FlawedGrace è il nome di un RAT (Remote Access Threat) che fa parte del minaccioso arsenale della banda di criminali informatici, finanziariamente motivati, identificata come TA505 (o Hive0065).

Il gruppo è attivo almeno dal 2014 ed è tra i più prolifici con molteplici campagne di attacco ad esso attribuite.  Un’altra caratteristica distintiva di TA505 è la sua propensione a implementare frequenti modifiche sia ai loro TTP (tattiche, tecniche e procedure), sia ai tipi di minacce malware.

Il gruppo è stato osservato mentre effettuava massicce campagne di spam tramite e-mail consegnando il Trojan bancario Dridex, prima di passare alla distribuzione delle minacce Locky e Jaff Ransomware, del Trojan bancario TrickBot e altro ancora.

I dettagli di FlawedGrace

La prima volta che il FlawedGrace RAT è stato rilevato dai ricercatori è stato nel novembre 2017.  È un potente RAT scritto nel linguaggio di programmazione C++.

È in grado di riconoscere più comandi in entrata da un server Command-and-Control inviato tramite un protocollo binario personalizzato utilizzando la porta 443. È possibile indicare alla minaccia di recuperare moduli danneggiati aggiuntivi e quindi caricarli ed eseguirli. Può anche scaricare ed estrarre file scelti, raccogliere informazioni sensibili sull’utente, come password e altro.

Nelle ultime operazioni di attacco effettuate da TA505, è stata implementata una versione aggiornata del FlawedGrace RAT.  Sebbene l’analisi completa delle modifiche sia ancora in corso, finora i ricercatori hanno osservato che la minaccia ora utilizza stringhe crittografate e chiamate API offuscate.

Un’altra differenza è stata trovata nel modo in cui la minaccia ha memorizzato la sua configurazione. La configurazione iniziale o predefinita viene archiviata nel sistema come risorsa crittografata.  Successivamente, viene diviso in due: un’istanza di configurazione corrente collocata in una regione di memoria mappata e un meccanismo di persistenza inserito nel registro di sistema.

FlawedGrace si distribuisce via phishing

È stata identificata una massiccia campagna di phishing che ha preso di mira un elevato numero di aziende in tutta Europa diffondendo il malware FlawedGrace.

Secondo i ricercatori di sicurezza di Proofpoint, gli attacchi della nuova variante di FlawedGrace sarebbero iniziati con una serie di ondate di poche e-mail, consegnando solo diverse migliaia di messaggi in ogni fase, prima di aumentare fino a raggiungere le decine o centinaia di migliaia di messaggi di posta elettronica malevoli.

Il gruppo TA505 ha una comprovata esperienza in attacchi mirati a istituti di ricerca, banche, attività commerciali al dettaglio, società energetiche, istituzioni sanitarie, compagnie aeree e agenzie governative.

La catena di infezione del malware

Anche nel caso della nuova variante del RAT FlawedGrace, le attività dannose iniziano con l’apertura di allegati contenenti malware nei messaggi di phishing che, tipicamente, rimandano ad aggiornamenti COVID-19, reclami assicurativi o notifiche sui file condivisi di Microsoft OneDrive.

Il successo dell’ultima campagna di phishing, in particolare, dipende dagli utenti che abilitano le macro dopo aver aperto gli allegati Excel dannosi distribuiti dai criminal hacker.

L’attivazione della macro consente, quindi, di scaricare n file MSI occulti per recuperare i loader per la fase successiva della catena di attacco in cui viene consegnata la versione aggiornata di FlawedGrace RAT, che incorpora il supporto per stringhe crittografate e chiamate API occulte.

Il gruppo criminale dietro FlawedGrace

L’ondata di attacchi registrati negli ultimi mesi del 2021 è significativa anche per il suo cambiamento nelle TTPs utilizzate dai criminal hacker, che includono l’uso di loader intermedi, script in linguaggi insoliti come Rebol e KiXtart al posto di Get2, un downloader precedentemente distribuito dal gruppo per eseguire ricognizioni e scaricare e installare payload RAT della fase finale.

Secondo quanto affermato dai ricercatori di Proofpoint, TA505 è un affermato attore di minacce finanziariamente motivato e noto per la conduzione di campagne e-mail dannose su una scala mai vista prima. Il gruppo cambia regolarmente i propri TTPs ed è considerato un trendsetter nel mondo del crimine informatico.

Inoltre, la mutevolezza del malware combinato con la capacità di TA505 di essere flessibile, concentrandosi su ciò che è più redditizio e adattando i suoi TTP secondo necessità, rende l’attore una minaccia continua.

Come difendersi

La diffusione del malware RAT FlawedGrace rappresenta la parte più evidente dell’ennesimo attacco phishing su larga scala, caratterizzato in questo caso dalla sua mutevolezza. Il primo consiglio per proteggersi da questa nuova minaccia è, dunque, quello di ponderare attentamente l’apertura di allegati sconosciuti provenienti da indirizzi e-mail non attendibili.

Allo stesso tempo, è sempre molto importante evitare l’attivazione di macro potenzialmente dannose sul proprio dispositivo. In questo senso, è utile dotarsi di un team di esperti in grado di salvaguardare la sicurezza del perimetro cyber.

È importante, poi, soprattutto in ambito aziendale, fare in modo che i propri dipendenti mantengano un alto il livello di consapevolezza delle possibili minacce, avvisandoli periodicamente dei nuovi attacchi in corso. Infine, valutare l’opportunità di aggiungere ai propri sistemi di sicurezza gli IoC (indici di compromissione) della minaccia pubblicati dai ricercatori Proofpoint.

Leggi gli altri report cyber sul blog di Telsy