Un allegato zip contiene un img con un exe all’interno: il malware. L’altro, un pdf che scarica uno zip con un exe: lo stesso malware. I dati sono esfiltrati vis SMTP.
Cybercrime: arriva LightBot, il nuovo malware di ricognizione di Trickbot
di Pierguido Iezzi
Arriva LightBot, il nuovo malware di ricognizione di Trickbot. E’ usato dal cybercrime per individuare obiettivi ad alto valore all’interno delle reti colpite
La famigerata botnet TrickBot ha rilasciato un nuovo strumento di ricognizione, un malware chiamato LightBot, utilizzato dal cybercrime per individuare obiettivi ad alto valore all’interno delle reti colpite. Nell’ultima settimana di novembre 2020, è stato osservato un cambio di rotta sospetto all’interno di una campagna di phishing normalmente utilizzata per distribuire il malware BazarLoader di TrickBot. Ora l’obiettivo centrale è divenuto l’installazione di un nuovo script PowerShell malevolo.
La nuova strategia di attacco per scaricare il malware
Come le campagne phishing con BazarLoader, le e-mail di LightBot fingono di provenire da componenti della sezione HR o dall’ufficio legale di una società per informare il destinatario in merito a un reclamo o alla cessazione del rapporto di lavoro dello stesso. In alcuni casi documentati, l’email contiene un link a un documento su https://drive.google.com. Una volta cliccato il link incorporato, ci si ritrova su una pagina di Google Docs sulla quale è mostrato il messaggio “Anteprima disabilitata”, seguito dall’invito a scaricare il file. Il file scaricato è un JavaScript che lancia lo script LightBot.
LightBot: un ricognitore “leggero”
Soprannominato LightBot dall’esperto di cybersecurity Vitali Kremez di Advanced Intel, questo script PowerShell è uno strumento di ricognizione leggero che raccoglie informazioni sulla rete di una vittima per determinare se tali informazioni sono di alto valore e, quindi, “meritevoli” di ulteriori attacchi in futuro. Progettato dagli operatori di TrickBot, viene anche utilizzato dallo stesso gruppo del cybercrime per campagne di ransomware. Per esempio è stato osservato in campagne ad alto potenziale distruttivo e in attacchi che hanno violato i sistemi informatici della compagnia statunitense Universal Health Services (UHS), membro delle Fortune 500 list. LightBot focalizza la sua attività di ricognizione verso obiettivi ad alto valore muovendosi attraverso la rete bersaglio e l’active directory dell’obiettivo prescelto (in maniera simile allo script ricognitore FIN7). “Sospettiamo che LightBot sia usato come mezzo per individuare potenziali obiettivi di attacchi ransomware Ryuk (oltre a BazarBackdoor) attraverso il parsing di rete e dominio, parte della kill chain da Cobalt Strike a Ryuk”, ha dichiarato Kremez.
Quali informazioni vengono raccolte dal malware
Quando lo script PowerShell di LightBot viene eseguito, si notano diverse connessioni a ripetizione a un server di comando e controllo (C2) per ricevere ulteriori script PowerShell da eseguire e per inviare i dati raccolti durante le precedenti esecuzioni. Gli script inviati dal C2 sono tutti uguali, ma con comandi diversi per raccogliere i dati desiderati dai Criminal Hacker. Dai test eseguiti su questo script maligno, è emerso che LightBot raccoglie i seguenti dati:
- Nome del computer
- Informazioni sull’hardware
- Nome utente
- Versione Windows
- Elenco dei domain controller Windows
- Nome del primary domain controller (PDC)
- Indirizzo IP configurato
- Dominio DNS
- Tipo di scheda di rete
- Elenco dei programmi installati
Il comportamento degli script PowerShell
Come parte di questo iter, gli script Powershell di LightBot creeranno anche due file nella cartella %Temp%. Il primo è un file di testo contenente una stringa di codice base64 criptata. Il secondo file è uno script PowerShell che decodifica ed esegue tale stringa. Questo script PowerShell viene lanciato ogni giorno alle 7 del mattino attraverso un’attività pianificata. Il C2 ha generato un errore quando è stato scaricato lo script PowerShell criptato. Per questo motivo non si è riusciti a capire quali azioni vengano eseguite durante questa attività pianificata. Ad oggi, la teoria più comune è che l’obiettivo sia la persistenza all’interno del sistema infetto. Una volta ultimati i comandi iniziali inviati dal C2, LightBot continuerà a funzionare in background e si connetterà a cadenze regolari al C2 per i nuovi comandi.
Le contromisure adottate dagli esperti di cybersecurity
Alcuni mesi fa, Microsoft e altre società di cybersecurity hanno eseguito un takedown coordinato di TrickBot. Tale sforzo congiunto ha avuto un impatto sulle operazioni dell’organizzazione criminale. La continua evoluzione dell’attività criminale, dimostra l’adattabilità e la resilienza di questo gruppo di hacker. Secondo quanto trapela da un’intervista concessa da Liviu Arsene di Bitdefender, la scelta del momento in cui sferrare l’attacco è stata frutto di una meticolosa programmazione. L’intento era sgominare, o perlomeno ritardare l’attività della botnet, prima delle elezioni USA. In questo modo si sarebbero ridotti i rischi di interventi distorsivi sui risultati del voto.
Le difese, però, non hanno funzionato. Il rischio di finire vittima di campagne phishing di LightBot è ancora presente
Nonostante i tentativi degli esperti, purtroppo, il rischio di finire vittima di campagne phishing di LightBot è ancora presente. Il risultato finale sarà probabilmente un attacco ransomware Ryuk o Conti su tutta la rete. Purtroppo la strategia difensiva attuata da Microsoft e ad altri importanti player del settore cybersecurity non si è rivelata risolutiva.È stato infatti rilasciato Trickbot v100, una nuova minaccia con spiccate capacità elusive. Il consiglio rimane sempre lo stesso: continuare a informarsi e, soprattutto, formarsi e mantenere sempre la massima soglia di attenzione.
Non abbassiamo la guardia!
Articoli correlati
