Il pacchetto Npm UAParser.js, installato su decine di milioni di computer in tutto il mondo, è stato infettato con password stealer e miner
Degli attaccanti sconosciuti hanno compromesso diverse versioni di una popolare libreria JavaScript, UAParser.js, inserendo un codice dannoso. Secondo le statistiche sulla pagina degli sviluppatori, molti progetti fanno uso di questa libreria, che viene scaricata da 6 a 8 milioni di volte ogni settimana.
I criminali informatici hanno compromesso tre versioni della libreria: la 0.7.29, 0.8.0 e 1.0.0. Tutti gli utenti e gli amministratori dovrebbero aggiornare le librerie alle versioni 0.7.30, 0.8.1 e 1.0.1, rispettivamente, il prima possibile.
Che cos’è UAParser.js, e perché è così famoso
Gli sviluppatori JavaScript usano la libreria UAParser.js per analizzare i dati User-Agent inviati dai browser. È implementata su molti siti web e utilizzata nel processo di sviluppo del software di varie aziende, tra cui Facebook, Apple, Amazon, Microsoft, Slack, IBM, HPE, Dell, Oracle, Mozilla e altri. Inoltre, alcuni sviluppatori di software utilizzano strumenti di terze parti, come il framework Karma per il software testing, che dipende anch’esso da questa libreria, aumentando ulteriormente la scala dell’attacco, aggiungendo un ulteriore anello alla supply chain.
Introduzione ai codici dannosi
I criminali informatici hanno incorporato script dannosi nella libreria per scaricare il codice dannoso ed eseguirlo sui computer delle vittime, sia in Linux che in Windows. Lo scopo di un modulo era quello di estrarre criptovalute, il secondo, invece (solo per Windows), era in grado di rubare informazioni riservate come i cookie dai browser, password e credenziali del sistema operativo.
Tuttavia, potrebbe non essere finita qui: secondo gli avvisi della US Cybersecurity and Infrastructure Protection Agency (CISA), l’installazione di librerie compromesse potrebbe permettere ai criminali informatici di prendere il controllo dei sistemi infetti.
Secondo gli utenti di GitHub, il malware crea file binari: jsextension (in Linux) e jsextension.exe (in Windows). La presenza di questi file è un chiaro indicatore di compromissione del sistema.
Come è riuscito a entrare il codice dannoso nella libreria UAParser.js
Faisal Salman, lo sviluppatore del progetto UAParser.js, ha dichiarato che un cybercriminale non identificato ha avuto accesso al suo account nel repository npm e ha pubblicato tre versioni dannose della libreria UAParser.js. Lo sviluppatore ha immediatamente aggiunto un avvertimento ai pacchetti compromessi e ha contattato il supporto di npm, che ha rapidamente rimosso le versioni pericolose. Tuttavia, mentre i pacchetti erano online, un numero significativo di dispositivi potrebbe averli scaricati.
A quanto pare, sono stati online per poco più di quattro ore, dalle 14:15 alle 18:23 CET del 22 ottobre. In serata, lo sviluppatore ha notato un’insolita attività di spam nella sua casella di posta elettronica, il che gli ha fatto notare le attività sospette, e ha così potuto scoprire la causa principale del problema.
Cosa fare se avete scaricato librerie infette
Il primo passo è controllare i computer, tutti i componenti del malware usato nell’attacco sono rilevati con successo dai nostri prodotti.
Successivamente, vi consigliamo di aggiornare le vostre librerie alle versioni corrette, la 0.7.30, 0.8.1 e 1.0.1. Tuttavia, potrebbe non essere sufficiente: secondo l’avviso, qualsiasi computer su cui è stata installata o eseguita una versione infetta della libreria dovrebbe essere considerato completamente compromesso. Pertanto, gli utenti e gli amministratori dovrebbero cambiare tutte le credenziali che sono state utilizzate su quei computer.
In generale, gli ambienti di sviluppo o di compilazione sono obiettivi convenienti per i criminali informatici che cercano di organizzare attacchi alla supply chain. Ciò significa che tali ambienti richiedono urgentemente una protezione antimalware.
