Categorie
Sicurezza Informatica

Dopo i dropper con explorer.exe, arriva PowerModul: GOFFEE mira la Russia

Il gruppo APT GOFFEE aggiorna il suo arsenale con PowerModul, agenti binari Mythic e attacchi macro mirati ai settori strategici della Federazione Russa.

APT GOFFEE
APT GOFFEE

Il gruppo APT GOFFEE torna alla ribalta con una nuova campagna avanzata di cyberspionaggio rivolta esclusivamente a organizzazioni situate nella Federazione Russa. Dopo essere stato identificato per la prima volta nel 2022 per l’impiego di Owowa – un modulo IIS malevolo – il gruppo è stato ora associato a una serie di attacchi che sfruttano documenti Office trappola, PowerShell offuscato e agenti Mythic personalizzati, confermando un’evoluzione marcata della loro infrastruttura di attacco.

Secondo l’analisi di Kaspersky, GOFFEE ha modificato radicalmente i suoi strumenti di distribuzione, introducendo PowerModul, un downloader PowerShell che funge da snodo operativo tra i vettori iniziali e i payload secondari. Questo nuovo implant agisce come hub per scaricare ulteriori componenti malevoli, tra cui PowerTaskel, FlashFileGrabber e USB Worm.

Email mirate, eseguibili mascherati e script macro: l’ingresso nel sistema comincia con l’inganno

Il vettore d’attacco principale è ancora una volta il spear phishing, con email contenenti allegati RAR o DOCX modificati. I due schemi principali identificati sono:

  1. Archivi RAR con file eseguibili camuffati da documenti, come “.pdf.exe”, che aprono un file decoy e in parallelo iniettano shellcode in processi di sistema legittimi come explorer.exe.
  2. Documenti Word con macro VBA, che creano file .hta e script PowerShell in cartelle temporanee, eseguiti tramite chiavi di registro HKCU\Windows NT\CurrentVersion\Windows.

In entrambi i casi, l’attacco porta alla creazione e all’esecuzione del file UserCache.ini, contenente il codice codificato in Base64 del modulo PowerModul.

PowerModul: implant invisibile e versatile per caricare payload da server C2

PowerModul è uno script PowerShell da 6,66 KB che funge da loader dinamico per script remoti, gestiti da un C2 server che restituisce configurazioni in formato XML e moduli codificati in Base64. I parametri includono frequenza di esecuzione, numero massimo di run, e dati identificativi del sistema infetto (nome computer, utente e seriale del disco).

Il modulo è concepito per essere estremamente flessibile: può lanciare FlashFileGrabber per esfiltrare file da USB, eseguire comandi locali o remoti, e caricare nuovi moduli in base al profilo della vittima. Il modulo “OfflineWorker()”, ad esempio, consente di eseguire script anche senza connessione attiva, basandosi su stringhe predefinite codificate nel malware stesso.

FlashFileGrabber e USB Worm: esfiltrazione da dispositivi rimovibili e diffusione automatica

FlashFileGrabber è lo strumento utilizzato per raccogliere dati da supporti USB, salvandoli nella directory %TEMP%\\CacheStore\\connect\\, con nomi dinamici basati sul seriale del volume. Le estensioni dei file target includono .pdf, .docx, .xls, .xml, .jpg, .csv, .7z, .rar, .dwg e molte altre, suggerendo un interesse spionistico ad ampio spettro, dal tecnico al personale.

La versione Offline di FlashFileGrabber agisce solo localmente, mentre la versione completa invia i file al C2. Il worm USB, invece, propaga PowerModul via VBS e batch files, crea collegamenti trappola con icone mimetiche, e limita l’infezione a 5 documenti recenti per evitare l’eccessiva visibilità.

