Gli esperti di Kaspersky hanno scoperto un nuovo malware che può colpire i sistemi industriali “air-gapped“, ovvero non connessi ad Internet. Gli attacchi sono stati effettuati dal gruppo Zirconium contro diverse aziende dell’est Europa, utilizzando varianti della famiglia FourteenHi.
Attacco multi-stadio
I primi attacchi sono stati rilevati nel mese di aprile. Durante la prima fase sono stabiliti la persistenza e l’accesso remoto. Segue quindi la fase di distribuzione del malware che permette di rubare i dati dai sistemi air-gapped, sfruttando un drive USB. Infine vengono usati vari tool per inviare i dati al server C2 (command and control).
Il malware è formato da quattro moduli. Il modulo principale raccoglie informazioni sui drive e la struttura del file system, raccoglie i dati, cattura screenshot e distribuisce payload aggiuntivi. Il secondo modulo infetta i drive rimovibili, copiando un’eseguibile legittimo di McAfee e una DLL infetta che viene caricata in memoria tramite DLL sideloading, quando l’utente esegue un file .LNK.
Il terzo modulo esegue uno script che copia i dati nella directory $RECYCLE.BIN, dalla quale vengono raccolti dal primo modulo. Il quarto modulo, rilevato in alcuni attacchi, è una variante del primo modulo che funziona come dropper del payload simile a quello del secondo modulo. Quest’ultimo ruba i file, cattura screenshot e registra i tasti premuti (keylogging).
Il malware viene iniettato nella memoria di processi legittimi per evitare la rilevazione. Entra in funzione dopo 10 minuti e raccoglie tutti i file che hanno le estensioni indicate nel file di configurazione. I dati sono salvati in archivi RAR che vengono successivamente inviati al server C2.