Un gruppo di cyberspie iraniane ha infettato Exchange Server con un nuovo impianto di malware denominato BellaCiao, che funge da dropper per ulteriori payload. Il malware utilizza le query DNS per ricevere comandi dagli aggressori codificati in indirizzi IP. Secondo i ricercatori di Bitdefender, gli aggressori sembrano personalizzare i loro attacchi per ogni particolare vittima, compreso il binario del malware, che contiene informazioni hardcoded come il nome dell’azienda, sottodomini personalizzati e indirizzi IP. Le informazioni di debug e i percorsi dei file di compilazione lasciati all’interno dell’eseguibile suggeriscono che gli aggressori stanno organizzando le loro vittime in cartelle per codice paese, come IL (Israele), TR (Turchia), AT (Austria), IN (India) o IT (Italia).

Il gruppo dietro al malware è noto nel settore della sicurezza come Charming Kitten, APT35 o Phosphorus e si ritiene che sia un team di hacker gestito dal Corpo delle Guardie Rivoluzionarie Islamiche (IRGC), un ramo dell’esercito iraniano. Microsoft ha recentemente riferito che dalla fine del 2021 Charming Kitten ha preso di mira le infrastrutture critiche degli Stati Uniti, tra cui porti marittimi, aziende energetiche, sistemi di transito e un’importante società di servizi e gas.

Il gruppo è anche noto per aggiornare e ampliare frequentemente il suo arsenale di malware con strumenti personalizzati. Sebbene il suo metodo di attacco preferito sia il phishing altamente mirato e sofisticato che include l’impersonificazione di persone reali, è anche veloce nell’adottare exploit n-day, ovvero exploit di vulnerabilità che sono state recentemente patchate. Tra gli esempi del passato ci sono gli exploit per Log4Shell e Zoho ManageEngine CVE-2022-47966.

Distribuzione e funzionamento del malware BellaCiao

Sebbene gli esperti di Bitdefender non siano sicuri del vettore di infezione utilizzato per distribuire BellaCiao, hanno trovato l’impianto su Exchange Server, quindi sospettano che gli aggressori stiano sfruttando uno degli exploit Exchange noti degli ultimi anni come ProxyLogon, ProxyShell, ProxyNotShell o OWASSRF. Una volta installato, l’impianto disabilita Microsoft Defender utilizzando un comando PowerShell e crea un nuovo servizio per la persistenza chiamato Microsoft Exchange Services Health o Exchange Agent Diagnostic Services. I nomi scelti sono un tentativo di confondersi con i processi e i servizi legittimi legati a Exchange.

Oltre a BellaCiao, gli aggressori hanno distribuito anche backdoor che funzionano come moduli per Internet Information Services (IIS), il server web alla base di Exchange. Una era una backdoor IIS open-source chiamata IIS-Raid e l’altra è un modulo IIS scritto in .NET e utilizzato per l’esfiltrazione delle credenziali. Alcuni campioni di BellaCiao sono progettati per distribuire una webshell, uno script web che funziona come una backdoor e consente agli aggressori di impartire comandi da remoto. La webshell non viene scaricata da un server esterno, ma è codificata nell’eseguibile stesso di BellaCiao sotto forma di stringhe base64 malformate.

Tuttavia, per decidere quando rilasciare la webshell, in quale directory e con quale nome, l’impianto BellaCiao interroga un server di comando e controllo tramite DNS utilizzando un canale di comunicazione personalizzato implementato dagli aggressori. Il malware effettua ogni 24 ore una richiesta DNS per un sottodominio hardcoded nel suo codice. Poiché gli aggressori controllano il DNS per il sottodominio, possono restituire qualsiasi indirizzo IP desiderino e, così facendo, trasmettono effettivamente dei comandi al malware perché BellaCiao ha delle routine speciali per interpretare questi indirizzi IP.

Un indirizzo IP ha quattro valori numerici (ottetti) separati da punti, ad esempio 111.111.111.111. Il malware ha un indirizzo IP codificato nel formato L1.L2.L3.L4 e lo confronta con l’indirizzo IP ricevuto dalla richiesta DNS, ad esempio R1.R2.R3.R4. Se gli ultimi ottetti di R4 e L4 corrispondono, la webshell viene distribuita. Se non corrispondono, la webshell non viene distribuita e se R4 è uguale a L4-1, tutte le tracce della webshell vengono rimosse. Gli altri ottetti R1, R2 e R3 sono utilizzati anche per determinare quali nomi di directory e di file scegliere da un elenco quando si distribuisce la webshell.

La webshell monitora le richieste web che includono una particolare stringa che rappresenta una password segreta nell’intestazione e fornisce agli aggressori tre funzionalità: download di file, upload di file ed esecuzione di comandi. Altri campioni di BellaCiao sono stati progettati per distribuire script PowerShell che agiscono come server web locale e uno strumento di connessione a riga di comando chiamato Plink, che viene utilizzato per impostare una connessione reverse proxy al server web. In questo modo gli aggressori possono eseguire comandi, script, caricare e scaricare file, caricare log web e altro ancora.

Il report di Bitdefender include un elenco di indicatori di compromissione come nomi di dominio, nomi e percorsi di file, hash di script PowerShell e indirizzi IP. Non include invece gli hash dei file per i campioni di BellaCiao, dal momento che questi ultimi contengono informazioni hardcoded sulle vittime.