Kaspersky e le tendenze APT del Q1 2021

 
Tratto da www.lineaedp.it
Autore: Redazione LineaEDP – 28/04/2021
 
 

 

Secondo quanto emerso da un nuovo report di Kaspersky, i principali attacchi APT nei primi tre mesi dell’anno in corso hanno riguardato le supply chain e lo sfruttamento degli exploit zero day.

Gli incidenti più noti sono stati la compromissione del software Orion IT di SolarWinds per il monitoraggio delle infrastrutture IT, che ha portato all’installazione di una backdoor personalizzata su più di 18.000 reti di aziende clienti, e la vulnerabilità in Microsoft Exchange Server che ha prodotto nuove campagne di attacco in Europa, Russia e Stati Uniti.

Gli attori delle minacce avanzate cambiano continuamente le loro tattiche, perfezionano i loro strumenti e lanciano costantemente nuovi attacchi. Per informare gli utenti e le organizzazioni delle minacce che devono affrontare, il Global Research and Analysis Team di Kaspersky (GReAT) pubblica alcuni report trimestrali sugli sviluppi più importanti nel panorama delle minacce persistenti avanzate.

Lo scorso trimestre, i ricercatori del GReAT hanno condotto delle indagini su due importanti attività malevole.

La prima attività presa in esame è stata quella relativa a SolarWinds e alla compromissione del suo software Orion IT utilizzato per la gestione e il monitoraggio delle reti. Questa compromissione ha permesso agli attaccanti di installare una backdoor personalizzata, nota come Sunburst, sulle reti di oltre 18.000 clienti, tra cui grandi aziende ed enti governativi in Nord America, Europa, Medio Oriente e Asia.

Dopo un’attenta analisi della backdoor, i ricercatori di Kaspersky hanno riscontrato delle somiglianze con la backdoor già nota come Kazuar, individuata per la prima volta nel 2017 e inizialmente attribuita al famigerato gruppo APT Turla. Le somiglianze osservate suggeriscono che gli autori di Kazuar e Sunburst possano essere in qualche modo collegati.

La seconda serie di attacchi analizzata dai ricercatori del GReAT è stata condotta sfruttando degli exploit zero day in Microsoft Exchange Server, per i quali in seguito sono state rese disponibili delle patch.

All’inizio di marzo, un nuovo attore APT noto come HAFNIUM ha approfittato di questi exploit per lanciare una serie di “attacchi limitati e mirati”. Durante la prima settimana di marzo sono stati colpiti circa 1.400 server unici, prevalentemente localizzati in Europa e negli Stati Uniti.

Considerato che alcuni server sono stati presi di mira più volte, è plausibile che più gruppi stiano utilizzando le vulnerabilità. Infatti, a metà marzo, i ricercatori di Kaspersky hanno individuato un’altra campagna che utilizzava questi stessi exploit e aveva come obiettivo la Russia.

Questa campagna ha mostrato alcuni legami con HAFNIUM, così come con gruppi di attività precedentemente noti su cui Kaspersky sta indagando.

Anche il famigerato gruppo APT Lazarus ha sfruttato un exploit zero-day per condurre un nuovo cluster di attività. In questo caso, il gruppo ha usato tecniche di ingegneria sociale per convincere i ricercatori di sicurezza a scaricare un file di progetto Visual Studio compromesso o per attirare le vittime sul loro blog con l’obiettivo poi di installare un exploit in Chrome.

Gli zero-days venivano usati come esche e l’attacco serviva a rubare le informazioni raccolte sulle vulnerabilità. La prima serie di attacchi si è verificata a gennaio mentre la seconda, avvenuta a marzo, è stata combinata alla creazione di profili fake sui social media e alla creazione di una società fittizia per ingannare le vittime prese di mira.

A un esame più attento, i ricercatori di Kaspersky hanno notato che il malware utilizzato nella campagna corrispondeva a ThreatNeedle, una backdoor sviluppata da Lazarus e recentemente impiegata in attacchi contro l’industria della difesa a metà del 2020.

Un’altra interessante campagna di exploit zero-day analizzata nel report, denominata TurtlePower e presumibilmente collegata al gruppo BitterAPT, ha preso di mira enti governativi e organizzazioni nel settore delle telecomunicazioni in Pakistan e Cina.

La vulnerabilità, ora patchata, sembra essere collegata a “Moses”, un broker che ha sviluppato almeno cinque exploit negli ultimi due anni, alcuni dei quali sono stati utilizzati sia da BitterAPT che da DarkHotel.