Alcuni scammer stanno distribuendo malware e adware facendoli passare per Windows 11
Microsoft non ha ancora rilasciato Windows 11 ma il nuovo sistema operativo è già disponibile per il download e per un’anteprima. I criminali informatici, naturalmente, se ne stanno approfittando per “piazzare” alcuni malware agli utenti che pensano di aver scaricato il nuovo sistema operativo targato Microsoft.
Perché scaricare adesso Windows 11?
Microsoft in realtà aveva annunciato che Windows 10 sarebbe stata l’ultima versione di Windows e che in futuro avrebbe solo rilasciato aggiornamenti. Il 24 giugno di quest’anno, però, l’azienda ha presentato Windows 11. E anche se sotto sotto è fondamentalmente uguale al precedente, Windows 11 è comunque il più grande aggiornamento del sistema operativo in sei anni, che comprende un numero notevole di nuove caratteristiche e modifiche dell’interfaccia.
Ufficialmente, Windows 11 sarà disponibile al grande pubblico nel 2021, ma molte persone lo stanno provando in anticipo installando una versione pre-release. Alcuni appassionati vogliono provare il nuovo sistema per capire quali sono le novità; altri, come i giornalisti tecnici, per informare gli utenti sulle nuove caratteristiche. Per quanto riguarda gli sviluppatori di software, hanno bisogno di conoscere il nuovo sistema operativo per eseguire test di compatibilità con i loro prodotti e correggere eventuali problemi prima del giorno del rilascio.
Anche se Microsoft ha reso il processo di download e installazione di Windows 11 dal suo sito ufficiale abbastanza semplice, molti visitano ancora altre fonti per scaricare il software, che spesso contiene “chicche” non pubblicizzate dai criminali informatici (e non è necessariamente Windows 11).
Come i truffatori ingannano gli utenti che decidono di scaricare Windows 11
Il modo più diretto usato dai criminali informatici per ingannare gli utenti è inserendo un extra dannoso.
Un esempio riguarda un file eseguibile chiamato 86307_windows 11 build 21996.1 x64 + activator.exe. Con i suoi 1,75 GB, sembra un file certamente plausibile. In realtà, però, la maggior parte di questo spazio è occupato da un file DLL che contiene un sacco di informazioni inutili.
All’apertura del file eseguibile si avvia il programma di installazione, che sembra una normale procedura guidata di installazione di Windows. Il suo scopo principale è quello di scaricare e avviare un altro eseguibile più interessante. Anche il secondo eseguibile è un installer, che propone persino un accordo di licenza (che poche persone leggono) denominato “download manager for 86307_windows 11 build 21996.1 x64 + activator” e che servirebbe a installare alcuni software sponsorizzati. Se accettate l’accordo saranno installati sul vostro dispositivo alcuni programmi dannosi.
I prodotti Kaspersky hanno già bloccato diverse centinaia di tentativi di infezione che usavano tattiche simili a quelle della truffa su Windows 11. Una gran parte di questi malware è costituito da downloader, il cui compito è quello di scaricare ed eseguire altri programmi.
Questi altri programmi possono essere molto diversi, da adware relativamente innocui, che le nostre soluzioni classificano come not-a-virus, a Trojan veri e propri, password stealer, exploit e altri programmi dannosi.
Dove e come scaricare Windows 11 in modo sicuro
Scaricate Windows 11 solo da fonti ufficiali, come consiglia Microsoft. Finora, Windows 11 è ufficialmente disponibile solo per i partecipanti al programma Windows Insider, per il quale dovete registrarvi. Avrete anche bisogno di un dispositivo su cui è già installato Windows 10.
Per aggiornare il vostro computer Windows 10 a Windows 11, andate su Impostazioni, cliccate su Aggiornamento e sicurezza, quindi selezionate Programma Windows Insider e attivate il Canale sviluppatori per ottenere l’aggiornamento.
Sconsigliamo di eseguire l’aggiornamento sul vostro computer principale, poiché le precompilazioni possono essere instabili.
