La campagna Stolen Pencil colpisce le istituzioni accademiche

redazione

L’ASERT Team di NETSCOUT è venuto a conoscenza di una campagna APT, ribattezzata STOLEN PENCIL (matita rubata), che ha avuto probabilmente origine in Corea del Nord e ha iniziato a colpire le istituzioni accademiche nel maggio 2018. La motivazione alla radice di questi attacchi non è chiara, ma è noto che i responsabili delle minacce sono molto abili nella ricerca di credenziali da trafugare. Le vittime degli attacchi ricevono messaggi e-mail di spear phishing collegati a un sito web contenente un documento “esca” che chiede immediatamente di installare una falsa estensione di Google Chrome. Una volta acquisito un punto di appoggio, i criminali informatici si servono di normali strumenti disponibili in commercio per garantire la persistenza della loro azione, utilizzando anche il protocollo RDP (Remote Desktop Protocol) per mantenere l’accesso.

Risultati principali 

  • Un’ampia varietà di domini di phishing suggerisce altri bersagli, ma i domini rivolti alle istituzioni accademiche miravano tutti a installare un’estensione dannosa di Chrome.
  • Numerose vittime degli attacchi, in diverse università, possiedono competenze in materia di ingegneria biomedica. Questo potrebbe spiegare il criterio di selezione dei bersagli da colpire.
  • A causa delle inadeguate misure di sicurezza adottate dai criminali informatici, sui PC delle vittime sono apparsi browser Web in lingua coreana e servizi di traduzione dall’inglese al coreano e le tastiere sono state impostate in coreano.
  • I responsabili di questi attacchi utilizzano strumenti amministrativi integrati in Windows e software commerciali di facile reperibilità per proseguire la campagna. Per accedere ai sistemi compromessi, si servono semplicemente del protocollo RDP anziché ricorrere a backdoor o RAT (Remote Access Trojan).
  • La persistenza post-exploitation viene mantenuta raccogliendo password da svariate fonti, tra cui la memoria di processo, i browser Web, lo sniffing sulle reti e i keylogger.
  • Non sono stati registrati furti di dati, il che non chiarisce i dubbi in merito alla motivazione della campagna STOLEN PENCIL.

Spear phishing

I responsabili degli attacchi hanno utilizzato una tattica consolidata come lo spear phishing quale vettore di intrusione iniziale. L’utente Twitter @MD0ugh è stato il primo a riferire le modalità di attacco della campagna STOLEN PENCIL: la vittima riceve un messaggio di spear phishing contenente un link a uno dei vari domini e sottodomini controllati dall’aggressore. Molti di questi sottodomini contengono semplici pagine di phishing, costituite da codice HTML salvato relativo a comuni proprietà di login Web.

Le pagine di phishing più sofisticate mirate alle istituzioni accademiche presentano un PDF innocuo all’interno di un IFRAME. Questo invita l’utente a installare un’estensione “Font Manager” disponibile sul Chrome Web Store. Le estensioni dannose, ora rimosse dal Chrome Web Store, contenevano recensioni scritte dal responsabile degli attacchi tramite alcuni account Google+ compromessi. Il testo delle recensioni era stato copiato e incollato da altre estensioni e le recensioni erano tutte classificate con cinque stelle, anche quando il testo copiato era negativo. È probabile che gli account compromessi utilizzati per scrivere le recensioni appartenessero a individui che, secondo i criminali informatici, erano noti e considerati affidabili dalle vittime degli attacchi.  Va sottolineato, tuttavia, che alcuni utenti hanno dichiarato di aver cancellato immediatamente l’estensione perché impediva il corretto funzionamento del browser Chrome.  Questo farebbe pensare a errori o difetti di scrittura del codice, che utilizzava troppe risorse per funzionare bene e non essere scoperto almeno da alcuni utenti. Le estensioni Chrome dannose dichiarano i permessi per accedere a tutte le URL del browser.

Le estensioni caricano JavaScript da un sito separato. Il nome del file JavaScript caricato è jQuery.js. Quando abbiamo verificato questo file al momento della nostra analisi, il contenuto era un file jQuery legittimo. Ipotizziamo che il responsabile degli attacchi abbia sostituito il JavaScript nocivo con un payload innocuo per ostacolare le analisi. Il caricamento di jQuery.js da un sito esterno è un’azione poco sensata se si considera che il pacchetto dell’ultima versione dell’estensione contiene un jQuery.js legittimo.

Alla luce della propensione del responsabile degli attacchi al furto di password e in considerazione del fatto che le estensioni Chrome dannose erano abilitate a leggere dati da tutti i siti Web, è probabile che l’intento degli attacchi fosse la raccolta di cookie e password dei browser.  In alcuni account compromessi è avvenuto anche l’inoltro dei messaggi e-mail.

Raccomandazioni

  • Consigliare agli utenti di non cliccare sui link sospetti contenuti nei messaggi e-mail, né al lavoro né a casa, anche se i messaggi provengono da un mittente fidato.
  • Consigliare agli utenti di fare attenzione alle richieste di installazione di estensioni del browser, anche se si tratta di estensioni pubblicate su un sito ufficiale.
  • Prestare attenzione ai messaggi e-mail che contengono link ai domini di phishing.
  • Servirsi di un firewall per limitare l’accesso RDP ai soli sistemi che lo richiedono. Monitorare l’eventuale presenza di collegamenti RDP sospetti dove non dovrebbero essere presenti.
  • Prestare attenzione agli account amministrativi di nuova creazione che destano sospetti.

Conclusione

NETSCOUT è riuscito a a raccogliere qualche informazione sugli strumenti e le tecniche utilizzate dal responsabile della campagna STOLEN PENCIL, ma ha tuttavia scoperto soltanto una piccola parte della sua attività. Le tecniche utilizzate sono relativamente semplici e prevedono soprattutto l’impiego di programmi di facile reperimento che consentono la prosecuzione dell’azione.  Questo tipo di approccio e la presenza di un cryptojacker sono caratteristiche tipiche dello stile nordcoreano.  Inoltre, le scarse misure di sicurezza utilizzate dai responsabili della campagna hanno esposto la lingua coreana sia nei siti Web visualizzati sia nelle selezioni delle tastiere. Gli autori degli attacchi hanno dedicato molto tempo e molte risorse alla raccolta di informazioni sulle potenziali vittime, come dimostrano i commenti inseriti nella pagina dell’estensione Chrome. Il loro obiettivo principale sembrerebbe essere l’accesso e il mantenimento di account e sistemi compromessi tramite le credenziali trafugate. Non siamo riusciti a ottenere alcuna prova di furti di dati, motivo per cui le ragioni degli attacchi verso le istituzioni accademiche continuano a essere piuttosto nebulose.