L’ultima ricerca di Kaspersky ha rivelato che gli attori delle Advanced Persistent Threat (APT) stanno prendendo di mira i servizi di accesso remoto vulnerabili e i meccanismi di controllo degli accessi, come Windows Smart Screen. L’analisi dei dati disponibili sugli exploit utilizzati negli attacchi APT nel periodo 2023-2024 mostra anche che le applicazioni come MS Office e WinRAR sono bersagli frequenti.
Sebbene gli attacchi APT si verifichino raramente, rappresentano una minaccia significativa per le grandi aziende. Gli attori delle minacce di solito mirano a obiettivi specifici e cercano di rimanere inosservati all’interno dell’infrastruttura per periodi prolungati.
In base ai dati disponibili sugli attacchi APT, nel primo trimestre del 2024 le vulnerabilità più utilizzate negli attacchi avanzati sono state il command injection e l’authentication bypass nel software di Ivanti per la sicurezza informatica e la gestione dei sistemi, rispettivamente CVE-2024-21887 e CVE-2023-46805.
Vulnerabilità utilizzate negli attacchi APT nel periodo gennaio-marzo 2024 per tipo di attacco
La diffusione di CVE-2024-21887 è probabilmente dovuta alla sua particolarità. Negli attacchi mirati, gli avversari di solito sfruttano attivamente le vulnerabilità nelle prime settimane successive alla registrazione e alla pubblicazione, prima che le aziende abbiano avuto la possibilità di applicare le patch. La vulnerabilità CVE-2023-46805 può essere utilizzata congiuntamente a CVE-2024-21887.
Al terzo posto c’è la vulnerabilità di WinRAR, scoperta nel 2023 ma ancora attivamente utilizzata in attacchi mirati, che inganna gli utenti sulla tipologia del file di archiviazione da aprire, abbassando così l’attenzione.
Nel 2023, le vulnerabilità più sfruttate negli attacchi avanzati sono state quelle di WinRAR (CVE-2023-38831), seguite da CVE-2017-11882 e CVE-2017-0199 della suite Microsoft Office.
Vulnerabilità utilizzate negli attacchi APT nel 2023 per tipo di attacco
“È interessante notare che, mentre gli exploit per la suite MS Office sono tradizionalmente al primo posto e ampiamente utilizzati – a causa della popolarità di Windows e del suo software nel mondo aziendale – l’ultima analisi degli attacchi APT rivela una tendenza diversa. MS Office ha ceduto la sua leadership agli exploit WinRAR”, ha spiegato Alexander Kolesnikov, Cybersecurity Expert di Kaspersky.
L’analisi è stata condotta utilizzando informazioni provenienti da fonti ufficiali sugli attacchi APT, che hanno sfruttato le CVE (Vulnerabilità ed Esposizioni Comuni) registrate.
Per ridurre il rischio di attacchi avanzati, gli esperti consigliano:
- Conoscere a fondo la propria infrastruttura e monitorare attentamente i propri asset con particolare attenzione al perimetro.
- Implementare un processo di gestione delle patch per rilevare il software vulnerabile all’interno dell’infrastruttura e installare tempestivamente le patch di sicurezza. Soluzioni come Kaspersky Endpoint Security e Kaspersky Vulnerability Data Feed possono aiutare.
- Eseguire valutazioni periodiche della sicurezza per identificare e correggere le vulnerabilità prima che diventino un punto di ingresso per un aggressore.
- Per proteggere l’azienda da un’ampia gamma di minacce, utilizzate le soluzioni della linea di prodotti Kaspersky Next, che offrono protezione in tempo reale, visibilità delle minacce, funzionalità di indagine e risposta EDR e XDR per organizzazioni di qualsiasi dimensione e settore. In base alle esigenze attuali e alle risorse disponibili, è possibile scegliere il livello di prodotto più pertinente e migrare facilmente a un altro se i requisiti di cybersecurity cambiano.
