Gli autori di malware stanno utilizzando linguaggi di programmazione nuovi e non comuni raramente individuati come Go, Rust, Nim e DLang per riscrivere famiglie di malware o creare nuovi strumenti per nuovi set e ostacolare l’analisi.
BlackBerry Research & Intelligence Team ha individuato ed esaminato quattro dei più popolari di questi linguaggi esotici e il loro utilizzo nello spazio del malware.
In particolare, i ricercatori hanno monitorato più loaders e droppers scritti in lingue più rare. “Questi nuovi malware di prima fase sono progettati per decodificare, caricare e distribuire malware di base come Remcos e NanoCore Remote Access Trojan (RAT), così come Cobalt Strike”, si legge nel rapporto. “Sono stati comunemente usati per aiutare gli attori delle minacce a eludere il rilevamento sull’endpoint”.
Casi in questione: la crescente fluidità di APT28 e APT29
In merito ai linguaggi più oscuri, gli sviluppatori di malware, storicamente, hanno scritto principalmente in Go, un linguaggio generico che è molto simile al C++. In effetti, il suo compilatore era originariamente scritto in C, sebbene ora sia scritto anche in Go.
Il malware in linguaggio C risulta essere ancora il più diffuso, tuttavia due attori di minacce con sede in Russia, APT28 (alias Fancy Bear o Strontium) e APT29 (alias Nobelium, Cozy Bear o the Duke), hanno iniziato a utilizzare i linguaggi più esotici nei set di malware più spesso rispetto ad altri gruppi.
Secondo i dati del rapporto, Go è ora “uno dei linguaggi di riferimento per gli attori delle minacce” che stanno inventando varianti sia a livello di minacce persistenti avanzate (APT) che a livello di prodotto.
APT28, noto per la sua presunta partecipazione nelle elezioni presidenziali del 2016 attraverso l’infiltrazione nel Comitato nazionale democratico, è collegato a un’ampia gamma di attacchi e famiglie di malware, ma la famiglia di malware Zebrocy utilizza più linguaggi di programmazione non comuni all’interno della sua catena di infezioni.
Zebrocy, alias Sednit, APT28, Fancy Bear e Strontium e utilizzato dal gruppo di minacce Sofacy, opera come downloader e raccoglie dati sugli host infetti. Si diffonde, indipendentemente dalla lingua in cui è scritto, tramite campagne di phishing che contengono un trojan iniziale che cerca di comunicare con un server di comando e controllo (C2) e che esegue un downloader per eliminare un payload dannoso tramite una backdoor stabilita.
Una selezione di riscritture Go utilizzate da APT28:
- 2018: un trojan basato su Go collegato ad APT28 è stato identificato come una variante di Zebrocy con una versione riscritta del downloader Delphi originale.
- 2019: i ricercatori hanno scoperto un downloader Nim insieme alla backdoor Go nella stessa campagna di Zebrocy rivolta alle ambasciate e ai ministeri degli affari esteri dell’Europa orientale e dell’Asia centrale.
- 2020 e anni precedenti: APT28 si è affezionato sempre più a Go, utilizzando altri componenti principali di Zebrocy riscritti: il payload backdoor e il downloader. Più di recente, APT28 ha utilizzato la pandemia di COVID-19 come esca per consegnare la variante Go downloader a dicembre.
APT29/Cozy Bear, noto per il suo ruolo negli attacchi alla catena di fornitura di SolarWinds, nel 2018 stava prendendo di mira macchine Windows e Linux con WellMess, un trojan di accesso remoto (RAT) scritto in Go e .NET.
I ricercatori hanno osservato che la variante più diffusa di WellMess è la versione Go, disponibile sia nelle varianti a 32 bit che a 64 bit come file PE ed ELF, “dando ad APT29 la possibilità di distribuirlo su più di un tipo di architettura e sistema operativo”.
APT29 in genere penetra nella rete di una vittima prima scansionando gli indirizzi IP esterni di un’organizzazione alla ricerca di vulnerabilità e quindi lanciando exploit pubblici contro i sistemi vulnerabili
Il crescente utilizzo delle varianti Go da parte del gruppo include l’uso di varianti WellMess più sofisticate nel 2020 tentativi di rubare la ricerca sui vaccini COVID-19 da istituti di ricerca accademici e farmaceutici in vari paesi del mondo.
La variante più recente di APT29, sebbene scritta in Go, è stata resa più complicata (ha aggiunto, per esempio, più protocolli di comunicazione di rete e la capacità di eseguire script PowerShell dopo l’infezione).
“Ci vorrà un po’ prima che gli strumenti di analisi dei campioni di malware recuperino questi nuovi linguaggi, ma è imperativo che la comunità della sicurezza rimanga proattiva nella difesa contro l’uso dannoso di tecnologie e tecniche emergenti, ha avvertito Blackberry.
“È fondamentale che l’industria e i clienti comprendano e tengano sotto controllo queste tendenze, poiché sono destinate ad aumentare”, ha consigliato Milam di Blackberry.
https://threatpost.com/malware-makers-using-exotic-programming-languages/168117/
