Lockdown non significa vacanza: i gruppi APT continuano ad aggiornare e diversificare il loro arsenale

redazione

Il report relativo ai trend APT dell’ultimo trimestre è basato su una ricerca di Kaspersky sulla threat intelligence, nonché su altre fonti che prendono in esame i principali sviluppi del settore.

Nel secondo trimestre del 2020, i ricercatori Kaspersky hanno osservato molteplici sviluppi nelle tattiche, tecniche e procedure (TTP) dei gruppi APT di tutto il mondo. I cambiamenti più significativi sono stati quelli rilevati per i seguenti gruppi:

  • Il gruppo APT Lazarus, che già da diversi anni è stato uno dei più importanti threat actor, ora sta investendo ancora di più in attacchi a scopo di lucro. Oltre ad attività di cyberspionaggio e cyber-sabotaggio, questo gruppo criminale ha preso di mira anche banche e altre società finanziarie in tutto il mondo. Inoltre, durante il secondo trimestre dell’anno, i ricercatori di Kaspersky hanno scoperto che Lazarus ha avviato un’attività atipica per i gruppi APT ovvero quella legata alla gestione di un ransomware. I ricercatori hanno, inoltre, scoperto che per distribuire il malware viene utilizzato un framework multipiattaforma chiamato MATA. In precedenza, Lazarus era stato associato al noto attacco WannaCry.
  • CactusPete, un threat actor di lingua cinese, che ora utilizza ShadowPad, una piattaforma di attacco complessa e modulare che dispone di plugin e moduli per diverse funzionalità. ShadowPad è stato precedentemente utilizzato in una serie di importanti cyber attacchi, con un diverso sottoinsieme di plugin utilizzati in diversi casi.
  • L’APT MuddyWater è stata scoperta nel 2017 e da allora è attiva in Medio Oriente. Nel 2019, i ricercatori di Kaspersky hanno riferito di attività contro società di telecomunicazioni e organizzazioni governative in Medio Oriente. Kaspersky ha recentemente scoperto che MuddyWater sta utilizzando una nuova toolchain C++ per una nuova ondata di attacchi nei quali questo threat actor ha sfruttato una utility open-source chiamata Secure Socket Funneling per il movimento laterale.
  • L’APT HoneyMyte ha perpetrato un attacco al sito web di un governo del sud-est asiatico. Il watering hole, disposto a marzo, sembrava sfruttare tecniche di whitelisting e di social engineering per infettare le sue vittime. Il payload finale consisteva in un semplice archivio ZIP contenente un file “readme” che invitava la vittima ad eseguire un impianto Cobalt Strike. Il meccanismo utilizzato per eseguire Cobalt Strike consisteva nel side-loading dei DLL, che decriptava ed eseguiva uno stager shellcode Cobalt Strike
  • Dalla seconda metà del 2019, OceanLotus, il threat actor autore di PhantomLance, una campagna avanzata rivolta ai dispositivi mobile, utilizza nuove varianti del suo loader multistadio. Le nuove varianti utilizzano le informazioni specifiche (nome utente, hostname, ecc.) dell’host target ottenute in precedenza per garantire che il loro impianto finale raggiunga la vittima selezionata. Il gruppo, come Cobalt Strike Beacon, continua ad implementare i propri impianti backdoor configurandoli con un’infrastruttura aggiornata.

 

“Negli ultimi mesi l’attività dei criminali informatici non è stata affatto sospesa. I threat actor continuano ad investire nel miglioramento dei loro toolset, nella diversificazione dei vettori di attacco e persino nel passaggio a nuovi obiettivi. Ad esempio, l’utilizzo di impianti mobili non è più una novità. Un altro trend che abbiamo osservato è stato il passaggio, di alcuni gruppi APT come BlueNoroff e Lazarus, verso attività che consentono un guadagno economico. Nonostante ciò, la geopolitica rappresenta ancora una delle principali motivazioni per molti threat actor”, commenta Vicente Diaz, security researcher, Global Research and Analysis Team di Kaspersky. “Tutti questi sviluppi non fanno altro che evidenziare l’importanza di investire in threat intelligence. I criminali informatici non si fermano e continuano a sviluppare nuovi TTP. Lo stesso dovrebbe valere per organizzazioni e i privati che intendono proteggersi.”

Il report sui trend APT del Q2 2020 riassume i risultati dei report sulla threat intelligence di Kaspersky dedicati ai soli abbonati e includono i dati degli Indicatori di Compromissione (IoC) e le regole YARA per aiutare le indagini e la caccia ai malware. Per avere ulteriori informazioni è possibile contattare: intelreports@kaspersky.com

Per evitare di cadere nella trappola di un attacco mirato i ricercatori di Kaspersky raccomandano di attuare le seguenti misure:

  • Fornire al team SOC l’accesso alla threat intelligence più recente (TI). Kaspersky Threat Intelligence Portal rappresenta un unico punto di accesso alla TI dell’azienda e fornisce dati sugli attacchi informatici e sulle informazioni raccolte da Kaspersky in oltre 20 anni. L’accesso gratuito alle feature della soluzione che consentono di controllare file, URL e indirizzi IP è disponibile a questo link.
  • Per il rilevamento a livello degli endpoint, l’indagine e il ripristino tempestivo degli incidenti, implementare soluzioni EDR come Kaspersky Endpoint Detection and Response.
  • Oltre ad adottare una protezione di base per gli endpoint è importante implementare una soluzione di sicurezza di livello aziendale in grado di rilevare tempestivamente le minacce avanzate a livello di rete, come Kaspersky Anti Targeted Attack Platform.
  • Poiché molti attacchi mirati sfruttano il phishing o altre tecniche di social engineering, è importante introdurre un training sulla sicurezza in grado di fornire competenze pratiche come Kaspersky Automated Security Awareness Platform.