Malware HIsoka

Hisoka Malware è una minaccia backdoor implementata in due campagne di attacco separate che prendono di mira le compagnie di trasporto e di spedizione del Kuwait. Gli autori delle minacce hanno utilizzato Hisoka insieme a diverse altre minacce malware personalizzate. Gli hacker hanno chiamato i loro strumenti dopo i personaggi della popolare serie di manga e anime "Hunter x Hunter": Sakaboto, Hisoka, Gon, Killua e Netero.

La prima volta che è stato rilevato il malware Hisoka è stato quando il malware è stato rilasciato su un computer appartenente a un'organizzazione che lavora nel settore dei trasporti e delle spedizioni del Kuwait. Il binario danneggiato si chiamava "inetinfo.sys" e conteneva una variante della versione 0.8 di Hisoka. Attraverso Hisoka, gli autori delle minacce hanno implementato rapidamente due strumenti malware aggiuntivi: Gon e EYE. Gon è una potente backdoor che consente agli hacker di caricare e scaricare dati, eseguire comandi, aprire connessioni RDP (Remote Desktop Protocol), acquisire schermate, cercare porte aperte, ecc. D'altra parte, EYE è uno strumento di pulizia per qualsiasi connessione RDP effettuata dai criminali, in quanto può uccidere i processi associati e raschiare eventuali artefatti identificativi aggiuntivi. La versione 0.8 di Hisoka Malware comunicava con la sua infrastruttura Command-and-Control (C2, C&C) tramite tunneling HTTP e DNS.

Hisoka assume un approccio modulare

In una campagna contro un'altra organizzazione kuwaitiana dello stesso settore industriale, i ricercatori di infosec hanno rilevato l'utilizzo di una nuova versione di Hisoka. La versione 0.9 è stata rilasciata come file denominato "netiso.sys." Rispetto alle precedenti iterazioni del malware, questa nuova versione ha mostrato un cambiamento nella mentalità dei criminali. Invece di raggruppare tutte le funzionalità dannose in una singola minaccia, ora stavano cercando di adottare un approccio più modulare rimuovendo alcune funzionalità da Hisoka e impacchettandole in una minaccia malware autonoma chiamata Netero. Il nuovo strumento è incorporato in Hisoka come una risorsa denominata "msdtd" e può essere avviato in caso di necessità. Delegando alcuni aspetti a strumenti diversi, gli hacker potrebbero tentare di ridurre al minimo il loro impatto sulla macchina compromessa e rendere più difficile il rilevamento del loro strumento.

La versione 0.9 presentava anche una gamma ampliata di canali di comunicazione con i server C2 con l'inclusione di una funzionalità basata sulla posta elettronica. Affinché questo metodo funzioni, Hisoka sfrutta i servizi Web Exchange (EWS) e le credenziali sottratte per creare messaggi di posta elettronica salvati nella cartella "Bozze". Per i comandi in entrata, la minaccia malware esegue la scansione delle e-mail con oggetto "Progetto". Allo stesso tempo, la comunicazione in uscita viene effettuata tramite e-mail con oggetto "Presente". Il corpo del messaggio di posta elettronica in uscita contiene un messaggio crittografato e un file può essere allegato se è stato ricevuto il comando "upload_file" appropriato.