Individuato e Arrestato l’Avversario Oorn
22 Novembre 2019Un’operazione del CNAIPIC, della Polizia di Stato, chiamata PEOPLE 1, si è appena conclusa con l’arresto di un sessantaseienne residente a Imperia accusato di aver rubato migliaia di credenziali di accesso e di informazioni private contenute in archivi informatici della Pubblica Amministrazione. Si tratterebbe dell’avversario identificato come Oorn.
Inoltre, insieme a sei complici – tutti impiegati in agenzie investigative e di recupero crediti ora denunciati a piede libero –, avrebbe organizzato una banca dati illegale consultabile a pagamento.
Gli attacchi hanno preso avvio da mail di spear phishing apparentemente provenienti da istituzioni pubbliche inviate a dipendenti di amministrazioni centrali e periferiche, in particolare a quelli dei piccoli Comuni e dei patronati, che venivano indotti a cliccare su un allegato malevolo tramite tecniche di ingegneria sociale. In questo modo, veniva scaricato sui computer target un malware che consentiva di assumere il controllo dei computer. A questo punto il gruppo criminale, potendo contare su una vasta rete di computer infetti, li aggiungeva ad una botnet, controllata tramite un server remoto C2, sfruttata per lanciare attacchi informatici in massa, compromettere i database delle amministrazioni pubbliche ed esfiltrare i dati personali dei cittadini.
Grazie a questa tecnica, gli attaccanti sono riusciti ad introdursi in database istituzionali appartenenti ad Agenzia delle Entrate, Inps, Aci ed Infocamere, veri obiettivi finali dei criminali. I dati venivano poi inviati ad una serie di server localizzati principalmente in Canada, Russia, Ucraina ed Estonia.
In seguito, i cyber-criminali hanno implementato un vero e proprio sistema di servizi, che cominciava con il portale illecito PEOPLE1, su cui veniva pubblicizzato e commercializzato clandestinamente un software installabile tramite un dispositivo USB. Tale programma consentiva l’accesso alle banche dati istituzionali anche grazie ad interrogazioni dirette. Sembra tra l’altro che l’attività si sia rivelata altamente redditizia per i cyber-criminali: una singola interrogazione delle banche dati veniva venduta a partire da 1 euro “a dato” e al momento sono già state accertate migliaia di interrogazioni illecite.
Tra le informazioni rubate compaiono posizioni anagrafiche, contributive, di previdenza sociale e dati amministrativi appartenenti a centinaia di cittadini e imprese del nostro Paese.
TS-WAY, attraverso il proprio Cyber Intelligence Operation Center (CIOC), ha segnalato al CNAIPIC una prima campagna malevola nel 2017, facendo attivare le indagini di polizia che hanno oggi portato all’arresto dell’organizzazione criminale.
Il CIOC di TS-WAY ha continuato a monitorare l’avversario “Oorn” con i propri sistemi e le proprie soluzioni, comunicando di volta in volta alle Autorità le attività malevole rilevate.
TS-Intelligence Insight Special Report declassificati (TLP WHITE)
30/10/2019 Oorn: sviluppato nuovo keylogger CyclicLogger scritto in Powershell [PDF]
08/10/2019 Oorn: nuovo toolkit di Keylogging sviluppato in outsourcing [PDF]
11/07/2019 Oorn: campagne a tema INPS e Ispettorato del Lavoro per il furto di credenziali con l’introduzione di CyclicOrder [PDF]
Ulteriori dettagli sull’avversario
https://twitter.com/TS_WAY_SRL/status/1197834016336097281
Indicatori di Compromissione
DOMINI
pasker.no-ip[.]org
inpsing.eu[.]pn
puntofisco.freezoy[.]com
parkenetwork.freezoy[.]com
inps-nuovoportaleinps[.]com
mail.inps-nuovoportaleinps[.]com
onefruitgroup.inps-ced[.]com
word.onefruitgroup.inps-ced[.]com
www.inps-ced[.]com
www.ced-ania[.]com
ced-ania[.]com
info-servizi[.]com
inps-ced[.]com
ignoti.ddns[.]net
ignoti[.]org
www.netinps-nuovoportaleinps[.]com
netinps-nuovoportaleinps[.]com
mail.netinps-nuovoportaleinps[.]com
www.ignoti[.]org
mail.ispettorato-del-lavoro[.]com
