Rilevamento del Trojan FoxBlade: Microsoft rivela un nuovo malware distruttivo che prende di mira l’infrastruttura ucraina
Indice:
Il 23 febbraio 2022, prima dell’invasione offensiva della Russia in Ucraina, una nuova ondata di minacce digitali ha colpito l’Ucraina poco dopo una valanga di attacchi informatici che coinvolgono la cancellazione dei dati WhisperGate and HermeticWiper varianti di malware mirate a entità ucraine. Il Microsoft Security Intelligence Center ha scoperto una serie di attacchi che sfruttano un nuovo malware FoxBlade mirato a più settori, tra cui finanza, agricoltura, servizi di risposta alle emergenze, il settore energetico e una vasta gamma di imprese — destinate a destabilizzare completamente le infrastrutture civili e informatiche del paese. Gli sforzi informatici erano mirati a rubare una vasta gamma di dati sensibili e set di dati governativi.
Rilevamento e Mitigazione del Malware FoxBlade
Per rilevare l’attività sospetta associata al malware FoxBlade, puoi scaricare un paio di regole Sigma create dal nostro sviluppatore di Threat Bounty, Osman Demir. Entrambe le regole sono disponibili sulla piattaforma Detection as Code di SOC Prime. Gli utenti nuovi ed esistenti possono accedere ai contenuti di rilevamento registrandosi alla piattaforma o utilizzando il proprio account esistente:
Targeting FoxBlade Malware in Ucraina (via process_creation)
Questo rilevamento ha traduzioni per le seguenti piattaforme SIEM, EDR e XDR: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, SentinelOne, Microsoft Defender for Endpoint, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix.
Nuovo malware FoxBlade usato per mirare all’Ucraina (via registry_event)
Questo rilevamento basato su Sigma ha traduzioni per le seguenti piattaforme SIEM, EDR e XDR: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender for Endpoint, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, AWS OpenSearch.
Entrambe le regole sono allineate con l’ultimo framework MITRE ATT&CK® v.10, affrontando le tecniche di Impair Defenses (T1562) e Defense Evasion (TA0005), incluso il sotto-tecnica Disable o Modify Tools (T1562.001).
Puoi anche utilizzare il software gratuito di Microsoft per difenderti in modo proattivo dagli attacchi FoxBlade e minimizzare i rischi nella tua infrastruttura:
- Windows Defender o Microsoft Security Essentials per Windows 7 e Windows Vista
- Microsoft Safety Scanner
Si consiglia inoltre ai responsabili della sicurezza di eseguire una scansione completa per rilevare i modelli comportamentali dannosi legati al malware FoxBlade e anche ad altre minacce nascoste.
Gli utenti di SOC Prime possono ottenere accesso gratuito all’intero stack di rilevamento per identificare minacce informatiche legate alla Russia. Basta registrarsi o accedere al proprio account SOC Prime corrente, selezionare Quick Hunt e cercare minacce correlate nel proprio ambiente:
L’elenco completo dei contenuti di threat hunting per attacchi informatici sostenuti dalla Russia
Analisi di FoxBlade
I primi dettagli sugli attacchi del trojan FoxBlade sono stati condivisi dal Microsoft Threat Intelligence Center (MSTIC) il 23 febbraio 2022.
Un malware chiamato FoxBlade è un trojan leggero e un cancellatore di dati che ha attaccato principalmente i servizi digitali civili in Ucraina. Il suo algoritmo di distruzione dei dati mira a rubare credenziali e dati personali. Gli attaccanti hanno sfruttato principalmente una vulnerabilità conosciuta in Microsoft SQL Server (CVE-2021-1636) quindi tutte le macchine con versioni non aggiornate di quest’ultimo potrebbero essere compromesse.
Secondo Microsoft, FoxBlade espone anche il dispositivo della vittima a attacchi DDoS senza che il proprietario ne sia a conoscenza. Sebbene i metodi di accesso iniziali fossero diversi, i ricercatori sottolineano che almeno una volta il wiper è stato rilasciato tramite Default Domain Policy, il che significa che probabilmente aveva accesso al server Active Directory del computer infetto.
Alcune ulteriori analisi sono le seguenti:
- Il malware utilizza un exploit di Tomcat che esegue un comando PowerShell.
- Il caricatore del wiper è un file .exe firmato da un certificato emesso a Hermetica Digital Ltd.
- Questo file contiene file driver a 32-bit e 64-bit compressi dall’algoritmo Lempel-Ziv.
- I file driver sono quindi firmati da un certificato rilasciato a un legittimo software EaseUS Partition Master. I nomi dei file driver sono generati utilizzando l’ID del processo del wiper.
- Infine, il wiper riavvia il dispositivo della vittima, danneggiando il Master Boot Record (MBR) e rendendolo inoperabile.
Unisciti a SOC Prime’s Detection as Code platform per migliorare le tue capacità di rilevamento delle minacce con la potenza di una comunità globale di esperti di sicurezza informatica. Puoi anche arricchire l’esperienza collaborativa contribuendo a iniziativa di crowdsourcing di SOC Prime. Scrivi e invia le tue regole Sigma, pubblicale su una piattaforma e ricevi ricompense ricorrenti per il tuo contributo.
