Kaspersky sta seguendo i movimenti di Milum, un Trojan dannoso utilizzato da WildPressure, un gruppo APT (Advanced Persistent Threat) attivo in Medio Oriente dall’agosto del 2019
Quando si parla di indagini sulle minacce informatiche accade spesso che molte scoperte nascano da un piccolo dettaglio e questa operazione non fa eccezione. Spesso, quando un Trojan infetta un dispositivo, il malware invia un beacon ai server degli attaccanti contenente informazioni sul dispositivo, impostazioni di rete, nome utente e altri dati rilevanti. Questo aiuta gli attaccanti a determinare quanto il dispositivo infetto possa essere interessante per loro. Tuttavia, nel caso di Milum, il malware ha anche inviato informazioni sul linguaggio di programmazione con cui è stato scritto. Nel 2020, durante la prima indagine svolta su questo malware, i ricercatori di Kaspersky sospettavano che ciò indicasse l’esistenza di diverse versioni di questo Trojan in diverse lingue. Ora questa teoria è stata confermata.
Nella primavera del 2021, Kaspersky ha identificato un nuovo attacco di WildPressure, che è stato effettuato con una serie di versioni più recenti del malware Milum. I file scoperti contenevano il Trojan Milum scritto in C++ e una corrispondente variante in Visual Basic Script (VBScript). Ulteriori indagini su questo attacco hanno portato alla luce un’altra versione del malware scritta in Python e sviluppata per i sistemi operativi Windows e macOS. Tutte e tre le versioni del Trojan sono state in grado di scaricare ed eseguire comandi dall’operatore, raccogliere informazioni e aggiornarsi a una versione più recente.
È raro osservare un malware multipiattaforma in grado di infettare dispositivi con sistema macOS. Questo particolare esemplare comprende un pacchetto che include il malware, la libreria Python e uno script chiamato “Guard”. Tutto ciò consente al malware di avviarsi sia su Windows che su macOS senza problemi. Una volta infettato il dispositivo, il malware esegue il codice in base al sistema operativo per la persistenza e la raccolta dei dati. Su Windows, lo script è raggruppato in un file eseguibile con PyInstaller. Il Trojan Python è anche in grado di verificare se il dispositivo è dotato di soluzioni di sicurezza.
“Gli operatori di WildPressure hanno continuato ad avere interesse per la stessa area geografica. Gli autori del malware hanno sviluppato più versioni di Trojan simili e dispongono di un sistema di versioning. Il motivo alla base della creazione di malware simili in diverse lingue è molto probabilmente quello di ridurre la probabilità di rilevamento. Questa strategia non è inusuale tra gli attori APT, ma raramente vediamo un malware progettato per essere eseguito su due sistemi diversi contemporaneamente, anche sotto forma di script Python. Un’altra caratteristica interessante è che uno dei sistemi operativi presi di mira è macOS, un obiettivo inaspettato se consideriamo l’interesse geografico del soggetto”, ha commentato Denis Legezo, senior security researcher del team GReAT.
Per evitare di diventare vittima di attacchi mirati, gli esperti di Kaspersky consigliano di:
• È sbagliato pensare che un sistema operativo meno comune sia esente da minacce; perché non è così. L’utilizzo di una soluzione di sicurezza affidabile è un must, indipendentemente dal sistema operativo e dai dispositivi utilizzati.
• Assicurarsi di aggiornare regolarmente tutti i software aziendali, in particolare ogni volta che viene rilasciata una nuova patch di sicurezza. I prodotti di sicurezza con funzionalità di valutazione delle vulnerabilità e gestione delle patch possono aiutare ad automatizzare questi processi.
• Scegliere una soluzione di sicurezza affidabile, come Kaspersky Endpoint Security, dotata di funzionalità di rilevamento basate sul comportamento delle minacce per una protezione efficace contro minacce note e sconosciute, inclusi gli exploit.
• Oltre ad attivare la protezione essenziale degli endpoint, implementare una soluzione di sicurezza di livello aziendale che rilevi le minacce avanzate a livello di rete nella loro fase iniziale, come Kaspersky Anti Targeted Attack Platform.
• Assicurarsi che tutti i dipendenti abbiano una formazione di base sulla sicurezza informatica, poiché molti attacchi mirati iniziano con phishing o altre tecniche di ingegneria sociale.
• Assicurarsi che il team addetto alla sicurezza sia informato sulle più recenti minacce informatiche. Per gli utenti di Kaspersky APT Intelligence Reporting sono disponibili report esclusivi sugli ultimi sviluppi nel panorama delle minacce informatiche.
• Migliorare le competenze del team SOC (Security Operations Center) per affrontare le più recenti minacce mirate con la formazione online di Kaspersky reverse engineering online training sviluppata da esperti del team GReAT.
