L’Asert Team di Netscout segnala la campagna APT “Stolen Pencil”, probabilmente originata in Corea del Nord e che da maggio ha colpito le istituzioni accademiche. La motivazione degli attacchi non è chiara, ma è noto che i responsabili sono abili nella ricerca di credenziali da trafugare. Inoltre non sono stati registrati furti di dati, il che non chiarisce i dubbi in merito alla motivazione della campagna.
Le vittime ricevono messaggi e-mail di spear phishing collegati a un sito web contenente un documento “esca” che chiede di installare una falsa estensione di Google Chrome.
Una volta acquisito un punto di appoggio, i criminali si servono di strumenti disponibili in commercio per garantire la persistenza della loro azione, utilizzando anche il protocollo RDP (Remote Desktop Protocol) per mantenere l’accesso.
Un’ampia varietà di domini di phishing suggerisce altri bersagli, ma i domini rivolti alle istituzioni accademiche miravano tutti a installare un’estensione dannosa di Chrome. Numerose vittime degli attacchi, in diverse università, possiedono competenze in materia di ingegneria biomedica e questo potrebbe spiegare il criterio di selezione dei bersagli.
I responsabili di questi attacchi utilizzano strumenti amministrativi integrati in Windows e software commerciali di facile reperibilità per proseguire la campagna. Per accedere ai sistemi compromessi, si servono semplicemente del protocollo RDP anziché ricorrere a backdoor o RAT (Remote Access Trojan). La persistenza post-exploitation viene mantenuta raccogliendo password da svariate fonti, tra cui la memoria di processo, i browser Web, lo sniffing sulle reti e i keylogger.
Netscout è riuscita a raccogliere qualche informazione sugli strumenti e le tecniche utilizzate dal responsabile di Stolen Pencil, scoprendo però una piccola parte della sua attività:
– Le tecniche utilizzate sono semplici e prevedono l’impiego di programmi di facile reperimento che consentono la prosecuzione dell’azione. Questo tipo di approccio e la presenza di un cryptojacker sono caratteristiche tipiche dello stile nordcoreano.
– Le scarse misure di sicurezza hanno esposto la lingua coreana sia nei siti Web visualizzati sia nelle selezioni delle tastiere.
– Gli autori degli attacchi hanno dedicato tempo e risorse alla raccolta di informazioni sulle potenziali vittime. Il loro obiettivo sembrerebbe essere l’accesso e il mantenimento di account e sistemi compromessi tramite le credenziali trafugate.
Una tattica consolidata
I criminali hanno utilizzato una tattica consolidata come lo spear phishing. L’utente Twitter @MD0ugh è stato il primo a riferire le modalità di attacco: la vittima riceve un messaggio di spear phishing contenente un link a uno dei vari domini e sottodomini controllati dall’aggressore. Molti di questi sottodomini contengono semplici pagine di phishing, costituite da codice HTML salvato relativo a comuni proprietà di login Web.
Le pagine di phishing più sofisticate mirate alle istituzioni accademiche presentano un PDF innocuo all’interno di un IFRAME. Questo invita l’utente a installare un’estensione “Font Manager” disponibile sul Chrome Web Store. Le estensioni dannose, ora rimosse dal Chrome Web Store, contenevano recensioni scritte dal responsabile degli attacchi tramite alcuni account Google+ compromessi. È probabile che gli account compromessi utilizzati per scrivere le recensioni appartenessero a individui che, secondo i criminali informatici, erano noti e considerati affidabili dalle vittime degli attacchi. Va sottolineato, tuttavia, che alcuni utenti hanno dichiarato di aver cancellato immediatamente l’estensione perché impediva il corretto funzionamento del browser Chrome. Questo farebbe pensare a errori o difetti di scrittura del codice, che utilizzava troppe risorse per funzionare bene e non essere scoperto almeno da alcuni utenti. Le estensioni Chrome dannose dichiarano i permessi per accedere a tutte le URL del browser.
Come evitare di diventare vittime di Stolen Pencil
– Non cliccare sui link sospetti contenuti nei messaggi e-mail, anche se da mittente fidato.
– Attenzione alle richieste di installazione di estensioni del browser, anche se pubblicate su un sito ufficiale.
– Attenzione ai messaggi e-mail che contengono link ai domini di phishing.
– Servirsi di un firewall per limitare l’accesso RDP ai soli sistemi che lo richiedono. Monitorare presenza di collegamenti RDP sospetti.
– Attenzione agli account amministrativi di nuova creazione che destano sospetti.