Campagne di Malspam verso obiettivi Italiani ID: CERT-PA-B001-180221 Data: 21/02/2018 AVVERTENZE Il documento ha lo scopo di fornire alle Amministrazioni accreditate il quadro di riferimento degli scenari di minaccia rilevati dal CERT-PA, al fine di consentire loro di avviare tempestivamente valutazioni di impatto sui propri sistemi informativi e implementare le misure di contrasto/contenimento dei rischi correlati. Il CERT-PA, nell erogare al meglio questo servizio, si avvale di propri fornitori e di fonti pubbliche disponibili in Rete, individuati e selezionati tra i più autorevoli organismi di sicurezza, aziende specializzate e fornitori di tecnologie, al fine di garantire alla comunità di riferimento con la massima accuratezza, affidabilità e tempestività possibile le informazioni utili per la prevenzione e la gestione degli incidenti di sicurezza informatica. Non è consentito far uso di queste informazioni per finalità differenti da quelle sopra indicate. La presenza di rinvii operati mediante tecniche di ipertesto (link) non costituisce una raccomandazione del CERT-PA verso il soggetto richiamato, ma unicamente uno strumento per facilitare il rapido recupero di informazioni utili.
Indice Sommario... 2 1. Campagna diffusione malware via posta elettronica... 2 Banca d Italia... 2 Fattura 20/02/2018... 3 Indicatori di compromissione... 4 Note... 5 Riferimenti... 5 CERT-PA-B001-180221 1
Sommario Questa sezione contiene l elenco delle minacce oggetto del bollettino. Dalle segnalazioni e dal monitoraggio delle fonti, il CERT-PA ha evidenziato i seguenti eventi: 1. Campagna diffusione malware via posta elettronica Nel corso delle ultime 48 ore sono state rilevate due distinte campagne di diffusione malware veicolate principalmente verso utenti privati ma con possibile target anche su caselle di poste elettronica della pubblica amministrazione. Nello specifico sono state rilevate due distinte campagne di seguito rappresentate sulla base dei campioni rilevati anche tramite attività di info-sharing con strutture accreditate al CERT-PA: Banca d Italia Il caso indicato è definito dall invio di messaggi, apparentemente provenienti da Banca d Italia, con oggetto Banca d Italia PROJECT al cui interno sono inseriti elementi come logo e nomi riferibili all Ente. Di seguito un estratto del messaggio: CERT-PA-B001-180221 2
Per il caso specifico lo stesso Ente ha provveduto, nella giornata di ieri, a rilasciare una nota confermando che si tratta di messaggi non autorizzati in alcun modo dalla Banca d'italia. Fattura 20/02/2018 Il caso indicato è definito dall invio di messaggi di malspam con oggetto fattura 20/02/2018 con corpo strutturato come da immagine seguente: Per l esempio rappresentato il mittente individuato è drsergz@aim2rich.net ma non si esclude che la campagna possa aver utilizzato aggiuntivi indirizzi. Il collegamento ipertestuale nel corpo del messaggio riporta al dominio seguente: businessnuggets.us2.list-manage.com La URI riportata nel corpo permette il download di malware tramite un archivio.zip contenente un file.lnk CERT-PA-B001-180221 3
Indicatori di compromissione Di seguito gli IoC relativi all evento Banca d Italia IP: 185.234.128.103 Domini contattati: ns.unitehnica.ro unitehnica.ro krf.ro rozazu.ro Di seguito gli IoC relativi all evento fattura 20/02/2018 Dominio: https://businessnuggets.us2.list-manage.com URL: https://businessnuggets.us2.list-manage.com/track/click?u=7a5d628eab559bf9c81954a7c&id=rnd()&e=rnd()* *RND() indica un parametro casuale alfanumerico Indirizzo server C&C: http://5.39.221.52/default.php Oggetto mail: fattura 20\02\2018 fattura 20\02\2018 YHG-37485 SHA256 file fattura 2-20-2018.lnk : SHA256 c2a8c38c264c087df8a934c4ed02991769163314aa99f79bce44b0b8af5187f2 URL Virus total per file fattura 2-20-2018.lnk : https://www.virustotal.com/it/file/c2a8c38c264c087df8a934c4ed02991769163314aa99f79bce44b0b8af5187f2/analysis/ CERT-PA-B001-180221 4
Note In riferimento all ultimo caso riportato, si è già rilevato nei giorni scorsi una campagna di malspam che, secondo alcuni elementi tra cui il nome file, è stata veicolata con l intento di colpire utenti Italiani e per la quale, in relazione all IP 5.39.221.52, si nota un parziale riutilizzo dell infrastruttura di C&C: https://infosec.cert-pa.it/analyze/66d180cf2a42e2c6dfdb97babd48454e.html Riferimenti http://www.bancaditalia.it/media/notizia/avviso-segnalazione-di-tentativi-fraudolenti-di-mail-phishing-con-allegati-malevoli-e-usoimproprio-del-nome-della-banca-d-italia/ CERT-PA-B001-180221 5