Come sottolineato in una nota ufficiale da Ariel Jungheit, senior security del GReAT di Kaspersky: «Il report sulle APT nel primo trimestre del 2021 ha dimostrato quanto possano essere distruttivi gli attacchi alla supply chain. Probabilmente, ci vorranno ancora diversi mesi per comprendere appieno la portata dell’attacco di SolarWinds. La buona notizia è che l’intera community di sicurezza si sta interessando a questo tipo di attacchi e sta cercando un modo per contrastarli. Questi primi tre mesi del 2021 hanno anche ricordato l’importanza di aggiornare i dispositivi con le patch non appena vengono rilasciate. Data la loro efficacia, i gruppi APT continueranno a sfruttare gli exploit zero-day per colpire le loro vittime, e come dimostrato dalla recente campagna di Lazarus lo faranno anche in modo creativo».

Il report sulle tendenze APT del Q1 riassume i risultati dei report di threat intelligence riservati agli abbonati ai servizi di Kaspersky, che includono anche i dati degli Indicatori di Compromissione (IOC) e le regole YARA per la ricerca forense e il malware hunting.

Per proteggere un’azienda dalle minacce persistenti avanzate, gli esperti di Kaspersky raccomandano di:

  • Installate le patch per le nuove vulnerabilità non appena disponibili, per non permettere agli attaccanti di sfruttarle.
  • Eseguire regolarmente un audit di sicurezza dell’infrastruttura IT dell’organizzazione per individuare falle e sistemi vulnerabili.
  • Adottare una soluzione di protezione degli endpoint dotata di funzionalità di gestione delle vulnerabilità e delle patch, in grado di semplificare notevolmente il compito dei responsabili della sicurezza IT.
  • Installare soluzioni anti-APT ed EDR, abilitando le funzionalità per la scoperta e il rilevamento delle minacce, l’indagine e la remediation tempestiva degli incidenti. Fornire al team SOC l’accesso alla threat intelligence più aggiornata e offrire regolarmente formazione professionale.

Ulteriori informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

30 Aprile 2021

Kaspersky: ecco i nuovi trend negli attacchi APT

Tratto da www.lineaedp.it
Redazione LineaEDP – 04/11/2020
 
 
APT_Kaspersky

I ricercatori di Kaspersky hanno studiato e individuato le nuove tendenze negli attacchi APT

Nel terzo trimestre del 2020, i ricercatori di Kaspersky hanno osservato una spaccatura nell’approccio adottato dai threat actor. Sono stati osservati diversi sviluppi nelle tattiche, tecniche e procedure (TTP) dei gruppi APT di tutto il mondo, oltre a campagne efficaci che utilizzano vettori di infezione e set di strumenti piuttosto banali.

Uno dei risultati più importanti del trimestre è stata una campagna condotta da un threat actor non ancora conosciuto che ha deciso di infettare una delle vittime utilizzando un bootkit personalizzato per l’UEFI, un componente hardware essenziale dei moderni dispositivi informatici. Questo vettore di infezione faceva parte di un framework a più stadi chiamato MosaicRegressor. L’infezione del UEFI ha reso il malware installato sul dispositivo più persistente ed estremamente difficile da rimuovere. Inoltre, il payload scaricato dal malware sui dispositivi di ciascuna vittima poteva essere diverso. Questo approccio flessibile ha permesso al threat actor di nascondere il suo payload in modo efficace.

Altri gruppi criminali si avvalgono della steganografia. In the wild è stato rilevato, in un attacco rivolto ad una società di telecomunicazioni europea, un nuovo metodo che abusa del binario Windows Defender firmato Authenticode, un programma integrale e approvato per la soluzione di sicurezza Windows Defender. Una campagna in corso, attribuita a Ke3chang, ha utilizzato una nuova versione della backdoor di Okrum. Questa versione aggiornata di Okrum abusa di un binario di Windows Defender firmato Authenticode attraverso l’impiego di una tecnica di side-loading unica nel suo genere. Gli aggressori hanno utilizzato la steganografia per nascondere il payload principale nell’eseguibile del Defender, mantenendone valida la firma digitale e riducendo così le possibilità di rilevamento.

Anche molti altri threat actor continuano ad aggiornare i loro toolset per renderli più flessibili e meno inclini al rilevamento. Diversi framework multistadio, come quello sviluppato dal gruppo APT MuddyWater, continuano ad apparire in the wild. Questo trend vale anche per altri malware come Dtrack RAT (Remote Access Tool), ad esempio, che è stato aggiornato con una nuova funzione che consente all’aggressore di eseguire diversi payload.