Come GOFFEE usa PowerTaskel e agenti binari per il controllo completo

Il modulo PowerTaskel, impiantato in precedenza attraverso macro o PowerModul, funge da agente Mythic non pubblico in PowerShell e si distingue per la capacità di ricevere comandi remoti, eseguire PowerShell arbitrario, raccogliere informazioni ambientali e trasferire file. I dati vengono codificati in XML e cifrati con XOR a 1 byte, poi convertiti in Base64 prima dell’invio al server di comando e controllo.

Nella nuova campagna, GOFFEE ha però ridotto l’uso di PowerTaskel, preferendo un agente Mythic binario, iniettato direttamente nella memoria del processo tramite shellcode x86/x64. Il passaggio al binario consente maggiore stabilità e compatibilità con ambienti complessi, superando i limiti dell’interprete PowerShell in scenari di evasione avanzata.

Annunci

Elevazione dei privilegi: esecuzioni remote via PsExec, mshta.exe e WinRM

Il movimento laterale all’interno della rete avviene attraverso tecniche articolate e strumenti multipli. GOFFEE sfrutta:

  • l’elevazione a livello SYSTEM tramite PsExec rinominato (ntuser.exe),
  • esecuzione di script HTA da remoto usando mshta.exe,
  • creazione di payload e script eseguibili tramite echo in batch PowerShell e VBS.

Il malware simula attività utente per mimetizzarsi, interagendo con Visual C# Compiler (csc.exe), generando DLL per l’iniezione di shellcode, e utilizzando WinRM per l’esecuzione remota su sistemi Windows, simulando chiamate legittime con header come “Ruby WinRM Client”.

La capacità di iniettare il loader in cache HTTP locale e la gestione di file poliglotti HTA rendono il malware altamente difficile da rilevare e completamente autonomo nell’autoinstallazione, esecuzione e cancellazione dei file post-infezione.

HTA poliglotta e Mythic agent: tecniche avanzate per bypassare la detection

Una delle tecniche più sofisticate rilevate riguarda la creazione di payload HTA poliglotti. Questi file, lunghi fino a 180 KB, contengono:

  • shellcode binario all’inizio,
  • due script PowerShell codificati in Base64,
  • HTA standard alla fine, contenente JScript obfuscato.

Questo formato consente al file di essere valido sia come script, sia come eseguibile HTML, bypassando molti sistemi di scansione automatica. Il JScript cerca l’HTA nella cartella InetCache, lo estrae, genera file temporanei come settings.js e settings.ps1, ed esegue il codice in tre cicli per garantire la piena esecuzione del payload.

La modularità del sistema consente di compilare DLL helper al volo, creare allocazioni di memoria specifiche e caricare shellcode con persistenza elevata, portando alla piena esecuzione dell’agente Mythic binario in ambiente utente o SYSTEM.

Target e attribution: GOFFEE confermato dietro l’operazione contro infrastrutture russe

Secondo i dati di telemetria Kaspersky, gli attacchi GOFFEE da luglio a dicembre 2024 hanno colpito settori strategici russi:

  • mass media,
  • telecomunicazioni,
  • costruzioni e infrastrutture,
  • ministeri ed enti governativi,
  • aziende energetiche.

I legami con GOFFEE sono confermati da:

  • l’uso continuato di PowerTaskel, già attribuito in passato,
  • la ripresa delle tecniche basate su explorer.exe patchato,
  • la coerenza nei C2 e nel pattern comportamentale.

Pur con strumenti evoluti, la campagna mantiene coerenza con le precedenti, escludendo l’ipotesi di un nuovo gruppo.

Di Livio Varriale

Giornalista e scrittore: le sue specializzazioni sono in Politica, Crimine Informatico, Comunicazione Istituzionale, Cultura e Trasformazione digitale. Autore del saggio sul Dark Web e il futuro della società digitale “La prigione dell’umanità” e di “Cultura digitale”. Appassionato di Osint e autore di diverse ricerche pubblicate da testate Nazionali. Attivista contro l’abuso dei minori, il suo motto è “Coerenza, Costanza, CoScienza”.

Exit mobile version