Mentre gli autori di cyberminacce finanziate dai diversi stati-nazione, così come gli attacchi sofisticati, sono spesso al centro dell’attenzione, le aziende oggi si trovano a dover fronteggiare una serie di minacce ben più immediate e dirette. Tra queste, gli attacchi ransomware, le fughe di dati, lo spionaggio commerciale, tutti rischi che possono portare con sé anche possibili danni di una certa entità alle operazioni stesse e anche alla reputazione delle organizzazioni. Questi attacchi di solito vengono perpetrati da cybercriminali di medio livello che si occupano di malware e anche da gruppi di hacker che operano dietro il pagamento di un compenso, proprio come DeathStalker, che Kaspersky sta monitorando dal 2018.
DeathStalker è un gruppo cybercriminale unico nel suo genere, che si concentra principalmente sul cyberspionaggio prendendo di mira studi legali e organizzazioni che operano nel settore finanziario. L’autore della minaccia è noto per la sua grande capacità di adattamento e per l’utilizzo di un approccio iterativo e veloce nella progettazione dei software, caratteristiche che lo rendono in grado di mettere in atto campagne efficaci.
Recenti ricerche hanno permesso a Kaspersky di collegare l’attività di DeathStalker a tre famiglie di malware – Powersing, Evilnum e Janicab – un fatto che dimostra l’ampiezza dell’attività svolta dai gruppi almeno fin dal 2012. Mentre Powersing è stato rintracciato da Kaspersky nel 2018, le altre due famiglie sono state individuate da altri fornitori di soluzioni di sicurezza informatica. L’analisi di Kaspersky ha messo in evidenza le somiglianze di codici tra le tre famiglie di malware e nella scelta delle vittime; per questo motivo i ricercatori credono, con un certo livello di affidabilità, che ci sia un collegamento.
Le tattiche, le tecniche e le procedure messe in atto dagli autori della minaccia sono rimaste le stesse nel corso degli anni: si basano su email di spear-phishing realizzate su misura per consegnare archivi contenenti file malevoli. Quando l’utente clicca sullo shortcut, viene eseguito uno script malevolo e si procede così con il download di ulteriori componenti direttamente da Internet. Questo metodo consente agli attaccanti di ottenere il controllo del dispositivo della vittima.
Un esempio è l’uso di Powersing, basato su Power-Shell, il primo malware rilevato tra quelli usati da questo autore di cyberminacce. Una volta che il dispositivo della vittima è stato infettato, il malware è in grado di catturare regolarmente degli screenshot e anche di eseguire degli script di Powershell in modo arbitrario. Alternando diversi metodi di persistenza, a seconda della soluzione di sicurezza rilevata sul dispositivo infetto, il malware è in grado di eludere la detection. Questo dimostra così la capacità degli attaccanti nell’eseguire test di rilevamento prima di ogni campagna e nell’aggiornare poi gli script a seconda degli ultimi risultati ottenuti.
Nelle campagne che utilizzano Powersing, DeathStalker si avvale anche di un noto servizio pubblico per nascondere le prime comunicazioni backdoor nel traffico di rete legittimo, limitando così la capacità dei difensori di ostacolare le operazioni. Usando dei dead-drop resolvers – messaggi pubblicati su servizi web legittimi, quali social media, blog e siti con servizi di messaggistica, e contenenti informazioni per connettersi all’infrastruttura di comando e controllo – l’autore della minaccia è stato in grado di eludere i rilevamenti e portare rapidamente a termine la campagna. Una volta che le vittime venivano infettate, infatti, si rivolgevano proprio a questi dead-drop resolver, ma venivano reindirizzate direttamente da loro, nascondendo così la catena stessa delle comunicazioni.
Un esempio di dead-drop resolver ospitato su un servizio pubblico legittimo.
L’attività di DeathStalker è stata rilevata in tutto il mondo, un dato che chiarisce anche la dimensione delle operazioni portate avanti dal gruppo. Attività legate a Powersing sono state individuate in Argentina, Cina, Cipro, Israele, Libano, Svizzera, Taiwan, Turchia, Regno Unito ed Emirati Arabi Uniti. Kaspersky ha localizzato anche vittime di Evilnum a Cipro, in India, Libano, Russia ed Emirati Arabi Uniti. Informazioni dettagliate sugli Indicatori di Compromissione relativi a questo gruppo, compresi gli hash di file e i server C2, sono disponibili online su Kaspersky Threat Intelligence Portal.
“DeathStalker è il primo esempio di un autore di minacce informatiche dal quale le organizzazioni che operano nel settore privato dovrebbero difendersi. Mentre spesso ci concentriamo sulle attività svolte dai gruppi APT, un gruppo come DeathStalker ci ricorda che anche le organizzazioni che tradizionalmente non sono tra le più attente dal punto di vista della cybersecurity, dovrebbero essere consapevoli circa la possibilità di diventare dei bersagli. A giudicare dalla sua continua attività, ci aspettiamo anche che DeathStalker continui a rimanere una minaccia, mettendo in campo strumenti sempre nuovi per colpire le organizzazioni. Questo autore, in un certo senso, è una prova del fatto che anche le piccole e medie imprese devono investire nella formazione sulla sicurezza informatica e nella sensibilizzazione”, ha commentato Ivan Kwiatkowski, senior security researcher del Global Research and Analysis Team (GReAT) di Kaspersky. “Per rimanere protetti da DeathStalker, consigliamo alle organizzazioni di disattivare la possibilità di utilizzare linguaggi di scripting, come powershell.exe e cscript.exe, dove è possibile. Raccomandiamo, inoltre, che la formazione futura in termini di sensibilizzazione su questo tipo di problematiche e le valutazioni dei prodotti per la sicurezza informatica comprendano anche le capacità di rilevamento delle catene di infezione basate su file LNK (shortcut)”.
Per evitare di diventare vittime di un attacco mirato sferrato da autori noti o sconosciuti, i ricercatori di Kaspersky consigliano di:
- Mettete a disposizione del team SOC l’accesso alle più recenti informazioni di threat intelligence (TI). Kaspersky Threat Intelligence Portal, ad esempio, rappresenta un punto di accesso unico alla threat intelligence dell’azienda, mettendo a disposizione dati sui cyberattacchi e informazioni raccolte da Kaspersky in oltre 20 anni di esperienza.
- Assicuratevi che sia presente la giusta protezione a livello degli endpoint come, ad esempio, la soluzione di sicurezza di Kaspersky Integrated Endpoint Security. Questa soluzione combina la sicurezza degli endpoint con le funzionalità sandbox e EDR, che garantiscono una protezione efficace dalle minacce avanzate e una visibilità immediata sulle attività malevole rilevate a livello degli endpoint aziendali.
- Poiché molti attacchi mirati prendono il via con una campagna di phishing o sfruttando altre tecniche di social engineering, è importante introdurre un percorso di formazione dedicato alla consapevolezza in materia di sicurezza informatica e trasmettere alcune competenze pratiche, ad esempio, attraverso la piattaforma Kaspersky Automated Security Awareness Platform.
Lo studio completo su DeathStalker è disponibile online su Securelist.com.
