkedIn delle vittime.
Un gruppo di criminali dietro una backdoor furtiva conosciuta come more_eggs sta prendendo di mira i professionisti con false offerte di lavoro su misura per loro in base alle informazioni dai loro profili LinkedIn.
La banda successivamente vende l’accesso ai sistemi infettati dalla backdoor ad altri sofisticati gruppi di criminalità informatica tra cui FIN6, Evilnum e Cobalt Group che sono noti per prendere di mira organizzazioni di vari settori.
Spearfishing con le informazioni di Linkedin
In un recente attacco rilevato dai ricercatori eSentire, gli hacker hanno preso di mira un professionista che lavora nel settore della tecnologia sanitaria con un’e-mail di phishing che imitava un’offerta di lavoro per una posizione identica a quella che aveva elencato nella pagina del proprio profilo LinkedIn.
Le e-mail non autorizzate contengono un file zip con il nome della posizione di lavoro offerta. Se aperto, avvia un componente dannoso noto come VenomLNK, che funge da primo stadio dell’infezione more_eggs.
“Golden Chickens vende la backdoor con un accordo MaaS (malware-as-a-service) ad altri criminali informatici“, ha affermato il team di eSentire nel loro rapporto. “Una volta che more_eggs è sul sistema informatico della vittima, gli hacker possono entrare ed infettare il sistema con qualsiasi tipo di malware: ransomware, furto di credenziali, malware o semplicemente utilizzare la backdoor come punto d’appoggio nella rete della vittima per esfiltrare i dati.“
Una volta eseguito sul computer di una vittima, VenomLNK utilizza Windows Management Instrumentation (WMI), un sottosistema di PowerShell, per distribuire la seconda fase dell’attacco: un caricatore di malware noto come TerraLoader.
TerraLoader dirotta due processi Windows legittimi, cmstp e regsvr32, per caricare il payload finale chiamato TerraPreter, che viene scaricato dai server ospitati su Amazon AWS per eludere possibili filtri di rete e viene distribuito come controllo ActiveX.
ActiveX è un framework che consente l’esecuzione di codice tramite Internet Explorer ed è supportato nativamente su Windows.
TerraLoader rilascia e apre anche un documento Microsoft Word progettato per sembrare una domanda di lavoro legittima. Viene utilizzato solo come esca in modo che l’utente non diventi sospettoso dopo aver aperto l’allegato e-mail.
Il payload TerraPreter segnala al server degli aggressori che è stato distribuito e che è pronto a ricevere comandi. Gli aggressori possono quindi utilizzarlo per ottenere l’accesso pratico al computer vittima, distribuire plug-in o payload aggiuntivi.
“More_eggs mantiene un profilo furtivo abusando dei processi Windows legittimi e alimenta tali istruzioni di processo tramite file di script“, hanno affermato i ricercatori di eSentire. “nnoltre, le campagne che utilizzano l’offerta MaaS sembrano essere scarse e selettive rispetto alle tipiche reti di distribuzione di malspam“.
I potenti clienti di Golden Chickens
I Golden Chickens sembrano soddisfare solo un gruppo selezionato di attaccanti di alto profilo. Uno dei suoi clienti è probabilmente FIN6, un noto gruppo di criminalità informatica finanziaria che esiste almeno dal 2014. Questo gruppo è noto per prendere di mira i sistemi di punti vendita fisici e, più recentemente, i sistemi di pagamento online per rubare i dati delle carte e venderli sul mercato nero.
Un altro attore di minacce noto per l’utilizzo di more_eggs è Evilnum , un gruppo noto per aver preso di mira le società di tecnologia finanziaria e le piattaforme di compravendita di azioni dal 2018. Evilnum è anche un sospetto gruppo mercenario che vende servizi di hacker a noleggio. Secondo eSentire, gli aggressori di Evilnum effettuano anche attacchi di spear phishing ai dipendenti delle aziende che prendono di mira con allegati zip dannosi che a volte contengono la backdoor more_eggs.
Un terzo attore del crimine informatico che è stato segnalato per utilizzare more_eggs è il gruppo Cobalt , noto anche come Carbanak. Questo gruppo è specializzato nel furto di denaro da banche e altre organizzazioni finanziarie ed è noto per la sua profonda capacità di esplorazione e pazienza: il gruppo può trascorrere mesi all’interno delle reti delle vittime analizzando le loro applicazioni e flussi di lavoro personalizzati prima di colpire.
Dato il tipo di gruppi che usano more_eggs e la loro raffinatezza, un’infezione con questa backdoor su una rete dovrebbe essere presa molto seriamente e dovrebbe portare a un’indagine forense completa. Gli aggressori potrebbero essersi già diffusi a sistemi critici e si stanno preparando a lanciare un attacco più serio o stanno esfiltrando informazioni sensibili.
Problem Solver e Cyber Security Advisor, si occupa di sicurezza informatica e di Ethical Hacking da oltre 20 anni.
Da diversi anni tiene corsi di Ethical Hacking e consapevolezza della sicurezza informatica formando centinaia di persone nell’IT e migliaia di risorse aziendali.
Tre caratteristiche che lo distinguono:
La passione/ossessione per le password
Ha chiamato Hash anche il suo gatto
Il papillon
Colore preferito? Verde, ovviamente!
