30.7.24

Slučaj jedne phishing poruke

Pripremajući tekst koji je nedavno objavljen na portalu ideje.hr, uočio sam objavu AZOP-a od 11.7.2024. o pokretanju nadzora nad HZZO-om povodom sumnjivog phishing maila o kojem se tog dana pričalo (napominjem da sam ovu objavu AZOP-a primijetio tek prije nekoliko dana, a ne s danom objave na njihovim stranicama):



Sumnjivi mail koji je predmet nadzora, stigao je i do mojeg mailbox-a kao i do mailbox-a nekih mojih klijenata, pa sam već idućeg dana (12.7.2024.) napravio analizu maila.

Ako inkriminiranu poruku niste još vidjeli, prikazujem je u nastavku:



Sama poruka ima nekoliko očitih površno sastavljenih elemenata, prije svega čudan naziv pošiljatelja, bez obzira što, naizgled, dolazi s domene hzzo.hr. Zapravo, sama poruka ne bi ni trebala izazivati poseban interes jer bi i umjereno osviješćen korisnik trebao prepoznati krivotvorinu, no pokazalo sa da je mail poruka uspješno dospjela do brojnih primatelja, tako da smo već isti dan na radiju slušali upozorenje HZZO-a primateljima da ne otvaraju taj mail, a i neki programi elektroničke pošte su prikazali upozorenje o sumnjivom pošiljatelju.

Glavni razlog za provedbu analize je dobra praksa da se u slučaju propuštanja maila sa sumnjivim ili nedvojbeno malicioznim sadržajem do računala korisnika, dakle u situaciji kada takav mail nije zaustavljen na filteru mail servera, provede analiza maila te pokuša utvrditi tko je sve od korisnika dobio taj mail i je li možda netko otvorio sumnjivi privitak (odnosno neoprezno postupio na neki drugi način, ovisno od scenarije phishing maila, npr. je li na računalu pohranjena maliciozna datoteka). Dodatni doprinos takve analize je i pribavljanje dodatnih informacija koje će pomoći unaprijediti sigurnosne mjere ili pak dobiti dodatne informacije o potencijalnim napadačima.

Ukratko ću navesti osnovne zaključke analize, bez detaljnog opisivanja postupka.

Pokazalo se da je mail poruka pristigla sa mail servera Medicinskog  fakulteta u Beogradu, odnosno ishodište maila je bilo jednom računalu (vidi se njegova privatna IP adresa) koje je poruku proslijedilo mail serveru. Naravno, to nipošto ne znači da je fakultet ili netko sa fakulteta namjerno poslao ovaj mail, a ovaj zaključak je dobio još veće uporište nakon što sam napravio i sljedeće korake u analizi. U svakom slučaju, ili je računalo nekog korisnika – nastavnog osoblja ili možda studenta bilo zaraženo i poslužilo za slanje poruke ili je možda sam mail server bio kompromitiran. Zaključak se ne može donijeti bez forenzičke analize samog servera i računala pošiljatelja, no to je naravno izvan obuhvata ove analize. Ja sam jedino još mogao prikupiti javno dostupne dodatne podatke o samom mail serveru i pokazalo se da ima jako puno ranjivosti koje se mogu eksploatirati ali i da već ima povijest sličnih kompromitacija, pa ovaj server ostaje glavni osumnjičeni.

Sama mail poruka koja je došla do primatelja ima izrazito nespretno sastavljeno ime pošiljatelja („Hrvatskog zavoda za zdravstveno osiguranje <podataka.zastita <pri> hzzo [.] hr“). Znamo, naravno, da adresa pošiljatelja u tijelu poruke nije nužno relevantna informacija, ali njegova nespretna konstrukcija u ovom slučaju bi trebala biti dodatni indikator prevare. No, ja sam nastavio analizu i fokusirao se na privitak poruke.