ispettorato-del-lavoro[.]com
wp.ispettorato-del-lavoro[.]com
mail.ignoti[.]org
webmail.info-servizi[.]com
pop.inps-ced[.]com
mail.info-servizi[.]com
IPv4
199.103.56[.]164
199.103.56[.]165
199.103.56[.]166
199.103.63[.]221
176.120.62[.]42
138.201.207[.]87
URL
http://www.scuolaelementarediorziveccho.191[.]it/Public/Articolo.txt
http://www.scuolaelementarediorziveccho.191[.]it/Public/ORD-ALL/ORDINPS.txt
http://www.scuolaelementarediorziveccho.191[.]it/Public/ORD-ALL/ORD2016.txt
http://www.scuolaelementarediorziveccho.191[.]it/Public/ORD-ALL/ORD2017.txt
http://www.scuolaelementarediorziveccho.191[.]it/Public/ORD-ALL/ORD-2017.txt
http://www.scuolaelementarediorziveccho.191[.]it/Public/ORD-ALL/ORD-2018.txt
http://www.scuolaelementarediorziveccho.191[.]it/Public/ORD-ALL/ORD-2019.txt
http://www.scuolaelementarediorziveccho.191[.]it/Public/ORD-ALL/ORD-2020.txt
http://www.scuolaelementarediorziveccho.191[.]it/Public/ORD-ALL/ORD-LAV.txt
http://199.103.56[.]165/ORD-2020.txt
http://199.103.63[.]221/progsKK/Articolo.txt
http://199.103.63[.]221/ORD-ALL/ORDINPS.txt
http://inpsing.eu[.]pn/ORD-ALL/ORD-2018.txt
http://inpsing.eu[.]pn/ORD-ALL/ORD-2019.txt
http://puntofisco.freezoy[.]com/ORD-ALL/ORD2017.txt
https://info-servizi[.]com/CISCO%20Update%20Management.exe
http://138.201.207[.]87/ORDINI/Host.txt
http://138.201.207[.]87/ORDINI/ORDINE.txt
http://199.103.56[.]165/ORDINI/ORDINE.txt
ARTEFATTI
Archivio autoestraente
3F3B37770FB939A6CAD74E455192BD5843983F7131962CDEFBBD7D0F956DE925
f88e97c29499529a01ee211f6744a2d5ea50c513d02b1185069580d886ee315a
JosephDownloader
498edf7e9c4a5334b1da18c5c9a8a722479472f06f6d2ec43d06097afc18902c
NTR Cloud related
2b6e47727086439d904a9c44bf1e09d6b424e7235b9e7c9ec388903295a4e7c4
e0f63e95003d9658ec213d13c01085208a3884cd410c54f547a80f6b68ca940f
a3cbdc308d626de4e9de4ab2fe9c658cf5b8f2fa90ed724a7bcade5450154f6f
8df9a67ef5b2e287b79610b97042d350ec49308c5b10ad58a7a65fe77a839a37
Remove NTR Uninstaller
221dbce9d8d76b4b9652dabfd97af7f8f08c81658d1fa28cef4b911d57ffc5c8
Remote Administration Client:
ba2afd7f93c99b7a7a59a9f6bedd7483390be63d79e61a90485839a08f33bd41
12bc2271f1028192e643c23aea3eb3d802dd24d03ece51f62db4dd0c81e7aff2
dd24e53f878c083f08795e1482ee67c971b80b27264ea6d30adafeaaa9ae27df
dee3f48ab20e6b91b121e8c494394bba24c31a0edfe6b36360b604d25ed7a7a4
RemoteUtilitiesHider
9af05270999fb97c3e0b25cc76e644be34b80442297b44103bae829f70d1820a
AdvancedLoggin
7d6bc74a2b9182b212a7bff0ffef939f19edc998e45030946190d88f833571d2
b8199adb4e5d15a28f30ea2f55077f1d5c4155188067c64cf4f80f6aa88c3b5b
Key Monitoring Plus related
f7b45d23935f6be89ef789569d17440928ec930c6485170568b8844489ef1087
479a6d93ab6f39975bd49e59fe94012e0ea5434f4c139a33fcc25650b9c3d541
e4e5ae8281ed63b2bbf362e65d21846da422909334146bc96dfecf5bc2a1ccbf
CyclicOrder
482daa38a4d23fbfabb856edda0026923648f7995dc7ad87a82958cea56756a8
26884d7ec333cd77c30c4f4df0f3f7b3db9e54ac5d8ef2a42130d2b7c58e86ae
CyclicLogger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6e9e2e275aec9626fa97ebe4a6b49cc724dd134ff1d949cbea019b1525fcaba9
2f2bee19f167da6b5f2c136c839bb4761ee3385e6a325c1ff9a9170d830d120c
be64a9c52eb24e112a9b4d0f74c077d964ca4d9818b9d0e0426cf2021c113272
0f6dfaf3116b17f920082fcfd63b58b3856eb13f17914b272cfebe13d028f163
3eb6931a6b2d48bdd0fa1f594aaacdd1513e8f41e2daf5c70eee9e5fad5fd364
584cd0490ff2f601be43426820ced5d2ae20f13c98e561679d2514abb1342be7
Josar
7b4e2adc9f82701b50eeb0d9bc8355232b7a12cadf3fcfe3c0ff943df117a1a8
6753a688c7cba04f1a51292d1bc56f0b103b259e41f549a349001d23cdd9aa5d
0523513ba974ff4795cc6f9b7e1329740527531ad033bd1afadfeb6315c08c34
Core Impact
7ecd81e44a08d094ca4c4413c8a5e7334930696e6033db929bceb987616ac822
Reverse Proxy Module
806150AE2AB719A0F4970A663D2147B0887C50C49B8617DF73FD126FD2B75843
Reverse Proxy Client
84637762ad3477774f8d5c5bc4fcff4fd2d4d14f5213c8c76f7d1ac2b96b3ce7
BProxyClientV2
528a0a65dd773da0031d98ead1c5bf9a1e3ec904e52f002d3b1693eb842266b2
[post_tags]