Meno di due settimane fa, la Cybersecurity & Infrastructure Security Agency degli Stati Uniti e l’FBI hanno rilasciato un avviso congiunto sulla minaccia di attacchi ransomware da parte di una banda che si fa chiamare “Cuba”. Il gruppo, che secondo i ricercatori ha sede in Russia, è andato su tutte le furie nell’ultimo anno prendendo di mira un numero crescente di aziende e altre istituzioni negli Stati Uniti e all’estero.
Una nuova ricerca pubblicata oggi indica che Cuba ha utilizzato pezzi di malware nei suoi attacchi che sono stati certificati, o dotati di un sigillo di approvazione, da Microsoft.
Cuba ha utilizzato questi “driver” firmati crittograficamente dopo aver compromesso i sistemi di un obiettivo come parte degli sforzi per disabilitare gli strumenti di scansione di sicurezza e modificare le impostazioni. L’attività doveva passare sotto il radar, ma è stata segnalata dagli strumenti di monitoraggio della società di sicurezza Sophos. I ricercatori dell’Unità di Palo Alto Networks 59 in precedenza ha osservato Cuba firmare un software privilegiato noto come “driver del kernel” con un certificato NVIDIA che è stato trapelato all’inizio di quest’anno dal Gruppo di hacker Lapsus$. E Sophos afferma di aver anche visto il gruppo utilizzare la strategia con certificati compromessi da almeno un’altra società tecnologica cinese, che la società di sicurezza Mandiant ha identificato come Zhuhai Liancheng Technology Co.
“Microsoft è stata recentemente informata che i driver certificati dal Programma per sviluppatori hardware Windows di Microsoft venivano utilizzati in modo dannoso nell’attività post-sfruttamento”, ha affermato la società in un avviso di sicurezza oggi. “Diversi account sviluppatore per il Microsoft Partner Center erano impegnati nell’invio di driver dannosi per ottenere una firma Microsoft… I driver dannosi firmati sono stati probabilmente utilizzati per facilitare l’attività di intrusione post-sfruttamento come la distribuzione di ransomware.”
Sophos ha notificato a Microsoft l’attività di ottobre 19 insieme a Mandiant e società di sicurezza SentinelOne. Microsoft afferma di aver sospeso gli account del Centro per i partner oggetto di abusi, revocato i certificati non autorizzati e rilasciato aggiornamenti di sicurezza per Windows relativi alla situazione. La società aggiunge di non aver identificato alcuna compromissione dei suoi sistemi oltre all’abuso dell’account del partner.
Microsoft ha rifiutato la richiesta di WIRED di commentare oltre l’avviso.
“Questi aggressori, molto probabilmente affiliati al gruppo ransomware Cuba, sanno cosa stanno facendo e sono persistenti”, afferma Christopher Budd, direttore della ricerca sulle minacce presso Sophos. “Abbiamo trovato un totale di 10 driver dannosi, tutte varianti della scoperta iniziale. Questi driver mostrano uno sforzo concertato per risalire la catena della fiducia, a partire almeno dallo scorso luglio. Creare un driver dannoso da zero e farlo firmare da un’autorità legittima è difficile. Tuttavia, è incredibilmente efficace, perché il conducente può essenzialmente eseguire qualsiasi processo senza domande.”
La firma del software crittografico è un’importante convalida meccanismo inteso a garantire che il software sia stato controllato e approvato da una parte fidata o “autorità di certificazione”. Tuttavia, gli aggressori sono sempre alla ricerca di punti deboli in questa infrastruttura, dove possono compromettere i certificati o in altro modo indebolire e abusare del processo di firma per legittimare il loro malware.
“Mandiant ha precedentemente osservato scenari in cui si sospetta che i gruppi sfruttino un servizio criminale comune per la firma del codice”, la società ha scritto in un rapporto pubblicato oggi. “L’uso di certificati di firma del codice rubati o ottenuti in modo fraudolento da parte di attori delle minacce è stata una tattica comune e la fornitura di questi certificati o servizi di firma si è rivelata una nicchia redditizia nell’economia sommersa.”
All’inizio di questo mese, Google ha pubblicato i risultati secondo cui una serie di “certificati di piattaforma” compromessi gestiti da Android i produttori di dispositivi tra cui Samsung e LG erano stati utilizzati per firmare app Android dannose distribuite tramite canali di terze parti. Sembra che almeno alcuni dei certificati compromessi sono stati utilizzati per firmare componenti dello strumento di accesso remoto Manuscrypt. L’FBI e la CISA hanno 023388817precedentemente attribuito attività associate alla famiglia di malware Manuscrypt ad hacker sostenuti dallo stato nordcoreano prendere di mira piattaforme e scambi di criptovalute.
“In 2021, abbiamo notato che gli aggressori ransomware tentano sempre più di aggirare i prodotti di rilevamento e risposta degli endpoint di molti, se non della maggior parte, dei principali fornitori”, afferma Budd di Sophos. “La comunità della sicurezza deve essere consapevole di questa minaccia in modo da poter implementare ulteriori misure di sicurezza. Inoltre, potremmo vedere altri aggressori tentare di emulare questo tipo di attacco.”
Con così tanti certificati compromessi in circolazione, sembra che molti aggressori abbiano già ottenuto il promemoria sullo spostamento verso questa strategia.
023388817
023388817