Privitak je sadržavao komprimiranu datoteku potvrda.tar (dakle u komprimiranom tar formatu). Datoteku sam raspakirao u izoliranoj i kontroliranoj okolini i pokazalo se da u sebi sadrži izvršnu datoteku potvrda.cmd. Napadač je, pretpostavljam, ciljao na korisnike koji imaju instaliran program WinRAR i to njegovu raniju verziju iz 2023. uz koju je registrirana ranjivost CVE-2023-38831. Ovo je bila veoma opaka ranjivost koja je omogućila da se, nakon što korisnik klikne na poruku, benigno izgledajućoj datoteci iz arhive doda sufiks exe, nakon čega se datoteka izvodi. Ponavljam, ovo je moja pretpostavka zato što nisam testirao izvedbu na ranjivoj verziji WinRAR, ali svi indikatori ukazuju na ovu tehniku.

Nakon izvođenja, datoteka otvara komunikaciju prema Command&Control serveru koji se nalazi na Amazon Cloudu. Analiza je izdvojila IP adresu i ime servera kojem izvedeni program pristupa – www[.]sukhiclothing[.]com. Sama domena je kreirana na GoDaddy pružatelju registracijskih usluga i to putem proxy registranta tako da podaci o stvarnom vlasniku nisu vidljivi bez sudskog naloga ili posebnog „prijateljskog“ uvjeravanja za koje konzultant koji nije i consigliere nema osobite argumente.

Analiza raspakiranog programa na Virustotal i analiza mrežnog prometa koji se izvodio iz malicioznog programa prema kontrolnom serveru je pokazala da se radi o malwareu iz porodice FORMBOOK čija je osnovna namjena krađa podataka, no ovdje sam zastao s daljnjom analizom koja bi detaljnije opisala način rada ovog malicioznog programa. Zaključaka već sada imamo dovoljno.

Što se tiče samog malware, vidjeli smo iskorištavanje ranjivosti u paketu WinRAR. Ova je ranjivost zakrpana u kolovozu 2023. a postoje podaci da je aktivno iskorištavana kao zero-day ranjivost od travnja do kolovoza 2023. Uvjeren sam da i danas ima veliki broj nezakrpanih WinRAR instalacija.

Vjerujem da nije puno ljudi nasjelo na ovu izvedbu s HZZO predmetom, no uz pažljivije kreiranje phishing poruke, ova ranjivost ima veoma zgodan mehanizam za automatsko izvođenje (automatsko kreiranje i izvođenje exe datototeke).

Kada se sagleda cijela slika, još više smo uvjereni da je Medicinski fakultet u Beogradu imao ulogu korisne žrtve. Vrlo moguće da je netko iz Initial Access Broker djelatnosti prodao account za pristup ovom serveru najboljem ponuđaču ili najboljim ponuđačima.

Vraćam se sad na AZOP, s početa teksta, a ovo je i jedan od zaključaka teksta s portala ideje.hr. Umjesto prvoloptaške reakcije i upiranja prsta u krivu stranu, a i pojačanja panike koja je tada još vladala, bilo bi dobro da smo dobili analizu s ovakvim ili još dubljim detaljima. Možda AZOP i nije najpozvaniji ili najspremniji za ovakvu analizu, ali očekujem da netko ipak postoji. Minimalno što se moglo postići bila bi uputa prema kojoj bi tvrtke s manjom tolerancijom na rizike stavile kompromitirani mail server na crnu listu, a dobro bi došla i obavijest o opasnosti nezakrpanog programa WinRAR.

Za kraj, još djelić Only Murders in the Building / True Crime podcast zanosa. Imati ustanovu profila spomenutog fakulteta kao legitimnog pošiljatelja malicioznog maila, napadaču daje velike prilike za kreiranje dobrog preteksta tj. izgovora za scenarije socijalnog inženjeringa. Npr. upravo s ove adrese može doći dobro skrojeni i uvjerljiv mail s malicioznim sadržajem na neki drugi fakultet ili možda u bolnicu, čak i u Hrvatskoj. Recimo, dva tjedna ranije…


Nema komentara:

Objavi komentar