A cura di Max Heinemeyer, Director of Threat Hunting di Darktrace
Un’organizzazione governativa nella regione EMEA, che doveva garantire la protezione di oltre 10.000 dispositivi, si è avvalsa della protezione della Cyber AI di Darktrace, che, in meno di una settimana dall’inizio della prova, ha rilevato un dispositivo infettato da malware beaconing agli endpoint C2 tramite HTTP e SSL e che si apprestava a scaricare un file sospetto.
Il caso è di particolare interesse perché gli aggressori stavano utilizzando una variante del malware Glupteba nel tentativo di rubare informazioni sensibili dai browser, come le password o le informazioni sulle carte di credito, oltre alle credenziali dell’account di posta elettronica. Dato che si trattava di un’agenzia governativa, le conseguenze se gli aggressori avessero ottenuto l’accesso alle credenziali degli account dei dipendenti avrebbero potuto essere estremamente gravi.
Come spesso accade, l’attacco è avvenuto rapidamente, in meno di un’ora, di domenica, sfruttando una giornata nella quale la risposta del team di sicurezza, nella maggior parte dei casi, è meno rapido rispetto ai giorni feriali.
L’attacco nel dettaglio
Darktrace ha identificato un dispositivo che stava per avviare connessioni crittografate a un dominio esterno mai visto prima in tutta l’organizzazione. Il dispositivo era stato probabilmente infettato prima dell’implementazione di Darktrace, molto probabilmente tramite un allegato o un collegamento e-mail dannoso.
Le evoluzioni più recenti del malware Glupteba utilizzano anche il malvertising che indirizza l’utente a un endpoint raro e forza il download di un file anomalo.
L’intelligenza artificiale di Darktrace ha rilevato che il dispositivo stava scaricando un file eseguibile, atx777.exe, che sembra essere associato a Taurus stealer, un tool accreditato al gruppo criminale informatico “Predator the Thief”.
Dopo il download di questo file, il dispositivo ha avviato ulteriori connessioni crittografate a endpoint sospetti su canali di comunicazione insoliti. Allo stesso tempo, il dispositivo ha scaricato un altro file eseguibile da un dominio con un agente utente insolito, “CertUtil URL Agent”.
Questo attacco dimostra come gli hacker stiano utilizzando tecniche sempre più sofisticate per superare gli strumenti di protezione tradizionali. Il framework del malware Glupteba, che ha visto una rinascita negli ultimi mesi utilizza, ad esempio, diverse tecniche di evasione, incluso il rilevamento delle sandbox.
Subito dopo l’eliminazione del payload, il malware esamina l’ambiente in cui è stato installato e non eseguirà ulteriori processi se rileva che la macchina host è una sandbox. Il malware è anche in grado di nascondersi ulteriormente escludendo i file Glupteba da Windows Defender, alterando le regole del firewall per consentire il command and control del traffico con una tipologia di attacco definita “Living off the Land”, che sfrutta gli strumenti già presenti in modo nativo nel sistema operativo dei computer e nei dispositivi, come CertUtil, l’unità di Windows per la gestione dei certificati digitali.
Nonostante questi tentativi, la Cyber AI di Darktrace ha rilevato l’attività sospetta, perché esulava dal normale “modello di comportamento” del dispositivo e dell’organizzazione. Darktrace ha identificato l’attività fin dalle prime fasi dell’attacco e il Cyber AI Analyst ha indagato a fondo sull’incidente, rivelando alcune metriche cruciali, come i dettagli sugli endpoint contattati.
Conclusioni
È evidente come chi sviluppa malware come Taurus stealer impieghi tecniche sempre più sofisticate per evitare di essere scoperto; la tecnologia AI di Darktrace è stata in grado non solo di avvisare e agire sull’attività dannosa senza interrompere la continuità aziendale, ma lo ha fatto nonostante il malware fosse già presente su un dispositivo prima che il cliente iniziasse a sfruttare Darktrace per la difesa informatica.
Le organizzazioni pubbliche, al pari delle realtà private, continuano a essere prese di mira con ransomware e altre minacce rapide e furtive, rendendo la necessità di una risposta autonoma più urgente che mai. Questo case study dimostra, infatti, quale sia il potere della risposta autonoma nell’agire in modo intelligente per fermare le minacce informatiche in particolare quando il personale che si occupa della cybersicurezza è ridotto o magari opera da remoto o non è al lavoro.