Vi consigliamo inoltre di utilizzare una soluzione di sicurezza affidabile e di non disabilitarla mai, per evitare che i criminali informatici possano accedere al vostro computer tramite ingegneria sociale o che sfruttino vulnerabilità di un sistema non ancora pronto per la release ufficiale.
Gli spammer stanno usando macro dannose per distribuire malware bancari IcedID e Qbot in documenti apparentemente importanti
Per gli impiegati che devono affrontare centinaia di e-mail, la tentazione di leggere velocemente e scaricare gli allegati in automatico può essere grande. I criminali informatici, naturalmente, ne approfittano, inviando documenti apparentemente importanti che potrebbero contenere qualsiasi cosa, dai link di phishing a malware. I nostri esperti hanno recentemente scoperto due campagne di spam molto simili che distribuiscono i trojan bancari IcedID e Qbot.
Spam con documenti dannosi
Entrambe le e-mail si spacciavano per corrispondenza commerciale. Nel primo caso, i criminali informatici chiedevano un risarcimento per qualche motivo fraudolento o dichiaravano qualcosa sull’annullamento di un’operazione. Allegato al messaggio c’era un file Excel con zip chiamato CompensationClaim più una serie di numeri. Il secondo messaggio di spam aveva a che fare con dei pagamenti e contratti e includeva un link al sito web violato dove era conservato l’archivio contenente il documento.
In entrambi i casi, l’obiettivo degli aggressori era quello di convincere il destinatario ad aprire il file Excel dannoso ed eseguire la macro in esso contenuta, scaricando così IcedID o (meno comunemente) Qbot sul dispositivo della vittima.
IcedID e Qbot
I trojan bancari IcedID e Qbot sono in circolazione da anni, con IcedID arrivato per la prima volta all’attenzione dei ricercatori nel 2017 e Qbot in servizio dal 2008. Inoltre, i cybercriminali stanno costantemente affinando le loro tecniche. Ad esempio, hanno nascosto il componente principale di IcedID in un’immagine PNG utilizzando una tecnica chiamata steganografia che è piuttosto difficile da rilevare.
Oggi, entrambi i programmi malware sono disponibili sul mercato ombra; oltre ai loro creatori, numerosi clienti distribuiscono i Trojan. Il compito principale del malware è quello di rubare i dettagli della carta di credito e le credenziali di accesso ai conti bancari, preferibilmente conti aziendali (da qui le e-mail di tipo aziendale). Per raggiungere i loro obiettivi, i Trojan utilizzano vari metodi. Per esempio, possono:
Inserire uno script dannoso in una pagina web per intercettare i dati inseriti dall’utente;
Reindirizzare gli utenti dell’online banking a una falsa pagina di login;
Rubare i dati salvati nel browser.
Qbot può anche registrare le sequenze di tasti per intercettare le password.
Purtroppo, il furto dei dati di pagamento non è l’unico problema che si presenta alle vittime. Per esempio, IcedID può scaricare altri malware, incluso il ransomware, sui dispositivi infetti. Nel frattempo, i trucchi di Qbot includono il furto di thread di e-mail da utilizzare in ulteriori campagne di spam, e fornire ai suoi operatori l’accesso remoto ai computer delle vittime. Sulle attrezzature da lavoro in particolare, le conseguenze possono essere gravi.
Come rimanere al sicuro dai trojan bancari
Non importa quanto astuti possano essere i criminali informatici, non è necessario reinventare la ruota per restare al sicuro. Entrambe le campagne di spam in questione si basano sul fatto che i destinatari compiano azioni rischiose, se, invece, non apriranno il file dannoso e non lasceranno eseguire la macro, lo schema semplicemente non funzionerà. Per ridurre le possibilità di diventare una vittima:
Controllate l’identità del mittente, incluso il nome del dominio. Qualcuno che afferma di essere un appaltatore o un cliente aziendale ma usa un indirizzo Gmail, per esempio, può essere sospetto. E se semplicemente non sapete chi è il mittente, controllate insieme ai colleghi;
Proibite le macro di default, e trattate con sospetto i documenti che richiedono di abilitare le macro o altri contenuti. Non eseguite mai una macro a meno che non siate assolutamente sicuri che il file ne abbia bisogno, e che sia sicuro;
Installate una soluzione di sicurezza affidabile. Se lavorate su un dispositivo personale, o il vostro datore di lavoro è poco rigoroso quando si tratta di protezione della workstation, assicuratevi che sia protetta. I prodotti Kaspersky rilevano sia IcedID che Qbot.
