MESSAGEMANIFOLD Malware

Il malware MESSAGEMANIFOLD è un ceppo di malware scoperto di recente e osservato come parte dell'arsenale di un gruppo di hacker non ancora identificato. L'ultima campagna che ha implementato la minaccia malware è stata sfruttata contro la comunità tibetana, ma all'inizio di quest'anno, nel maggio 2020, MESSAGEMANIFOLD è stato osservato prendere di mira i legislatori taiwanesi.

La catena di attacco della minaccia inizia con la diffusione di e-mail di spear phishing altamente mirate. Per ottenere il massimo impegno dagli obiettivi selezionati, le e-mail sono state create per apparire come inviti ad attività importanti per la comunità tibetana, come le conferenze. Il corpo delle e-mail conteneva uno o due link di Google Drive che avviavano il download di eseguibili danneggiati con il nome "dalailama-Invitations.exe". I file hanno agito come contagocce di prima fase: al momento dell'esecuzione, viene visualizzato un falso messaggio di errore di Windows per distogliere l'attenzione dal fatto che un secondo eseguibile viene rilasciato nella cartella "C: \ users | Public". La connessione con l'infrastruttura Command-and-Control (C2, C&C) viene stabilita tramite richieste HTTP POST. I ricercatori di Infosec hanno stabilito che potrebbe essere necessaria una risposta specifica dal server C2 prima che il malware possa passare alla fase successiva dell'infezione.

Le due campagne osservate per coinvolgere il malware MESSAGEMANIFOLD mostrano molte sovrapposizioni tra loro, suggerendo che lo stesso gruppo di hacker è responsabile di entrambi. Ad esempio, tutti i domini coinvolti nelle campagne erano ospitati su AS 42331 (PE Freehost) e AS 42159 (Zemlyaniy Dmitro Leonidovich), disponibili per l'acquisto tramite Deltahost, un provider di hosting ucraino. Prendendo l'indirizzo e-mail 'diir.tibet.net@mail.ru' che è stato utilizzato per registrare i due domini C2, i ricercatori di Insikt Group hanno portato alla scoperta di tre ulteriori domini a tema Tibet: in-tibet.net, mail-tibet .net e dalailama.online. Tutti i domini scoperti sono stati registrati tramite lo stesso rivenditore di domini - Domenburg.

Gli aspetti peculiari delle due campagne di attacco supportano la congettura che il gruppo di hacker dietro di loro possa essere sponsorizzato dallo stato. In effetti, la natura altamente mirata delle vittime, il basso volume di operazioni attribuite al gruppo e l'apparente mancanza di motivazione finanziaria supportano questa teoria. Inoltre, il significato strategico degli obiettivi e il fatto che sia Taiwan che la regione tibetana sono stati a lungo punti di interessi cinesi concentrati potrebbero anche essere un indizio importante per determinare la fedeltà degli hacker.