Un APT ha attaccato due diversi produttori di vaccini quest’anno, utilizzando un malware mutaforma che all’inizio sembra essere un attacco ransomware ma che in seguito si rivela molto più sofisticato.

Il virus mutaforma

Gli analisti di cybersecurity lanciano l’allarme: questo malware è adattabile e resistente. E nella sua forma originale era stato individuato anche in Italia.

Il software avrebbe anche le funzionalità di un trojan, il che significa che una volta installato su una rete di computer cerca le password memorizzate, distribuisce un keylogger per registrare le password digitate, inizia l’esfiltrazione dei dati e stabilisce una backdoor affinché gli aggressori possano rientrare più e più volte nei sistemi colpiti.

Tardigrade

Soprannominato Tardigrade dal Bioeconomy Information Sharing and Analysis Center (BIO-ISAC), gli attacchi erano connaturati dall’utilizzo di un malware in grado di adattarsi al suo ambiente, nascondersi e persino operare in modo autonomo quando tagliato fuori dal suo server di comando e controllo (C2).

Il primo attacco è stato rilevato in una grande struttura di bioproduzione nell’aprile 2021, con gli investigatori che hanno identificato un caricatore di malware “che ha dimostrato un alto grado di autonomia e capacità metamorfiche”, secondo l’avviso del BIO-ISAC. Nell’ottobre 2021, il malware è stato rilevato anche in una seconda struttura.

Comportamento del malware

I ricercatori hanno determinato che il malware utilizzato negli attacchi Tardigrade è una variante della famiglia SmokeLoader con capacità metamorfiche. SmokeLoader è una backdoor generica con capacità che variano a seconda di quali moduli sono inclusi.

La variante sembra particolarmente intelligente in quanto può cambiare le sue proprietà a seconda dell’ambiente, hanno osservato gli investigatori. Mentre le precedenti versioni di SmokeLoader che i ricercatori hanno visto erano dirette dall’esterno dall’infrastruttura C2, la variante utilizzata negli attacchi Tardigrade più autonoma e può dirigere il proprio movimento laterale.

Un nuovo malware o un Cobalt Strike?

Alcuni ricercatori di sicurezza hanno messo in dubbio il rapporto di BIO-ISAC e i suoi dettagli tecnici. In particolare, hanno dubitato dell’identificazione da parte dei ricercatori di BioBright di un file intserrs644.dll inviato a VirusTotal come la nuova variante di malware Tardigrade / SmokeLoader. È stato asserito, infatti, che il file DLL era, piuttosto, un beacon Cobalt Strike e che non ha alcuna relazione con SmokeLoader.

I test approfonditi di BioBright hanno dimostrato che il malware non è Cobalt Strike, ha affermato l’amministratore delegato di BioBright Charles Fracchia, il quale sostiene che Tardigrade non sia un ransomware comune. Sarebbe, piuttosto, una versione più sofisticata derivata con ogni probabilità da SmokeLoader.

La differenza tra metamorfico e polimorfico è nell’artefatto compilato, ha spiegato. La maggior parte degli antivirus funziona con le firme per identificare malware come Cobalt Strike.

Per eludere tale identificazione, gli ingegneri del malware fanno una delle due cose: o usano il polimorfismo, codificando il pacchetto di codice con la crittografia in modo semi-casuale e utilizzando chiavi diverse per la crittografia in modo che il pacchetto appaia diverso ed eviti il rilevamento antivirus; oppure usano la tecnica del metamorfismo, che cambia le parti costitutive del malware e si ricompila.

I ricercatori di BioBright stanno ancora cercando di svelare come tutto questo possa essere fatto in termini pratici, ha detto Fracchia, ma è chiaro che il Tardigrade ha un comportamento morfico molto avanzato.

Leggi gli altri articoli dal Blog di Telsy