Il software Atera è utilizzato per il controllo remoto dei sistemi e per il loro monitoraggio da una singola console. Di recente il team di AdvIntel ha identificato l’utilizzo dell’agente Atera come backdoor dei sistemi durante compromissioni da Ransomware Conti e del gruppo criminale Wizard Spider, questo ha permesso ai criminali di eludere i controlli di sicurezza più stringenti.
Wizard Spider e il Ransomware Conti
WIZARD SPIDER è un gruppo criminale focalizzato sullo sviluppo e distribuzione di un sofisticato arsenale di strumenti che permettono di eseguire operazioni di vario genere. Il gruppo è stato identificato nel settembre 2016 con il loro Banking Trojan conosciuto con il nome di TrickBot. Le loro operazioni sono mutate in maniera significativa quando nell’agosto 2018 hanno cominciato ad effettuare attacchi Ransomware usando i malware Ryuk e Conti.
Conti è un ransomware multi-thread and altamente efficiente utilizzato in operazioni contro aziende di grandi dimensioni. Il nome del ransomware deriva dall’estensione aggiunta ai file cifrati (.CONTI) e dal nome del file contenente la nota di riscatto (CONTI_README.txt). Il ransomware cifra i file utilizzando una combinazione degli algoritmi di cifratura AES-256 E RSA-4096 usando le API di Windows CryptoAPI.
Atera come Backdoor
A seguito del deploy di un beacon CobaltStrike sono state osservate due modalità di azione:
La prima consiste nrll’esecuzione di un comando per il download e l’esecuzione dell’installer MSI dell’agente Atera tramite le API ufficiali. Per il download e l’installazione della versione di prova del software viene fornito un indirizzo email registrato dall’attaccante. Sono stati identificati indirizzi Protonmail e Outlook.
La seconda modalità invece, prevede il caricamento dell’installer dell’agente esportato dalla console di gestione di Atera tramite il comando upload di CobaltStrike e la successiva installazione.
Attraverso l’agente di Atera è possibile lanciare comandi usando la console dedicata. Inoltre, Atera supporta l’integrazione di diversi software di controllo remoto, come TeamViewer, AnyDesk, Slashtop e ScreenConnect.
L’utilizzo di un software legittimo per il controllo remoto fa si che le azioni degli attaccanti non vengano segnalate dai sistemi di protezione presenti nelle macchine. Diventa quindi più complessa l’identificazione di una presenza malevola in un sistema.
L’unica soluzione applicabile è quella di utilizzare delle blacklist per bloccare l’utilizzo di software di controllo remoto non contemplati nelle policy aziendali e di monitorare i software già presenti nelle infrastrutture al fine di identificare attività anomale.