Durante l’anno della pandemia di Covid-19 il concetto di email security ha assunto un ruolo di primo piano: le nostre modalità di comunicazione sono cambiate (basti pensare al lavoro da remoto), i contenuti delle comunicazioni hanno visto ondate di argomenti quasi esclusivamente legati all’evento pandemico (soprattutto in concomitanza con i principali provvedimenti restrittivi), gli aspetti legati alla sicurezza, alla privacy, agli attacchi di phishing e alla distribuzione di malware sono stati pesantemente condizionati dalla pandemia.
Se vogliamo, l’evento pandemico ha ancora più messo in evidenza la rilevanza del fattore umano nella sicurezza delle comunicazioni elettroniche.
Email security: il fenomeno phishing durante la pandemia
Ricordiamo che una campagna di phishing efficace è caratterizzata da tre elementi principali: il presentarsi come una fonte autorevole, la capacità di catturare l’attenzione della vittima, quella di instillare un senso di urgenza al fine di indurre a compiere un’azione dannosa come aprire un allegato malevolo, cliccare su un link, fornire credenziali o informazioni confidenziali.
Autorevolezza, cattura dell’attenzione, senso di urgenza, call-to-action: se ci facciamo caso, parliamo esclusivamente di leve che agiscono su aspetti affatto tecnici ma legati ai comportamenti umani.
Non è difficile immaginare come un evento eccezionale quale la pandemia con tutto il suo carico emotivo, il flusso continuo di nuove informazioni, il susseguirsi di provvedimenti normativi, i cambiamenti delle modalità di lavoro e delle abitudini di vita, abbia creato un terreno molto fertile per gli autori di campagne di phishing.
Il seguente grafico mostra l’andamento nel 2020 delle mail legittime legate alla pandemia di COVID-19.
Andamento delle mail legittime a tema COVID-19
A inizio anno abbiamo una progressiva crescita di comunicazioni che perdura circa un mese e mezzo e che inizia a decrescere solo dopo il primo lockdown. Segue un grande picco successivo ai primi allentamenti del lockdown.
In questo periodo si susseguono incessantemente provvedimenti normativi e disposizioni organizzative. È del 13 maggio la “legge rilancio” mentre il 15 maggio un decreto delinea il quadro generale all’interno del quale gli spostamenti verranno limitati da ordinanze statali, regionali e comunali.
Seguono innumerevoli ordinanze, interpretazioni e chiarimenti oltre a decreti che progressivamente vanno ad autorizzare la ripresa di ulteriori attività. A tutto questo si affiancano informazioni e aggiornamenti sull’andamento della pandemia, sullo stato del sistema sanitario, sugli studi clinici che contribuiscono ad una crescente conoscenza del fenomeno.
Indicativamente, in questo periodo il 10% delle nostre mailbox conteneva mail a tema COVID-19. Ricordo che stiamo ancora parlando di comunicazioni legittime, ovvero non malevole, che esplicitamente menzionano la pandemia. È un indice dell’attenzione che il tema ha avuto nel corso del tempo.
Quello che segue è invece l’andamento delle mail indesiderate a tema COVID-19 che sono state intercettate dai sistemi di filtraggio della posta elettronica. Oltre a mail di spam vero e proprio relative a prodotti e servizi (mascherine, gel, termoscanner, guanti, test antigenici, tamponi, improbabili prodotti anti-Covid, servizi finanziari per fronteggiare l’emergenza, eccetera) questo flusso contiene anche mail di phishing e distribuzione di malware che sfruttano l’alto livello di attenzione legato alla pandemia.
