A mimic octopus

Il tentativo di furto d’identità su larga scala di HeartCrypt

Ecco come la famigerata operazione Packer-as-a-Service si è trasformata in un’idra
Scritto da ,
Sophos Insights blind spider featured heartcrypt packer Service

Nel corso dell’ultimo anno e poco più, abbiamo monitorato una serie di eventi che condividevano un insieme di caratteristiche generali:

  • Malware che si spaccia per applicazioni software legittime le sovverte e vi si integra
  • Codice loader position-independent (PIC) iniettato vicino ai punti di ingresso del pacchetto, sovrascrivendo il codice originale
  • Payload malevoli cifrati inseriti come risorse aggiuntive
  • Utilizzo di un semplice algoritmo di cifratura (XOR), con una chiave statica basata su caratteri ASCII
  • Payload appartenenti a famiglie comuni di RAT (remote-access Trojans) o di ladri di credenziali/informazioni
  • Archivi protetti da password ospitati su Google Drive (in un account compromesso) e collegati tramite email

Abbiamo infine concluso che tutti questi casi erano connessi a quella che è ormai nota come l’operazione HeartCrypt packer-as-a-service (PaaS). Dopo aver pubblicato diversi articoli su indagini specifiche, in questo post approfondiamo i risultati raccolti e diamo uno sguardo al malware come un giovane parassita.

L’industria osservava

Lungo il percorso, ci sono state prove attendibili che questi attacchi potessero essere attribuiti a un unico aggressore. A un certo punto si pensava che HeartCrypt fosse un prodotto del gruppo che CrowdStrike chiama “Blind Spider”, i cui obiettivi avevano una certa sovrapposizione geografica con i casi da noi analizzati. Alla fine, però, vi erano abbastanza differenze (payload diversi, diversi meccanismi di iniezione del payload, diverse aree geografiche colpite) per concludere che questi sforzi appartenessero a più aggressori. (E non era solo Sophos a osservare, naturalmente; l’attenzione su questo PaaS è arrivata da più parti nel corso della sua diffusione, in particolare da un ottimo resoconto iniziale di CrowdStrike.)

In altre parole, il dataset accumulato di questi attacchi non è affatto trascurabile. Nel corso delle indagini di Sophos abbiamo analizzato letteralmente migliaia di campioni, individuato quasi 1000 server di comando e controllo (C2), identificato ben oltre 200 fornitori di software oggetto di furti d’identità – grandi e piccoli –, visto paesi in tutti gli emisferi colpiti, e ne abbiamo scritto. E sebbene HeartCrypt sia ormai “vecchia conoscenza” nei circoli della sicurezza informatica – gli autori di questo articolo parlano questa settimana al Virus Bulletin sui nuovi “killer EDR” emergenti, basandosi in parte su ciò che questi dati ci hanno rivelato – HeartCrypt continua a creare grattacapi in tutto il mondo. Un’occhiata agli elementi specifici può aiutare a chiarire come e perché.

Continua a leggere l’articolo.

L’autore

Gabor graduated from the Eotvos Lorand University of Budapest with a degree in physics. His first job was in the Computer and Automation Research Institute, developing diagnostic software and hardware for nuclear power plants. He started antivirus work in 1995, and began developing freeware antivirus solutions in his spare time. Gabor joined VirusBuster in 2001 where he was responsible for taking care of macro virus and script malware and became head of the virus lab in 2002. In 2008 he became a member of the Board of Directors in AMTSO (Anti Malware Testing Standards Organization) and, in 2012, joined Sophos as a Principal Malware Researcher.

L’autore

Steeve Gaudreault is a Senior Threat Researcher at SophosLabs. His areas of expertise include malware reverse engineering, C2 protocol analysis, generating detection rules and configuration extractors.

Leggi articoli simili