Il gruppo hacktivista Head Mare sfrutta una vulnerabilità di WinRAR
Il gruppo di hacktivisti Head Mare ha recentemente sfruttato una vulnerabilità di WinRAR per infiltrarsi e criptare sistemi operativi sia Windows che Linux. Attivo dall'inizio del conflitto russo-ucraino, questo gruppo ha principalmente preso di mira organizzazioni situate in Russia e Bielorussia.
Dettagli sulla vulnerabilità
Secondo un rapporto di Secure List, la vulnerabilità sfruttata da Head Mare è identificata come CVE-2023-38831, presente nel popolare strumento di archiviazione file WinRAR. Questa falla consente agli attaccanti di eseguire codice arbitrario sui sistemi delle vittime attraverso archivi appositamente creati. Sfruttando questa vulnerabilità, Head Mare riesce a consegnare e nascondere i propri payload dannosi in modo più efficace.
Modalità di attacco
Quando un utente tenta di aprire un documento apparentemente legittimo all'interno di un archivio compromesso, il codice malevolo viene eseguito, fornendo agli attaccanti l'accesso al sistema. Questa tecnica di attacco è particolarmente pericolosa poiché richiede l'interazione dell'utente, rendendo più difficile la rilevazione tramite misure di sicurezza tradizionali.
Strumenti utilizzati
A differenza di molti altri gruppi hacktivisti, Head Mare utilizza una combinazione di software disponibili pubblicamente e malware personalizzato:
- LockBit e Babuk Ransomware: utilizzati per criptare file e richiedere riscatti.
- PhantomDL e PhantomCore: malware personalizzato per accesso iniziale e sfruttamento.
- Sliver: un framework open-source per il comando e controllo (C2) dei sistemi compromessi.
Tecniche di infiltrazione
Head Mare ottiene l'accesso iniziale attraverso campagne di phishing, distribuendo archivi malevoli che sfruttano la vulnerabilità di WinRAR. Una volta all'interno, utilizzano vari metodi per mantenere la persistenza, come l'aggiunta di voci nel registro di Windows e la creazione di attività pianificate.
Le loro vittime includono settori come istituzioni governative, trasporti, energia, manifatturiero e intrattenimento. L'obiettivo principale sembra essere quello di interrompere i sistemi e richiedere riscatti, piuttosto che un guadagno puramente finanziario.
Presenza pubblica e richieste di riscatto
Il gruppo mantiene una presenza sui social media, dove occasionalmente pubblica informazioni sui propri bersagli. A differenza di alcuni gruppi hacktivisti, Head Mare richiede anche riscatti per la decrittazione dei dati, aggiungendo una dimensione finanziaria ai suoi attacchi motivati politicamente.
Infrastruttura e tecniche di evasione
L'infrastruttura sofisticata di Head Mare utilizza server VPS/VDS come hub C2. Utilizzano strumenti come ngrok e rsockstun per navigare nelle reti private, sfruttando macchine compromesse come intermediari. I loro server C2 ospitano vari strumenti utilizzati in diverse fasi degli attacchi, tra cui shell PHP per l'esecuzione di comandi e script PowerShell per l'escalation dei privilegi.
Per eludere la rilevazione, Head Mare maschera il proprio malware come software legittimo, rinominando i campioni di ransomware per imitare applicazioni comuni come OneDrive e VLC, e collocandoli in directory di sistema tipiche. Inoltre, i campioni di malware sono spesso offuscati con strumenti come Garble, rendendoli più difficili da rilevare e analizzare. Le attività di Head Mare evidenziano la natura in continua evoluzione delle minacce informatiche nel contesto dei conflitti geopolitici. Sfruttando vulnerabilità come CVE-2023-38831, dimostrano una comprensione sofisticata degli aspetti tecnici e psicologici della guerra informatica. Le organizzazioni in Russia e Bielorussia dovrebbero dare priorità alla correzione di vulnerabilità come CVE-2023-38831 e migliorare le loro capacità di rilevamento del phishing. Audit di sicurezza regolari e formazione dei dipendenti sul riconoscimento dei tentativi di phishing possono contribuire a ridurre il rischio di tali attacchi.