Andamento delle mail indesiderate a tema COVID-19
L’andamento delle mail indesiderate è più regolare: nel mese di marzo c’è stata una rapida crescita che poi si è più o meno stabilizzata. Da agosto in poi c’è stata una progressiva lenta decrescita. Questo grafico ci dice che il tema è stato rapidamente adottato da chi intendeva abusarne ed è stato progressivamente abbandonato solo quando ha iniziato a perdere di efficacia.
Email security: le tattiche usate negli attacchi phishing
Quali tattiche sono state utilizzate nelle mail di phishing? Tra le più aggressive abbiamo notato campagne massive di finte mail di licenziamento. La mail, che si spaccia per una comunicazione proveniente dal dipartimento risorse umane, comunica al malcapitato il suo licenziamento in tronco giustificato dall’emergenza COVID. L’esempio che segue, nonostante sia scritto in inglese, è stato inviato a numerosi dipendenti italiani di aziende multinazionali.
Campagna di phishing, finto licenziamento causa COVID
L’allegato di queste mail è un file html che punta a carpire le credenziali dell’utente.
Allegato malevolo per carpire credenziali
Naturalmente anche i tentativi di truffa massivi e di bassa qualità sono stati prontamente declinati a tema COVID. Vincite improvvise, donatori inattesi e le classiche truffe “alla nigeriana” hanno adottato le parole chiave legate alla pandemia nel tentativo di guadagnare maggiore visibilità e credibilità.
Truffa a tema COVID
Numerose e più subdole le mail che, spacciandosi per organismi istituzionali, come ad esempio l’Organizzazione Mondiale della Sanità, avvisavano di presunti allarmi per la presenza di cluster di contagio nell’area.
Campagna di phishing che si spaccia per OMS
Altrettanto diffuse le campagne di phishing legate alla ripresa delle attività produttive con finte email del MEF o di altri organismi istituzionali veicolanti malware.
Campagna di phishing che si spaccia per il MEF
L’utilizzo di nomi e loghi istituzionali conferisce una percezione di autorevolezza che abbassa le difese, in particolare in un momento in cui la paura e l’emotività sono ancora alte.
Con l’arrivo dell’app Immuni le campagne di phishing hanno incominciato a sfruttare questo nuovo filone. La seguente immagine è tratta da un sito di phishing che riproduce una finta pagina del Play Store di Google:
Finta app Immuni su un finto Google Play Store
L’anno si è chiuso con l’arrivo del cashback e non potevano mancare campagne di phishing a tema cashback o SPID.
Phishing sul cashback di Stato
Finto sito di Poste Italiane
Anche nelle campagne di email malevole vige una sorta di meccanismo di selezione naturale. Le tecniche che si dimostrano più efficaci vengono copiate si diffondono rapidamente a discapito di quelle meno efficaci.
La rapida diffusione delle campagne di phishing a tema COVID-19, in tutte le sue declinazioni, ci ha fornito una misura di quanto sia rilevante il ruolo della componente emotiva e di quanto, a parità di condizioni tecniche, sia il fattore umano a fare la differenza.
L’andamento nel corso dell’anno
Il seguente grafico mostra la percentuale di email intercettate dai sistemi di email security sul totale del traffico. Da settembre in avanti la media cala ma si tratta di oscillazioni frequenti e dipendenti da una tale quantità di variabili da non rappresentare in sé un trend particolarmente significativo.
Andamento dello spam nel 2020
Malware allegato a messaggi di posta
Già lo scorso anno avevamo rilevato la progressiva perdita di efficacia di sistemi di protezione reattivi, ovvero progettati per intercettare minacce note. Questo approccio (tendenzialmente basato su ricerca di pattern noti) è particolarmente inefficace in presenza di malware polimorfico e nuove varianti, le quali si trovano di fronte a finestre di opportunità di molte ore all’interno delle quali possono transitare senza essere intercettate.
L’approccio proattivo basato sulla rimozione delle istruzioni che abilitano alla realizzazione di un dropper (il codice che installa il malware sul computer della vittima) è l’unico che offre una copertura anche contro nuove varianti e malware polimorfico.
