Operation Ghoul prende di mira industrie e società di engineering del Medio Oriente

I ricercatori hanno individuato, oggi, una serie di attacchi mirati, tuttora in corso, appositamente progettati per realizzare il furto, nel settore corporate, di dati finanziari di natura sensibile, appartenenti a stabilimenti industriali e società di engineering del Medio Oriente.

Secondo un report pubblicato mercoledì scorso, il gruppo che si cela dietro tale campagna malevola, soprannominata “Operation Ghoul” dai ricercatori del Global Research and Analysis Team di Kaspersky Lab, ha condotto attacchi informatici, sinora, nei confronti di ben 130 organizzazioni, ubicate in 30 diversi paesi.

Gli attacchi in questione si sono prevalentemente concentrati in vari paesi mediorientali; il 70% degli assalti ha colpito, di fatto, società situate negli Emirati Arabi Uniti. I ricercatori, tuttavia, hanno ugualmente osservato numerosi attacchi effettuati in India, Regno Unito e Germania. La nazione più duramente colpita da Ghoul, ad ogni caso, è risultata essere la Spagna; nel paese iberico sono state in effetti bersagliate ben 25 diverse organizzazioni.

ghoul_EN

I ricercatori sostengono che, nonostante gli attacchi condotti non brillino di certo per sofisticatezza – la campagna si è ad esempio avvalsa di un unico server di comando e controllo – tali assalti informatici non si rivelano comunque essere di minore pericolosità.

“A differenza degli attori sponsorizzati a livello di stati nazionali, che sono soliti scegliere i propri bersagli in maniera particolarmente accurata, il gruppo sopra menzionato, ed altri gruppi simili, potrebbero attaccare qualsiasi azienda. Anche se ricorrono all’utilizzo di tool malevoli piuttosto semplici, questi gruppi si dimostrano davvero molto efficaci, nei loro attacchi”, ha dichiarato Mohammad Amin Hasbini, esperto di sicurezza IT presso Kaspersky Lab. “Quindi, le società che non sono preparate a far fronte a tali attacchi potranno subire gravi conseguenze”.

Gli attacchi sono costruiti attorno ad e-mail di spear phishing contenenti allegati nocivi compressi, in formato .7z; questi ultimi, nel caso in cui vengano aperti, attivano il malware preposto al furto dei dati. L’eseguibile lanciato dal malware inizia a “succhiar via” le password, le sequenze dei tasti premuti dall’utente-vittima, e realizza, per di più, appositi screenshot; i dati sottratti vengono in tal modo trasmessi agli attacker di turno. In alcuni casi, poi, si cerca di indurre la vittima a cliccare su insidiosi link di phishing.

Il malware in causa, basato su HawkEye, un tool commerciale utilizzato a fini di spionaggio, carpisce ugualmente le credenziali dei server FTP, i dati relativi agli account di cui viene fatto uso (custoditi a livello di browser, client di messaggistica istantanea e client di posta elettronica) e, infine, anche il contenuto della clipboard. Per esfiltrare i dati in questione, gli attaccanti si avvalgono di una combinazione di post HTTP GET e di messaggi e-mail inviati attraverso i computer appartenenti alle società già compromesse.

Le e-mail di spear phishing, inviate ai dirigenti e al management di più elevato livello, nell’ambito delle organizzazioni prese di mira, sembrano provenire, in apparenza (!), da una banca situata negli Emirati Arabi Uniti, la Emirates NBD, e presentano, nel campo riservato all’oggetto, diciture fasulle, come, ad esempio, “Your payment copy advice from Emirates NBD Bank/subsidiary”.

Le ondate più recenti di attacchi hanno avuto inizio, rispettivamente, l’8 giugno ed il 27 giugno scorsi; i ricercatori, tuttavia, ritengono che gli elementi correlati ai file malevoli utilizzati, così come ai siti degli attacchi, possano far pensare che le origini di Ghoul risalgano addirittura al mese di marzo del 2015.

La campagna qui sopra descritta è, di fatto, l’ultima di una lunga serie di attacchi mirati, condotti, in Medio Oriente, nei confronti del settore industriale.

Varie società mediorientali operanti nel settore energetico erano state ad esempio bersagliate, alcuni anni fa, da attacker che facevano uso del malware njRAT, dispiegato a fini di spionaggio. Con modalità simili a quelle utilizzate nel quadro della campagna Operation Ghoul, gli attaccanti, all’epoca, recapitavano il loro RAT (Remote Access Trojan, trojan per l’accesso remoto) all’interno delle società prese di mira, allo scopo di sottrarre dati sensibili (ad esempio le credenziali custodite nei browser), rubare dei file, visualizzare il desktop dell’utente ed ottenere l’accesso al computer in uso presso la vittima designata.

Nel 2013 era stato osservato l’utilizzo, da parte degli attacker, del noto Trojan bancario Citadel, nei confronti di alcune compagnie petrolchimiche situate in Medio Oriente. Nell’ambito di tali attacchi, gli hacker prendevano di mira i sistemi di webmail delle imprese. Gli attacker riuscivano a farsi strada nelle e-mail dei dipendenti o dei consulenti, per poi inviare appositi messaggi di posta, ed agevolare, così, la conduzione di temibili campagne di phishing.

Fonte: Securelist

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *