NuggetPhantom Malware
NuggetPhantom è il nome dato a un toolkit malware modulare. I ricercatori di Infosec associano questa operazione appena rilevata all'attività di un singolo attore di minacce che finora è stato responsabile dell'esecuzione di diverse campagne di attacco. La prima operazione del gruppo è avvenuta alla fine del 2016, quando i clienti del campus di Tianyi sono stati presi di mira da malware, causando un errore di schermata blu della morte (BSOD) sui computer interessati. In una campagna successiva che ha preso nuovamente di mira i clienti del Tianyi Campus, gli hacker hanno installato payload di cryptomining sui sistemi compromessi. L'attività appena scoperta prevede anche la consegna di malware di cryptomining.
La catena di attacchi inizia con gli hacker che cercano e selezionano i sistemi di computer ancora vulnerabili all'exploit EternalBlue. Quindi creano payload personalizzati per i sistemi vulnerabili specifici. Le potenziali vittime vengono prese di mira una a una con un payload del downloader che sfrutta la vulnerabilità EternalBlue. Il downloader stesso presenta diverse caratteristiche sofisticate che lo aiutano a combattere le potenziali tecniche anti-malware. Inoltre, è dotato di diverse tecniche stealth che consentono alla minaccia di eludere il rilevamento del comportamento e l'analisi del traffico. La struttura altamente modulare offre agli hacker la possibilità di invocare ed eseguire solo i processi corrotti specifici richiesti per l'operazione corrente, riducendo l'impronta complessiva del toolkit. Quando è stato completamente distribuito, il malware NuggetPhantom è stato rilevato per essere utilizzato per il cryptomining tramite le risorse del computer della vittima e per condurre attacchi DDoS (Distributed Denial-of-Service).
L'attore della minaccia ha modificato nel tempo le proprie tattiche, tecniche e procedure (TTP). Secondo le ultime osservazioni degli esperti di infosec, gli hacker ora attribuiscono più valore a rimanere inosservati e mantenere la persistenza sui computer mirati per un periodo più lungo ottenendo i massimi guadagni monetari potenziali ma vedendo le loro attività scoperte piuttosto rapidamente e interrotte.