Il seguente grafico mostra l’andamento nel corso dell’anno dei sistemi di sandboxing di nuova generazione da noi monitorati. In rosso i file che sono stati bloccati perché riconosciuti come malevoli. In giallo i file che sono stati neutralizzati grazie all’approccio poc’anzi descritto e che non sono stati intercettati dai sistemi reattivi basati su pattern e signature. In verde i file contenenti codice attivo legittimo (come le macro legittime di un file Excel).
Allegati trattati da QuickSand
Nel corso dell’anno abbiamo osservato l’utilizzo di nuove tecniche di realizzazione di dropper.
In gennaio ha iniziato a circolare del malware basato su macro in documenti Office che, al fine di eseguire codice senza essere rilevato come malevolo, usava alcune callback VBA (Visual Basic for Applications) che vengono invocate prima di attivare una connessione. Il trucco consiste nell’inserire del contenuto remoto nel documento al fine di indurre Office ad invocare queste macro (il cui nome termina per _onConnecting). Attraverso queste callback è possibile eseguire codice senza invocarlo apertamente, consentendo di svicolare attraverso alcuni sistemi di protezione.
In maggio abbiamo visto un utilizzo smodato (come sempre, una tecnica efficace viene rapidamente copiata da altri attori) delle macro-formule di Office. Si tratta di una vecchissima funzionalità che precede l’introduzione del VBA e di cui quasi nessuno si ricordava più. Un po’ come era successo un paio di anni prima con il DDE.
In termini di nuove modalità di attacco degne di menzione, questo è tutto. Si conferma la tendenza prevalente ad affinare le tecniche di attacco e ad aggirare i sistemi di protezione ricorrendo al polimorfismo e ad un grande numero di nuove varianti.
Attacchi attraverso link
È più facile riuscire a consegnare una mail con un link piuttosto che una mail con allegato un malware, questo è il motivo per cui molti attacchi vengono condotti in questo modo.
I link spesso puntano a siti legittimi che sono stati appena compromessi e che quindi hanno una buona reputazione.
Qual è la percentuale di email che contiene almeno un link? Questo grafico mostra questo valore nel corso del 2020.
Percentuale di email contenenti almeno un link
Naturalmente tutte le mail che contengono un link ad un sito noto come pericoloso vengono intercettate e bloccate ma, come detto prima, in molti casi si tratta di un link ad un sito legittimo appena compromesso o comunque di un sito non ancora noto come pericoloso.
Questo è il motivo per cui è importante che i link vengano verificati anche al momento del click, con un sistema di sandboxing dei link che, visitando prima dell’utente la pagina, blocchi la visita in caso di pericolo.
Quanti sono i link che vengono intercettati da questa ultima rete di protezione? Ce lo dice il grafico che segue.
Percentuale di clic intercettati da UrlSand
Come vediamo si tratta di numeri piccoli, il picco non arriva allo 0,9%. Se in percentuale il valore sembra piccolo, parliamo comunque di diversi milioni di click ciascuno dei quali avrebbe potuto portare ad una compromissione.
Dove sono localizzati i siti a cui puntano questi link malevoli? La seguente mappa ci indica la distribuzione.
Distribuzione geografica siti di malware
Questa è di fatto la distribuzione dei siti che vengono utilizzati per la distribuzione di malware e phishing indirizzati verso utenti italiani.
Conclusioni
Ad oggi le mail malevole sono divenute praticamente indistinguibili dal punto di vista tecnico dalle mail legittime.
È ampiamente diffuso l’abuso di account di posta legittimi (o di servizi commerciali di invio massivo di messaggi di marketing) per l’invio di malware e phishing. Questo rende le mail malevole tecnicamente identiche a quelle legittime. La differenza la fa il contenuto.
D’altro canto intercettare una mail malevola in base alle sue caratteristiche tecniche è più facile che farlo in base al suo contenuto. Estrapolare concetti come “attrarre l’attenzione”, “spacciarsi per una fonte autorevole”, “fare leva sull’emotività o sull’impulsività” è una sfida tecnica assai più complessa rispetto al basarsi su elementi tecnici ben più definiti. Questo rende l’email security una disciplina che diviene sempre più specialistica e complessa.
