Attacchi mirati tramite due zero day di Windows e Chrome

 
Tratto da www.bitmat.it
Autore: Redazione BitMAT – 09/06/2021
 
 
 
Kaspersky rileva due zero-day in Microsoft Windows e Chrome impiegati in una serie di attacchi mirati contro diverse aziende. Microsoft ha già reso disponibili due patch.
 
 
 
attacchi mirati
 
 

Duranti gli ultimi mesi sono stati osservati numerosi attacchi mirati condotti tramite minacce avanzate che sfruttano gli zero-days in the wild. A metà aprile, gli esperti di Kaspersky hanno scoperto una nuova ondata di exploit contro diverse aziende che hanno permesso agli attaccanti di compromettere le reti prese di mira senza essere rilevati. Non avendo trovato un legame tra questi attacchi e i threat actor già noti, Kaspersky ha denominato questo nuovo attore PuzzleMaker.

Tutti gli attacchi mirati sono stati condotti attraverso Chrome e hanno utilizzato un exploit per eseguire del codice da remoto. Sebbene i ricercatori di Kaspersky non siano stati in grado di risalire al codice per l’exploit di esecuzione remota, la linea temporale e la disponibilità dell’exploit suggeriscono che gli attaccanti stavano usando la vulnerabilità, ora patchata, CVE-2021-21224. Questa vulnerabilità era legata a un bug Type Mismatch in V8, un motore JavaScript utilizzato da Chrome e Chromium web-browser, e permetteva agli attaccanti di sfruttare il processo di rendering di Chrome (responsabili di ciò che accade all’interno della tab degli utenti).

Gli esperti di Kaspersky sono stati, tuttavia, in grado di rilevare e analizzare gli attacchi mirati del secondo exploit: l’exploit di elevazione dei privilegi che sfrutta due vulnerabilità distinte presenti nel kernel del sistema operativo Microsoft Windows. La prima è una vulnerabilità Information Disclosure, in grado di far trapelare informazioni sensibili del kernel, rinominata CVE-2021-31955. La vulnerabilità è collegata a SuperFetch, una feature introdotta per la prima volta in Windows Vista che mira a ridurre i tempi di caricamento del software precaricando le applicazioni comunemente utilizzate in memoria.

La seconda vulnerabilità, Elevation of Privilege (una vulnerabilità che permette agli attaccanti di sfruttare il kernel e ottenere un accesso privilegiato al computer), è stata denominata CVE-2021-31956, ed è un buffer overflow heap-based. Gli attacchi mirati hanno usato la vulnerabilità CVE-2021-31956 insieme a Windows Notification Facility (WNF) per creare primitive di lettura/scrittura di memoria arbitraria ed eseguire moduli malware con privilegi di sistema.

Una volta che gli attaccanti hanno usato entrambi gli exploit di Chrome e Windows per infiltrarsi nel sistema preso di mira, il modulo stager scarica ed esegue un dropper malware più complesso da un server remoto. Questo dropper installa poi due file eseguibili, che si presentano come file legittimi del sistema operativo Microsoft Windows. Uno dei due file eseguibili è un modulo shell remoto, che è in grado di scaricare e caricare file, creare processi, rimanere in stand-by per un certo periodo di tempo e cancellarsi dal sistema infetto.

In occasione del Patch Tuesday. Microsoft ha rilasciato una patch per entrambe le vulnerabilità.

Gli attacchi mirati che abbiamo rilevato, non sono stati ancora collegati a un threat actor noto. Pertanto, abbiamo denominato il loro sviluppatore “PuzzleMaker” e monitoreremo con attenzione il panorama degli attacchi alla ricerca delle sue attività future o di nuovi insight su questo gruppo. Di recente, abbiamo assistito al proliferare di minacce di alto profilo legate a exploit zero-day. Questo ci ricorda che gli zero-day continuano ad essere il metodo più efficace per infettare gli obiettivi designati. Ora che queste vulnerabilità sono state rese pubbliche, probabilmente osserveremo un aumento del loro utilizzo negli attacchi da parte di questo e altri threat actor. Per questa ragione raccomandiamo agli utenti di scaricare l’ultima patch da Microsoft il più presto possibile“, ha dichiarato Boris Larin, Senior Security Researcher del Global Research and Analysis Team (GReAT).

