Kaspersky svela le tendenze APT più rilevanti nel Q3 in Europa: nuovi attacchi ai drive USB protetti

Kaspersky svela le tendenze APT più rilevanti nel Q3 in Europa: nuovi attacchi ai drive USB protetti

Kaspersky ha scoperto che un drive USB protetto è stato compromesso tramite l’inserimento di un codice dannoso introdotto nel software di gestione degli accessi.

Quest’unità era stata sviluppata da un ente governativo del sud-est asiatico per archiviare e trasferire in modo sicuro file tra macchine in ambienti particolarmente critici. Il codice dannoso era progettato per rubare file riservati salvati nella partizione sicura dell’unità, oltre ad agire come un worm USB e diffondere l’infezione anche alle altre unità USB della stessa tipo. Sebbene la modalità di attacco sia simile a quella dello scorso anno contro le unità che impiegavano il software di gestione USB UTetris, attribuita da Kaspersky a TetrisPhantom, in questo caso si tratterebbe di un codice completamente nuovo. Nel report Kaspersky Q3 APT viene analizzato il Trojanized USB management software usato in questo attacco e altre caratteristiche degli strumenti utilizzati dai gruppi di cybercriminali.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

In Europa, tra i risultati più significativi descritti nel report Q3 APT di Kaspersky ci sono:

  • Awaken Likho: campagna APT, attiva almeno da luglio 2021, che prende di mira principalmente organizzazioni governative e contractor. Ad oggi Kaspersky ha individuato oltre 120 attacchi in Russia, ma anche in altri Paesi, tra cui India, Cina, Vietnam, Taiwan, Turchia, Slovacchia, Filippine, Australia, Svizzera e Repubblica Ceca. Sulla base delle rilevazioni, emergono due caratteristiche distintive: tutti gli attacchi sono ben preparati e i cybercriminali si affidano all’uso di UltraVNC, strumento legittimo di gestione remota. Sebbene questa tecnica sia relativamente semplice, viene utilizzata con successo da molti anni. A maggio 2024 Kaspersky ha individuato una nuova campagna Awaken Likho, in cui i cybercriminali hanno apportato lievi modifiche alle proprie TTP. In questa campagna, gli archivi basati su Golang SFXsono stati ripuliti, eliminando i file inutilizzati, passando all’esecuzione di script AutoIT dopo l’estrazione dei file. UltraVNC è sempre stato il payload finale, ma in questa campagna è stato fatto passare per un’utility di aggiornamento di OneDrive. Gli obiettivi sono rimasti invariati rispetto alla campagna precedente, concentrandosi principalmente su organizzazioni governative e contractor con sede in Russia. Successivamente, a giugno 2024, è stata rilevata una nuova evoluzione della campagna, ancora in corso: Awaken Likho aveva leggermente modificato le proprie TTP. Gli attori delle minacce hanno continuato a utilizzare script AutoIT e hanno iniziato ad impiegare sistemi di protezione come Themida per mettere al sicuro i campioni. Sebbene la maggior parte dei sample individuati distribuisca ancora il modulo UltraVNC, in diversi casi il payload finale è stato cambiato da UltraVNC a MeshAgent, ma a differenza delle campagne precedenti, non sono stati individuati i dropper Golang SFX. Grazie all’utilizzo di strumenti open source gratuiti, i cybercriminali sono in grado di adattare rapidamente le loro tecniche durante gli attacchi.
  • Epeius: strumento di spyware commerciale sviluppato da un’azienda italiana che fornisce soluzioni di intelligence a forze dell’ordine e governi. Negli ultimi anni, il malware ha attirato l’attenzione delle community a causa della pubblicazione di due articoli. Il primo, pubblicato nel 2021 da MotherboardCitizen Lab, ha condiviso le prime prove e gli indicatori relativi al software. Il secondo, pubblicato nel 2024 dal Google Threat Analysis Group, ha descritto il modello di business di varie aziende che offrono soluzioni di sorveglianza commerciale. Le ricerche su questa minaccia sono iniziate nel 2021 e, nel 2023, è stato individuato un file DEX attribuito molto probabilmente a Epeius.
Leggi anche:  Tutto ciò che serve sapere sulla sicurezza informatica lo apprendiamo già all'asilo

“Nel 2024, Kaspersky ha rilevato e bloccato 3 miliardi di minacce a livello globale. La compromissione di software su drive USB sicuri è un evento insolito, ma evidenzia il fatto che anche gli spazi digitali locali protetti possono essere vulnerabili ad attacchi sofisticati. I cybercriminali aggiornano costantemente i loro strumenti e ampliano la portata delle loro attività, allargando i loro obiettivi, sia in termini di target che aree geografiche. È in aumento anche l’uso di strumenti open-source da parte degli attori delle minacce APT”, ha commentato David Emm, Principal Security Researcher di Kaspersky.

Le Advanced Persistent Threat (APT) sono tecniche di hacking continue, clandestine e sofisticate, utilizzate per ottenere l’accesso a un sistema e rimanervi per un lungo periodo, con conseguenze potenzialmente dannose. Le APT sono generalmente dirette a realtà come Stati Nazione e grandi aziende. L’obiettivo principale è quello di sottrarre informazioni per un periodo prolungato, piuttosto che agire in modo rapido, come fanno molti hacker black-hat durante attacchi informatici di livello inferiore.

Per evitare di diventare vittime di un attacco mirato, i ricercatori di Kaspersky consigliano a utenti e organizzazioni di:

  • Fornire al team SOC le più recenti informazioni di Threat intelligence (TI). Kaspersky Threat Intelligence rappresenta un punto di accesso centralizzato alla TI aziendale, fornendo dati e approfondimenti sui cyberattacchi raccolti da Kaspersky in oltre 20 anni.
  • Aggiornare le competenze del team di cybersecurity per affrontare le minacce mirate più recenti, grazie a Kaspersky online training, sviluppata dagli esperti del GReAT.
  • Implementare una soluzione di sicurezza aziendale che rilevi precocemente le minacce avanzate a livello di rete, come Kaspersky Anti Targeted Attack Platform.
  • Utilizzare soluzioni centralizzate e automatizzate, come Kaspersky Next XDR Expert, per garantire una protezione completa di tutte le risorse aziendali.
  • Introdurre corsi di sensibilizzazione sulla sicurezza e fornire competenze pratiche al team, ad esempio tramite Kaspersky Automated Security Awareness Platform, poiché molti attacchi mirati iniziano con phishing o altre tecniche di social engineering.
  • Aggiornare regolarmente sistema operativo e software e farlo tempestivamente ogni volta che sono disponibili nuovi aggiornamenti.
Leggi anche:  Perché l’Italia è un bersaglio facile (e privilegiato) dei cyber attack?