Sommario
Il team governativo di risposta agli incidenti informatici dell’Ucraina, CERT-UA, in collaborazione con il Centro di Cybersecurity delle Forze Armate Ucraine (CSF), ha rilevato e analizzato una nuova attività del gruppo UAC-0020, noto come Vermin. Questa campagna è diretta contro le Forze di Difesa dell’Ucraina e rappresenta un significativo rischio di sicurezza informatica.
Strumenti e tecniche utilizzati da Vermin
Il gruppo Vermin ha utilizzato il software dannoso SPECTR, noto dal 2019, per esfiltrare documenti, file, password e altre informazioni dai computer delle vittime. Il software di sincronizzazione legittimo SyncThing è stato utilizzato per stabilire connessioni peer-to-peer e facilitare il trasferimento dei dati rubati.
Modalità dell’attacco
L’attacco inizia con l’invio di un’email contenente un allegato protetto da password, denominato “turrel.fop.vovchok.rar”. All’interno dell’archivio si trova un altro archivio RARSFX contenente un file PDF esca (“Wowchok.pdf”), un installatore EXE (“sync.exe”) e un file batch (“run_user.bat”) per l’esecuzione iniziale. Il file “sync.exe” include componenti legittimi di SyncThing e i file dannosi di SPECTR, modificati per disabilitare le notifiche all’utente e alterare le directory dei file.
Moduli di SPECTR
- SpecMon: Chiama PluginLoader.dll per eseguire tutte le DLL che contengono la classe “IPlugin”.
- Screengrabber: Cattura screenshot ogni 10 secondi se il nome della finestra contiene determinate parole chiave.
- FileGrabber: Utilizza robocopy.exe per copiare file specifici dalle directory utente e da applicazioni di cloud storage.
- Usb: Copia file specifici da dispositivi USB.
- Social: Ruba dati di configurazione da diverse applicazioni di messaggistica.
- Browsers: Ruba dati di autenticazione e cronologia da diversi browser web.
Misure di sicurezza consigliate
Per proteggersi da attacchi simili, è fondamentale seguire le migliori pratiche di sicurezza per i contenitori e le API, come configurare correttamente i contenitori, utilizzare solo immagini Docker ufficiali o certificate e non eseguire contenitori con privilegi di root. È altresì importante effettuare audit di sicurezza regolari per rilevare eventuali contenitori o immagini sospette.
Rilevamento e Mitigazione
Gli indicatori di compromissione includono specifiche stringhe User-Agent e l’uso di DropBear SSH su TCP port 3022. Il traffico di rete verso l’infrastruttura di SyncThing (*.syncthing.net) può indicare una compromissione. Il ritorno del gruppo Vermin con la campagna SickSync rappresenta una significativa minaccia informatica. Le Forze di Difesa dell’Ucraina sono invitate a contattare il Centro di Cybersecurity delle Forze Armate Ucraine per implementare le necessarie misure di protezione.