I prodotti Kaspersky rilevano e proteggono dall’exploit delle vulnerabilità Information Disclosure CVE-2021-31955 ed Elevation of Privilege CVE-2021-31956 e dai moduli malware associati.

Maggiori informazioni su questi nuovi zero-day sono disponibili su Securelist.

Per proteggere la propria organizzazione dagli attacchi mirati che sfruttano queste due nuove vulnerabilità, gli esperti di Kaspersky raccomandano di:

  • Aggiornare il browser Chrome e Microsoft Windows appena possibile e controllare regolarmente la disponibilità di aggiornamenti.
  • Utilizzare una soluzione di sicurezza per gli endpoint affidabile, come Kaspersky Endpoint Security for Business, dotata di funzionalità di prevenzione degli exploit, behavior detection e di un remediation engine in grado di respingere gli attacchi mirati.
  • Installare soluzioni anti-APT e EDR, abilitando le funzionalità di discovery e detection delle minacce, le indagini e la remediation tempestiva degli incidenti.
  • Fornire al team SOC l’accesso alla più recente threat intelligence e a una formazione professionale continua. Il framework Kaspersky Expert Security offre tutte queste funzionalità.
  • Un’adeguata protezione degli endpoint e l’implementazione di servizi dedicati possono respingere gli attacchi mirati di alto profilo. Il servizio Kaspersky Managed Detection and Response può aiutare a identificare e fermare gli attacchi nelle loro fasi iniziali, prima che gli attaccanti raggiungano i loro obiettivi.

Per ulteriori informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

11 Giugno 2021

Kaspersky e le tendenze APT del Q1 2021

 
Tratto da www.lineaedp.it
Autore: Redazione LineaEDP – 28/04/2021
 
 

 

Secondo quanto emerso da un nuovo report di Kaspersky, i principali attacchi APT nei primi tre mesi dell’anno in corso hanno riguardato le supply chain e lo sfruttamento degli exploit zero day.

Gli incidenti più noti sono stati la compromissione del software Orion IT di SolarWinds per il monitoraggio delle infrastrutture IT, che ha portato all’installazione di una backdoor personalizzata su più di 18.000 reti di aziende clienti, e la vulnerabilità in Microsoft Exchange Server che ha prodotto nuove campagne di attacco in Europa, Russia e Stati Uniti.

Gli attori delle minacce avanzate cambiano continuamente le loro tattiche, perfezionano i loro strumenti e lanciano costantemente nuovi attacchi. Per informare gli utenti e le organizzazioni delle minacce che devono affrontare, il Global Research and Analysis Team di Kaspersky (GReAT) pubblica alcuni report trimestrali sugli sviluppi più importanti nel panorama delle minacce persistenti avanzate.

Lo scorso trimestre, i ricercatori del GReAT hanno condotto delle indagini su due importanti attività malevole.

La prima attività presa in esame è stata quella relativa a SolarWinds e alla compromissione del suo software Orion IT utilizzato per la gestione e il monitoraggio delle reti. Questa compromissione ha permesso agli attaccanti di installare una backdoor personalizzata, nota come Sunburst, sulle reti di oltre 18.000 clienti, tra cui grandi aziende ed enti governativi in Nord America, Europa, Medio Oriente e Asia.

Dopo un’attenta analisi della backdoor, i ricercatori di Kaspersky hanno riscontrato delle somiglianze con la backdoor già nota come Kazuar, individuata per la prima volta nel 2017 e inizialmente attribuita al famigerato gruppo APT Turla. Le somiglianze osservate suggeriscono che gli autori di Kazuar e Sunburst possano essere in qualche modo collegati.

La seconda serie di attacchi analizzata dai ricercatori del GReAT è stata condotta sfruttando degli exploit zero day in Microsoft Exchange Server, per i quali in seguito sono state rese disponibili delle patch.

All’inizio di marzo, un nuovo attore APT noto come HAFNIUM ha approfittato di questi exploit per lanciare una serie di “attacchi limitati e mirati”. Durante la prima settimana di marzo sono stati colpiti circa 1.400 server unici, prevalentemente localizzati in Europa e negli Stati Uniti.