Intelligenza artificiale e machine learning sono concetti generici, tutt’altro che nuovi. Sono in uso da decenni in questo settore ma hanno visto una grande evoluzione negli ultimi anni proprio per via di questa tendenza che il settore della email security ha preso: una progressiva riduzione dei “segnali” di ordine tecnico utili a discriminare traffico legittimo da traffico non legittimo e una conseguente crescente rilevanza di “segnali” legati al contenuto.
L’ultima evoluzione riguarda un particolare aspetto del machine learning che è legato alla mappatura delle relazioni tra corrispondenti di posta elettronica. Con l’obiettivo di ricostruire qualcosa di più simile possibile al concetto di “fiducia” che nelle conversazioni mediate va perso.
In una conversazione in presenza il volto, il tono della voce, la gestualità veicolano una mole di informazioni enorme. È principalmente su queste informazioni, oltre che sulla storia della relazione, che inconsciamente stabiliamo il livello di fiducia nell’interlocutore.
Come ricostruire qualcosa di simile al concetto di fiducia in una comunicazione elettronica mediata come quella attraverso la posta elettronica?
Tenendo traccia dello storia e dei pattern di comunicazione tra individui un algoritmo può cercare di stimare l’affinità tra due interlocutori stimando il livello di fiducia. L’analisi dei pattern di comunicazione consente anche di rilevare anomalie e identificare abusi (ad esempio un account takeover) o tentativi di spoofing.
Questa è la prossima frontiera della email security che i vari vendor declineranno, come sempre, ciascuno a modo suo con nomi diversi (“Adaptive Trust Engine” nel caso di Libraesva) e con risultati più o meno efficaci perché non è lo strumento in sé ma il modo in cui lo si utilizza a determinarne l’efficacia.
Secondo quanto emerso da un nuovo report di Kaspersky, i principali attacchi APT nei primi tre mesi dell’anno in corso hanno riguardato le supply chain e lo sfruttamento degli exploit zero day.
Gli incidenti più noti sono stati la compromissione del software Orion IT di SolarWinds per il monitoraggio delle infrastrutture IT, che ha portato all’installazione di una backdoor personalizzata su più di 18.000 reti di aziende clienti, e la vulnerabilità in Microsoft Exchange Server che ha prodotto nuove campagne di attacco in Europa, Russia e Stati Uniti.
Gli attori delle minacce avanzate cambiano continuamente le loro tattiche, perfezionano i loro strumenti e lanciano costantemente nuovi attacchi. Per informare gli utenti e le organizzazioni delle minacce che devono affrontare, il Global Research and Analysis Team di Kaspersky (GReAT) pubblica alcuni report trimestrali sugli sviluppi più importanti nel panorama delle minacce persistenti avanzate.
Lo scorso trimestre, i ricercatori del GReAT hanno condotto delle indagini su due importanti attività malevole.
La prima attività presa in esame è stata quella relativa a SolarWinds e alla compromissione del suo software Orion IT utilizzato per la gestione e il monitoraggio delle reti. Questa compromissione ha permesso agli attaccanti di installare una backdoor personalizzata, nota come Sunburst, sulle reti di oltre 18.000 clienti, tra cui grandi aziende ed enti governativi in Nord America, Europa, Medio Oriente e Asia.
Dopo un’attenta analisi della backdoor, i ricercatori di Kaspersky hanno riscontrato delle somiglianze con la backdoor già nota come Kazuar, individuata per la prima volta nel 2017 e inizialmente attribuita al famigerato gruppo APT Turla. Le somiglianze osservate suggeriscono che gli autori di Kazuar e Sunburst possano essere in qualche modo collegati.
La seconda serie di attacchi analizzata dai ricercatori del GReAT è stata condotta sfruttando degli exploit zero day in Microsoft Exchange Server, per i quali in seguito sono state rese disponibili delle patch.
All’inizio di marzo, un nuovo attore APT noto come HAFNIUM ha approfittato di questi exploit per lanciare una serie di “attacchi limitati e mirati”. Durante la prima settimana di marzo sono stati colpiticirca 1.400 server unici, prevalentemente localizzati in Europa e negli Stati Uniti.
