I Forcepoint Security Labs hanno recentemente analizzato un documento RTF infettato da un trojan probabilmente collegato alla banda criminale Carbank. Il documento contiene uno script Visual Basic (VBScript) tipico dei precedenti malware di Carbanak.
Esempi recenti del malware includono oggi la possibilità di utilizzare i servizi di Google per le comunicazioni di Comando e Controllo (C & C). I Forcepoint Security Labs hanno immediatamente informato Google dell’abuso ed ora stanno lavorando insieme per condividere ogni informazione aggiuntiva.
Carbanak (anche conosciuto come Anunak) sono un gruppo di criminali motivati finanziariamente identificati la prima volta nel 2015. I criminali solitamente effettuano furti da istituzioni finanziarie utilizzando malware mirati. Recentemente è stata rilevata una nuova campagna di attacco Carbanak soprannominata “Digital Plagiarist” nella quale i malviventi hanno utilizzato come arma dei documenti office ospitati su domini mirrorati, con il fine di diffondere il malware.
Documenti utilizzati come armi
Il documento RTF che i Labs hanno analizzato (SHA1 1ec48e5c0b88f4f850facc718bbdec9200e4bd2d) ha un oggetto OLE incorporato che contiene un file VBScript. Quando il documento viene aperto all’utente viene chiesto di fare un doppio clic sull’oggetto OLE incorporato che appare come un’immagine:
Facendo doppio clic sull’immagine, esce una finestra di dialogo che invita ad aprire un file “unprotected.vbe”. Se l’utente esegue questo file, il malware VBScript viene eseguito.
Malware Codificato VBScript
Il malware VBScript all’interno del documento RTF (SHA1 cd75662751c59951717b4704ea2cdb6fb7ec19bc) è un file VBScript encoded. I Labs hanno decodificato lo script e trovato le caratteristiche tipiche del malware VBScript del gruppo Carbanak, tuttavia hanno anche evidenziato l’aggiunta di un nuovo modulo script “ggldr”.
Il modulo è codificato in base64 all’interno del VBScript principale insieme ad altri moduli VBScript utilizzati dal malware. Quando lo script è stato analizzato si è notato che esso è in grado di utilizzare i servizi di Google come canale di C&C.
Utilizzo malevolo di Google per comunicazioni C&C
Lo script “ggldr” invierà e riceverà comandi da e per i servizi Google Apps Script, Google Sheets e Google Forms. Per ogni utente infetto viene creato dinamicamente un foglio univoco di Google Sheet con lo scopo di gestire ogni vittima. L’uso di un servizio di terze parti legittimo come questo dà all’attaccante la possibilità di nascondersi in piena vista. E ‘improbabile che questi servizi di Google vengano bloccati by default all’interno delle aziende, di conseguenza è molto probabile che l’attaccante stabilisca con successo un canale di comunicazione C&C.
La procedura di C&C è delineata nello schema qui sotto.
Al primo tentativo di contattare l’URL hard coded di Google Apps Script che contiene l’ID univoco dell’utente infetto, il C&C verifica che non esistano fogli di calcolo per quell’utente. In seguito il malware invia due richieste ad un altro URL Google Forms hard-coded che si tradurranno nella creazione di univoco foglio di calcolo di Google Sheet e di un ID Google Form per la vittima.
La seconda volta che lo script della Google App è richiesto, il C&C restituirà quell’univoco foglio di Google Sheet e i valori dell’ID di Google Form:
Il “valore di ingresso” attuale è anch’esso un ID univoco che viene inviato con ogni successiva richiesta di Google Forms C&C.
Dichiarazione di protezione
I clienti Forcepoint sono protetti contro tali minacce grazie a TRITON ACE nelle seguenti fasi di attacco:
Fase 5 (Dropper File) – Vengono inibiti il download e l’esecuzione dei componenti del malware.
Stage 6 (Call Home) – Il traffico C&C basato su HTTP è bloccato.
Sommario
Gli attivisti di Carbanak continuano a cercare tecniche di furto per eludere i rilevamenti. L’utilizzo di Google come un canale indipendente di C&C è probabile che sia più efficace rispetto all’utilizzo di domini o domini appena creati che non hanno una reputazione accertata. Forcepoint continuerà a monitorare le attività di questo gruppo e condividere i dati con i Partner.
Indicatori di compromissione
Documenti Carbanak
1ec48e5c0b88f4f850facc718bbdec9200e4bd2d (3-ThompsonDan.rtf)
400f02249ba29a19ad261373e6ff3488646e95fb (order.docx)
88f9bf3d6e767f1d324632b998051f4730f011c3 (claim.rtf)
Carbanak Google Apps Script C&Cs
hxxps://script.google[.]com/macros/s/AKfycbzuykcvX7j3TlBNyQfxtB1mqii31b4VTON640yiRJT0t6rS4s4/exec
hxxps://script.google[.]com/macros/s/AKfycbxxx5DHr0F8AYhLuDjnp7kGNELq6g27J4c_JWWx1p1nDfZh6InO/exec
hxxps://script.google[.]com/macros/s/AKfycbwZHCgg5EsCiPup_mNxDbSX7k7yBMeXWenOVN1BWXHmyBpb8ng/exec
Carbanak Google Forms C&Cs
hxxps://docs.google[.]com/forms/d/e/1FAIpQLScx9gwNadC7Vjo11mXLbU3aBQRrqVpoWjmNJ1ZneqpjaYLE3g/formResponse
hxxps://docs.google[.]com/forms/d/e/1FAIpQLSfE9kshYBFSDAfRclW8m9rAdajqoYhzhEYmEAgZexE3LQ-17A/formResponse
hxxps://docs.google[.]com/forms/d/e/1FAIpQLSdcdE7lTEiqV5MW3Up8Hgcy5NGkIKnLKoe0YPFriD4_9qYq9A/formResponse
Carbanak C&Cs
hxxp://atlantis-bahamas[.]com/css/informs.jsp
hxxp://138[.]201[.]44[.]4/informs.jsp
Carbanak Cobalt Strike / Meterpreter DNS Beacon C&Cs
aaa.stage.15594901.en.onokder[.]com
aaa.stage.4710846.ns3.kiposerd[.]com