Considerato che alcuni server sono stati presi di mira più volte, è plausibile che più gruppi stiano utilizzando le vulnerabilità. Infatti, a metà marzo, i ricercatori di Kaspersky hanno individuato un’altra campagna che utilizzava questi stessi exploit e aveva come obiettivo la Russia.

Questa campagna ha mostrato alcuni legami con HAFNIUM, così come con gruppi di attività precedentemente noti su cui Kaspersky sta indagando.

Anche il famigerato gruppo APT Lazarus ha sfruttato un exploit zero-day per condurre un nuovo cluster di attività. In questo caso, il gruppo ha usato tecniche di ingegneria sociale per convincere i ricercatori di sicurezza a scaricare un file di progetto Visual Studio compromesso o per attirare le vittime sul loro blog con l’obiettivo poi di installare un exploit in Chrome.

Gli zero-days venivano usati come esche e l’attacco serviva a rubare le informazioni raccolte sulle vulnerabilità. La prima serie di attacchi si è verificata a gennaio mentre la seconda, avvenuta a marzo, è stata combinata alla creazione di profili fake sui social media e alla creazione di una società fittizia per ingannare le vittime prese di mira.

A un esame più attento, i ricercatori di Kaspersky hanno notato che il malware utilizzato nella campagna corrispondeva a ThreatNeedle, una backdoor sviluppata da Lazarus e recentemente impiegata in attacchi contro l’industria della difesa a metà del 2020.

Un’altra interessante campagna di exploit zero-day analizzata nel report, denominata TurtlePower e presumibilmente collegata al gruppo BitterAPT, ha preso di mira enti governativi e organizzazioni nel settore delle telecomunicazioni in Pakistan e Cina.

La vulnerabilità, ora patchata, sembra essere collegata a “Moses”, un broker che ha sviluppato almeno cinque exploit negli ultimi due anni, alcuni dei quali sono stati utilizzati sia da BitterAPT che da DarkHotel.

Come sottolineato in una nota ufficiale da Ariel Jungheit, senior security del GReAT di Kaspersky: «Il report sulle APT nel primo trimestre del 2021 ha dimostrato quanto possano essere distruttivi gli attacchi alla supply chain. Probabilmente, ci vorranno ancora diversi mesi per comprendere appieno la portata dell’attacco di SolarWinds. La buona notizia è che l’intera community di sicurezza si sta interessando a questo tipo di attacchi e sta cercando un modo per contrastarli. Questi primi tre mesi del 2021 hanno anche ricordato l’importanza di aggiornare i dispositivi con le patch non appena vengono rilasciate. Data la loro efficacia, i gruppi APT continueranno a sfruttare gli exploit zero-day per colpire le loro vittime, e come dimostrato dalla recente campagna di Lazarus lo faranno anche in modo creativo».

Il report sulle tendenze APT del Q1 riassume i risultati dei report di threat intelligence riservati agli abbonati ai servizi di Kaspersky, che includono anche i dati degli Indicatori di Compromissione (IOC) e le regole YARA per la ricerca forense e il malware hunting.

Per proteggere un’azienda dalle minacce persistenti avanzate, gli esperti di Kaspersky raccomandano di:

  • Installate le patch per le nuove vulnerabilità non appena disponibili, per non permettere agli attaccanti di sfruttarle.
  • Eseguire regolarmente un audit di sicurezza dell’infrastruttura IT dell’organizzazione per individuare falle e sistemi vulnerabili.
  • Adottare una soluzione di protezione degli endpoint dotata di funzionalità di gestione delle vulnerabilità e delle patch, in grado di semplificare notevolmente il compito dei responsabili della sicurezza IT.
  • Installare soluzioni anti-APT ed EDR, abilitando le funzionalità per la scoperta e il rilevamento delle minacce, l’indagine e la remediation tempestiva degli incidenti. Fornire al team SOC l’accesso alla threat intelligence più aggiornata e offrire regolarmente formazione professionale.

Ulteriori informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

30 Aprile 2021