Tuttavia, alcuni gruppi criminali utilizzano ancora con successo catene di infezione a bassa tecnologia come ad esempio un gruppo di mercenari che i ricercatori di Kaspersky hanno chiamato DeathStalker. Questo gruppo APT si concentra principalmente su studi legali e società che operano nel settore finanziario, raccogliendo informazioni sensibili e preziose dalle vittime. Grazie all’impiego di tecniche per lo più identiche dal 2018 e ad una particolare attenzione ai metodi per eludere i sistemi di rilevamento, DeathStalker è stato in grado di portare avanti una serie di attacchi di successo.

“Mentre alcuni threat actor rimangono coerenti nel tempo cercando di sfruttare temi caldi come il COVID-19, per invogliare le vittime a scaricare allegati dannosi, altri gruppi reinventano sé stessi e i loro strumenti. Nell’ultimo trimestre abbiamo assistito all’ampliamento della portata delle piattaforme attaccate, ad un continuo lavoro sulle nuove catene di infezione e all’uso di servizi legittimi come parte della loro infrastruttura di attacco. In definitiva, per gli specialisti di sicurezza questo significa che i difensori dovranno investire diverse risorse nella caccia alle attività malevole in nuovi ambienti legittimi che in passato sono stati poco esaminati. Questo include malware scritti in linguaggi di programmazione meno conosciuti e veicolati attraverso servizi cloud legittimi. Il tracciamento delle attività degli attori e dei TTP ci permette di seguirli mentre adattano nuove tecniche e strumenti, e quindi di prepararci a reagire in tempo ai nuovi attacchi”, ha commentato Ariel Jungheit, Senior Security Researcher, Global Research and Analysis Team di Kaspersky.

È disponibile una sintesi delle tendenze APT dell’ultimo trimestre che riassume i risultati dei report di threat intelligence di Kaspersky relativi ai soli abbonati, oltre ad altre fonti che coprono i principali sviluppi di cui il settore aziendale dovrebbe essere a conoscenza. I report di threat intelligence di Kaspersky includono anche i dati sugli Indicatori di Compromissione (IoC), nonché le regole di Yara e Suricata per aiutare gli esperti forensi e supportare la caccia ai malware.

Per evitare di cadere vittima di un attacco mirato da parte di un attore noto o sconosciuto, i ricercatori di Kaspersky raccomandano di mettere in pratica le seguenti misure:

• Fornire al team SOC l’accesso alla threat intelligence più recente (TI). Kaspersky Threat Intelligence Portal offre un unico punto di accesso per la TI dell’azienda e fornisce i dati sugli attacchi informatici in corso e le informazioni raccolte da Kaspersky in oltre 20 anni di esperienza sul campo. È possibile accedere gratuitamente alle sue funzioni e controllare file, URL e indirizzi IP a questo link.
• Per la detection a livello endpoint, l’indagine e il ripristino tempestivo degli incidenti, è necessario implementare soluzioni EDR come Kaspersky Endpoint Detection and Response.
• Oltre ad adottare una protezione per endpoint è necessario implementare una soluzione di sicurezza di livello aziendale in grado di rilevare tempestivamente le minacce avanzate della rete, come Kaspersky Anti Targeted Attack Platform.

9 Novembre 2020

Kaspersky ha rilevato MontysThree

Tratto da LineaEDP
Autore: Redazione LineaEDP – 09/10/2020
 
MontysThree, rilevato da Kaspersky, è un nuovo toolset utilizzato per lo spionaggio industriale
 
 
Kaspersky - MontysThree

I ricercatori di Kaspersky hanno rilevato una serie di attacchi mirati contro le organizzazioni industriali risalenti al 2018. Nel panorama delle minacce persistenti avanzate (APT) questo tipo di attacchi sono molto più rari rispetto alle campagne contro i diplomatici e altri esponenti politici di alto profilo. Il toolset utilizzato, denominato in origine MT3 dagli autori del malware, è stato poi soprannominato da Kaspersky “MontysThree”. Questo malware utilizza diverse tecniche per eludere il rilevamento, tra cui l’hosting delle comunicazioni con il server di controllo su servizi cloud pubblici e l’occultamento del principale modulo dannoso mediante steganografia.

Enti governativi, diplomatici e operatori delle telecomunicazioni sono il bersaglio preferito delle APT perché possiedono un patrimonio di informazioni politiche altamente confidenziali ed estremamente sensibili. Invece, le campagne di spionaggio mirate contro le realtà industriali sono molto più rare, ma, come ogni altro attacco contro il settore industriale, possono avere conseguenze devastanti per il business. Ecco perché, dopo aver notato l’attività di MontysThree, i ricercatori di Kaspersky hanno approfondito le ricerche.

