Sintesi Attore Malevolo UNC4990

Salve a tutti, creo questo post per cercare di comunicare un qualcosa che trovo interessante, in merito ad un attore di minacce che sembrerebbe operare su suolo italiano, con la speranza che magari a qualcuno interessi, o che tali argomenti possano suscitare curiosità in merito a Cyber Threat Intelligence, ed OSINT.

Chiedo innanzitutto scusa nei casi in cui tale post possa risultare ridondante, confusionale, o possa contenere altri tipi di problemi. Questo è il mio primo post che scrivo in assoluto, dunque sono aperto a critiche.

Detto questo, da ora in poi farò riferimento a tale attore di minacce semplicemente come ‘attore’, per evitare di fare confusione.

Un paio di giorni fa stavo osservando diversi gruppi malevoli (APT e cosi via) sul malpedia , fino a quando non ho trovato un attore che sembrerebbe attaccare principalmente industrie in Italia.

Link alla pagina che descrive tale attore: UNC4990 (Threat Actor)

Nella pagina che descrive brevemente tale attore, è presente un link che porta a un documento pubblicato da Mandiant, che descrive come opera tale attore. Provo a farne un riassunto molto basilare: Compromissione iniziale tramite USB, utilizzo di uno script PowerShell, e hosting di stringhe codificate in Base64 e con crittografia AES su siti legittimi come GitHub ed altri, che quando scaricate dallo script PowerShell precedentemente menzionato, vengono decodificate (Base64) e decriptate (AES) e che vanno ad installare una backdoor, un dropper e malware usato per minare criptovalute.

Tale attore mi ha incuriosito (In parte perchè è una delle prime volte che vedo un qualche attore attaccare l’Italia), ma mi ha incuriosito ancora di più, per il modo nel quale opera. Oltre ad operare come ho precedentemente descritto, arriva anche ad impiegare un software che ha lo scopo di rubare cryptovalute. In particolare, del software impiegato da tale attore, cerca dei pattern che possono essere riconducibili ad indirizzi di diversi wallet per diversi tipi di criptovalute. Tale software, quando rileva tali pattern, utilizza una tecnica che è già stata vista in altri tipi di malware per rubare criptovalute, ossia, il software scambia l’indirizzo di quello che sembra essere un indirizzo di un wallet, con un indirizzo di un wallet che l’attore stesso controlla, per quel tipo di criptovaluta (Tale software rileva diversi pattern, ed opera di conseguenza, per cambiare tale pattern con un indirizzo dello specifico wallet, posseduto dall’attore).

Anche in altre campagne malware in cui si attaccano persone in possesso di criptovalute, software simile viene usato anche quando un utente copia nella clipboard una stringa che possa assomigliare ad un indirizzo di un wallet (Questo, per far si che quando la vittima incolli ciò che ha copiato, e poi trasferisca dei fondi, i fondi invece di andare a chi dovrebbero andare, saranno invece destinati al wallet dell’attaccante).

Lascio a voi la lettura del documento fatto da Mandiant, soprattuto se siete interessati ad indicatori di compromissione, perchè qui vorrei esprimere alcune mie teorie, e alcune semplicissime ricerche che ho provato a fare per possibilmente trovare dei siti (Almeno in teoria) compromessi da tale attore.

A questo punto, ciò che scrivo qui sotto può essere o in parte corretto, o completamente sbagliato. Ma ho deciso di includerlo comunque…

A questo punto mi sono detto:
Ha come target l’Italia (O almeno dispositivi sul suolo Italiano). Provo a fare uno stupido Google Dork, e vedo cosa ne esce fuori.

Inizialmente decido di andare per l’indirizzo del wallet bitcoin (Altri indirizzi non hanno portato risultati):
“bc1qk55vk7wjgzg3pmxlh59rv5dlgewd9jem5nrt4w”

Vedo che escono fuori diversi siti di università italiane.

In fine trovo, sempre attraverso il Google Dork di prima, anche questo link al sito di MicroSoft:
https://answers.microsoft.com/en-us/windows/forum/all/clipboarding-pasting-the-same-wrong-string-of-text/f0a0ffb9-966e-441c-adbc-1e899280a0d7

Dove essenzialmente un utente lamenta il fatto che quando copia alcune stringhe di testo, e poi prova ad incollarle, ciò che ha copiato inizialmente non è ciò che ha incollato, affermando che ciò gli sta capitando da almeno un paio di settimane. Questo stesso utente, afferma di aver fatto alcune ricerce, e dice di trovato la stessa stringa (L’indirizzo Bitcoin dell’attore) in diversi siti Italiani.

Almeno un utente nei commenti gli conferma che sembrerebbe trattarsi di un tipo di malware che scambia i contenuti della Clipboard con altri contenuti (Il wallet dell’attore), e almeno altre 2 persone affermano di avere questo stesso problema.

Mi sono posto 2 domande a questo punto:

1. Può essere che tale attore non operi solo in Italia, ma magari anche all’estero?
2. Come ha fatto la persona che ha creato il post sul sito MicroSoft ad essere infettata?

