Gli esperti di sicurezza della società di italiana TG Soft hanno scoperto una campagna malware che ha preso di mira i centri di assistenza Samsung in Italia
La campagna ha destato immediatamente l’attenzione dei ricercatori per la similitudine con un’altra serie di attacchi scoperti nello scorso giugno dagli esperti dell’azienda di sicurezza Fortinet e che hanno preso di mira i centri di servizi di assistenza di aziende del comparto elettronico.
“All’inizio del mese di aprile 2018 si è diffusa una campagna di spear-phishing verso i Centri di Assistenza della Samsung Italia. La campagna di attacco è partita il 2 aprile 2018 alle ore 14:15 con la diffusione di una mail con oggetto: Comunicazione 18-061: gestione centri non autorizzati”. Recita il rapporto pubblicato dagli esperti.
“L’attacco sembra sia indirizzato esclusivamente ai Centri di Assistenza della Samsung Italia e non ad una campagna massiva di malspam. Sembrerebbe che un attacco simile sia stato compiuto alla fine di marzo 2018 verso i Centri di Assistenza della Samsung in Russia con lo stesso modus operandi, come indicato dal report della società Fortinet: Non-Russian Matryoshka: Russian Service Centers Under Attack”.
Due campagne molto simili
Entrambe le campagne sono state rivolte a specifici obiettivi e probabilmente sono iniziate nelle medesime settimane tra marzo ed aprile. In entrambi i casi il contenuto delle mail di phishing inviate sembra essere stato scritto da una persona madrelingua, sicuramente la composizione non è avvenuta attraverso strumenti di traduzione automatica.
Non solo, il contenuto dei messaggi include termini molto specifici e frasi che descrivono eventi propri dell’ambito in cui operano gli impiegati dell’azienda bersaglio, come ad esempio “Dealer che spediscono prodotti non scontrinati con la propria ragione sociale” oppure “Centri assistenza non autorizzati che vi inoltrano i volumi in garanzia che non possono gestire …”.
La mail riporta nella sezione della firma il logo e i dati della società: · “SAMSUNG ELECTRONICS ITALIA SPA” oltre che al numero di telefono interno del referente dell’IM & IT Service Manager, dati realmente appartenenti al personale interno dell’azienda.
L’attacco ai centri di assistenza
Veniamo all’attacco contro i centri di assistenza Samsung Italia, i cui dipendenti si sono visti recapitare messaggi con un allegato in formato Excel.
Il documento Excel utilizzato nella campagna italiana, di nome “QRS non autorizzati.xlsx.”, contiene il codice per lo sfruttamento della falla CVE-2017-11882 presente del componente Office Equation Editor. Una volta eseguito, il codice consente di avviare il processo di infezione del sistema preso di mira.
“Come abbiamo scritto precedentemente, l’apertura del documento infetto “QRS non autorizzati.xlsx”, va ad eseguire un oggetto OLE incorporato nel documento, che sfrutta la vulnerabilità CVE-2017-11882 per il download del malware dal sito: lnx.hdmiservice[.]com/im6.exe” continua il rapporto.
“Il dominio sotto osservazione è lnx.hdmiservice[.]com ospitato su Aruba. L’home page del sito lnx.hdmiservice[.]com è molto scarna, sembra che il sito sia stato abbandonato a se stesso, non vi sono informazioni sulla società, ma in base alle nostre ricerche questo dominio sembra essere collegato ad un centro di assistenza ufficiale della Samsung, come possiamo vedere dal sito del produttore coreano,”
Riassumendo il malware scaricato dal codice presente nel documento Excel è ospitato su di sito di un centro di assistenza di Samsung che è stato compromesso prima del 19 marzo 2018.
Mentre i centri di assistenza russi sono stati colpiti dal malware Imminent Monitor (RAT), gli attaccanti hanno utilizzato contro i centri di assistenza di Samsung Italia altri RAT, come Netwire e njRAT .
L’attacco è davvero strano, la motivazione degli hacker ancora non chiara, tuttavia gli esperti sottolineano che il codice malevolo utilizzato non è particolarmente sofisticato.
Per quale motivo colpire un centro di assistenza di una azienda produttrice di elettronica?
Secondo gli esperti una motivazione plausibile è che gli attaccanti intendano compromettere il software utilizzato per la gestione remota dei sistemi utilizzati durante l’assistenza e tramite esso prendere possesso dei sistemi dei clienti Samsung che si rivolgono al centro assistenza. I centri di assistenza non sembrano particolarmente interessanti per attaccanti motivati finanziariamente in quanto gestiscono un volume esiguo di informazioni dei propri clienti.
“L’arsenale utilizzato è costituito principalmente da RAT commerciali, che possono esfiltrare dati e spiare la vittima. Non abbiamo trovato programmi spia “custom”, come può succedere nei casi di attacco da APT.”
“I server di comando e controllo utilizzano servizi come noip.me o ddns.net, che in combinazione con una VPN consentono di nascondere l’indirizzo IP del server in cui vengono inviati i dati esfiltrati.” Conclude il rapporto.
“Durante l’analisi, in alcuni casi, i server C2 non erano online e il RAT non è riuscito a contrarle e quindi restituisce attivo dopo alcune decine di ore con un nuovo indirizzo IP.
Gli attori dietro questo attacco rimangono sconosciuti … “
Gli esperti concludono notando che i server di comando e controllo sono stati già utilizzati in precedenti campagne qualche anno fa, informazione che tuttavia è sufficiente ad una attribuzione degli attacchi.
Vi suggerisco la lettura del rapporto che include anche gli indicatori di compromissione.