Per effettuare l’attività di spionaggio, MontysThree utilizza un programma malware composto da quattro moduli. Il primo è il loader, che si diffonde inizialmente utilizzando un file RAR SFX (archivi auto-estraente) con i nomi relativi alle liste di contatto dei dipendenti, la documentazione tecnica e i risultati di analisi mediche con lo scopo di indurre i dipendenti a scaricare i file, secondo una comune tecnica di spear phishing. Il compito fondamentale del loader è garantire che il malware non venga rilevato sul sistema e a tal fine utilizza una tecnica nota come steganografia.

La steganografia è una tecnica utilizzata dai criminali informatici per nascondere lo scambio di dati. Nel caso di MontysThree, il payload malevolo principale è occultato come file bitmap (un formato per l’archiviazione di immagini digitali). Dopo aver inserito il comando corretto, il loader utilizzerà un algoritmo personalizzato per decifrare il contenuto dall’array di pixel ed eseguire il payload dannoso.

Il payload dannoso principale utilizza diverse tecniche di encryption proprie per eludere il rilevamento. In particolare, utilizza l’algoritmo RSA, che permette di crittografare le comunicazioni con il server di controllo e decrittografare i principali “task” assegnati dal malware. Questo include la ricerca di documenti con estensioni specifiche e in particolari directory aziendali. MontysThree è progettato per prendere di mira i documenti Microsoft e Adobe Acrobat; può anche catturare screenshot e “impronte digitali”, ossia raccogliere informazioni sulle impostazioni di rete, sul nome dell’host e molto altro.

Le informazioni raccolte e le altre comunicazioni con il server di controllo sono poi ospitate su servizi cloud pubblici come Google, Microsoft e Dropbox. Questo sistema rende difficile distinguere il traffico di comunicazione come dannoso e, poiché nessun antivirus blocca questi servizi, garantisce che il server di controllo possa eseguire comandi ininterrottamente.

MontysThree, inoltre, utilizza un modifier per Windows Quick Launch come metodo per ottenere la persistenza sul sistema infetto. Ogni volta che gli utenti utilizzano la barra degli strumenti di avvio rapido per eseguire applicazioni legittime come i browser, attivano a loro insaputa anche il modulo iniziale del malware.

Kaspersky non ha riscontrato elementi comuni nel codice dannoso o nell’infrastruttura che corrispondessero ad altre APT note.

“MontysThree è interessante non solo perché mira alle realtà industriali, ma anche perché combina TTP (Text Transfer Protocol) sofisticati ad altri che si potrebbero definire più “amatoriali”. In generale, la sofisticazione varia da modulo a modulo, ma non può essere paragonata al livello impiegato dalle APT più avanzate. Tuttavia, i creatori di MontysThree utilizzano standard crittografici robusti e scelte piuttosto tecniche come quella di utilizzare la steganografia personalizzata. Gli attaccanti si sono notevolmente impegnati nello sviluppo del toolset di MontysThree, e questo lascia intendere che sono determinati a perseguire i loro obiettivi e che non si tratta di una campagna di breve durata”, ha dichiarato Denis Legezo, senior security researcher with del Global Research and Analysis Team di Kaspersky.

Per proteggere le organizzazioni da minacce come MontysThree, gli esperti di Kaspersky raccomandano:

• Fornire ai dipendenti una formazione di base sulla cyber hygiene, poiché molti attacchi mirati iniziano sfruttando strategie di phishing o altre tecniche di ingegneria sociale. Condurre simulazioni di attacchi di phishing per assicurarsi che il personale sappia riconoscere email di questo tipo.

• Fornire al team SOC l’accesso alla threat intelligence (TI) più aggiornata. Kaspersky Threat Intelligence Portal è un unico punto di accesso per la TI dell’azienda, e fornisce dati sugli attacchi informatici e molte informazioni raccolte da Kaspersky in 20 anni di esperienza sul campo.

• Implementare soluzioni EDR, come Kaspersky Endpoint Detection and Response, per il rilevamento a livello degli endpoint, l’indagine e la remediation tempestiva degli incidenti.

• Oltre ad adottare un livello di protezione base per gli endpoint, implementare una soluzione di sicurezza di livello aziendale in grado di rilevare tempestivamente le minacce avanzate a livello di rete, come Kaspersky Anti Targeted Attack Platform

• Assicurarsi di proteggere sia gli endpoint industriali che quelli aziendali. La soluzione Kaspersky Industrial CyberSecurity integra una protezione dedicata per gli endpoint e il monitoraggio della rete per rivelare qualsiasi attività sospetta e potenzialmente dannosa nella rete industriale.

13 Ottobre 2020