Ora, passo ad una leggera analisi fatta attraverso l’explorer di Blockchain (Le cifre sono espresse in dollari)
L’indirizzo Bitcoin riceve la prima transazione verso il 12 Dicembre 2022 di circa 80 dollari.
Piano piano riceve altre piccolissime somme di Bitcoin, fino al 29 Marzo 2023, dove tale wallet aveva circa 3k.
Il primo Aprile arriva a 4k, per arrivare poi verso Dicembre a 50k.
Verso Marzo 2024 arriva a 80k, e poi invia 32k ad altri indirizzi.

Da allora, il wallet resta fermo a 40k circa, ma di tanto in tanto la cifra aumenta leggermente (Potrebbe aver infettato molti dispositivi con un bitcoin miner. Strana decisione, ma possibile. Se cosi fosse, probabilmente ha fatto la stessa cosa facendo minare Monero a dispositivi infetti, per poter nascondere meglio i suoi guadagni e avere meno possibilità di essere ‘studiato’).

I wallet Monero e le transazioni effettuate non sono analizzabili, a causa del fatto che Monero ha transazioni non tracciabili (Escludendo attacchi basati sul affidarsi a nodi compromessi o controllati).

È chiaro che tale analisi sia insufficiente in termini di informazioni, ma credo che ci aiuti a rispondere ad almeno la prima domanda che mi sono posto prima.

Conclusione:
UNC4990 sembra essere un attore che non opera solamente in Italia. Potrebbe operare con altri attori di altre nazionalità.
Trovo interessante studiare il modus operandi (Specie lato malware) di attori simili.

Grazie per aver letto, spero sia stato interessante

Non seguo molto le attività degli APTs o delle ricerche che si fanno in merito per cercare di fare tracking delle loro attività, del modus operandi e via dicendo.

A dicembre dell’anno scorso però ho letto il libro Sandworm: A New Era of Cyberwar and the Hunt for the Kremlin's Most Dangerous Hackers, in cui l’autore in modo assai dettagliato fa più o meno quello che hai fatto qui, con un APT si crede di origine russa, specializzato nell’attacco di Industrial Control Systems (ICS). È stato super interessante. Se non l’hai letto dacci un’occhiata, perché secondo me ti potrebbe interessare.

Rispetto a questo APT, diciamo non mi sorprende se qualche uni italiana si è fatta attaccare. Le mie esperienze mi “suggeriscono” che non si difendono proprio bene ecco. La roba che ti cambia gli indirizzi del wallet delle criptovalute è assai terrificante come cosa, ma ha anche molto senso. Sarebbe interessante vedere un codice del genere

Comunque si, super interessante, grazie per la condivisione!

Grazie anche per i link, chi è interessato può approfondire (io vorrei veramente ma il tempo è limitato purtroppo )

Si, in precedenza ti avevo già sentito menzionare tale libro in un tuo video. Un altro librio che consiglio davvero tanto di leggere è The Art of Cyberwarfare An Investigator's Guide to Espionage, Ransomware, and Organized Cybercrime scritto da Jon DiMaggio, il quale ha una tematica molto simile al libro che hai raccomandato, ma credo che quest’altro libro sia più in una prospettiva ‘Più larga’, con lo scopo di descrivere attacchi e campagne effettuate da diverse APT di diverse nazioni (Nel libro parla anche degli attacchi BlackEnergy3 fatti da Sandworm verso l’Ucraina).

Un’altra cosa che consiglio davvero a chi interessato, è di ascoltare Ransomware Diaries, che è una ‘Serie’ ad episodi post/audiolibro, nella quale lo stesso Jon DiMaggio prova a comunicare ed ‘Intervistare’, su siti visitati spesso da attori di minacce, come xss[.]is ed exploit[.]in, operatori di LockBit (Bassterlord, ed altri), e come sono arrivati dove sono.

Gli audio si possono trovare sul sito dell’azienda per la quale DiMaggio lavora, Analyst1. Purtroppo tali audio sono in Inglese, ma sono davvero stra interessanti.

Per quanto riguarda degli esempi di clipboard hijacker, credo che ci siano almeno un paio di progetti fatti online (Particolarmente su GitHub) nel quale esempi di malware / Framework C2 abbiano implementato funzionalità simili.

Ok non conoscevo questi audio, mi segno di ascoltarne un paio, grazie mille!

Segnalo inoltre, per chiunque sia interessato, che sul canale youtube di Metro Olografix è presente la registrazione di un talk molto interessante tenuto in occasione del MOCA sull’argomento.

Appena letto il tuo commento sono andato a cercare una talk simile, credo tu ti stia riferendo alla talk di Andrea Azzalin.
Ho guardato la sua talk 1 ora fa circa, e WOW! Ho visto 3 talk circa del MOCA24, ma questa non la avevo vista proprio. L’autore parla proprio dello stesso attore di minacce che ho discusso qui! Talk molto interessante, mi è piaciuta l’analisi che lo speaker ha fornito. Grazie mille per avermelo fatto notare!