Considerato che alcuni server sono stati presi di mira più volte, è plausibile che più gruppi stiano utilizzando le vulnerabilità. Infatti, a metà marzo, i ricercatori di Kaspersky hanno individuato un’altra campagna che utilizzava questi stessi exploit e aveva come obiettivo la Russia.
Questa campagna ha mostrato alcuni legami con HAFNIUM, così come con gruppi di attività precedentemente noti su cui Kaspersky sta indagando.
Anche il famigerato gruppoAPT Lazarus ha sfruttato un exploit zero-day per condurre un nuovo cluster di attività. In questo caso, il gruppo ha usato tecniche di ingegneria sociale per convincere i ricercatori di sicurezza a scaricare un file di progetto Visual Studio compromesso o per attirare le vittime sul loro blog con l’obiettivo poi di installare un exploit in Chrome.
Gli zero-days venivano usati come esche e l’attacco serviva a rubare le informazioni raccolte sulle vulnerabilità. La prima serie di attacchi si è verificata a gennaio mentre la seconda, avvenuta a marzo, è stata combinata alla creazione di profili fake sui social media e alla creazione di una società fittizia per ingannare le vittime prese di mira.
A un esame più attento, i ricercatori di Kaspersky hanno notato che il malware utilizzato nella campagna corrispondeva a ThreatNeedle, una backdoor sviluppata da Lazarus e recentemente impiegata in attacchi contro l’industria della difesa a metà del 2020.
Un’altra interessante campagna di exploit zero-day analizzata nel report, denominata TurtlePower e presumibilmente collegata al gruppoBitterAPT, ha preso di mira enti governativi e organizzazioni nel settore delle telecomunicazioni in Pakistan e Cina.
La vulnerabilità, ora patchata, sembra essere collegata a “Moses”, un broker che ha sviluppato almeno cinque exploit negli ultimi due anni, alcuni dei quali sono stati utilizzati sia da BitterAPT che da DarkHotel.
Come sottolineato in una nota ufficiale da Ariel Jungheit, senior security del GReAT di Kaspersky: «Il report sulle APT nel primo trimestre del 2021 ha dimostrato quanto possano essere distruttivi gli attacchi alla supply chain. Probabilmente, ci vorranno ancora diversi mesi per comprendere appieno la portata dell’attacco di SolarWinds. La buona notizia è che l’intera community di sicurezza si sta interessando a questo tipo di attacchi e sta cercando un modo per contrastarli. Questi primi tre mesi del 2021 hanno anche ricordato l’importanza di aggiornare i dispositivi con le patch non appena vengono rilasciate. Data la loro efficacia, i gruppi APT continueranno a sfruttare gli exploit zero-day per colpire le loro vittime, e come dimostrato dalla recente campagna di Lazarus lo faranno anche in modo creativo».
Il report sulle tendenze APT del Q1 riassume i risultati dei report di threat intelligence riservati agli abbonati ai servizi di Kaspersky, che includono anche i dati degli Indicatori di Compromissione (IOC) e le regole YARA per la ricerca forense e il malware hunting.
Per proteggere un’azienda dalle minacce persistenti avanzate, gli esperti di Kaspersky raccomandano di:
Installate le patch per le nuove vulnerabilità non appena disponibili, per non permettere agli attaccanti di sfruttarle.
Eseguire regolarmente un audit di sicurezza dell’infrastruttura IT dell’organizzazione per individuare falle e sistemi vulnerabili.
Adottare una soluzione di protezione degli endpoint dotata di funzionalità di gestione delle vulnerabilità e delle patch, in grado di semplificare notevolmente il compito dei responsabili della sicurezza IT.
Installare soluzioni anti-APT ed EDR, abilitando le funzionalità per la scoperta e il rilevamento delle minacce, l’indagine e la remediation tempestiva degli incidenti. Fornire al team SOC l’accesso alla threat intelligence più aggiornata e offrire regolarmente formazione professionale.
