Home Portale BitMat Portale Focus On Glupteba: il malware che ruba dati pubblici a organizzazioni governative

Glupteba: il malware che ruba dati pubblici a organizzazioni governative

-

Tempo di lettura: 3 minuti

Un’organizzazione governativa nella regione EMEA, che doveva garantire la protezione di oltre 10.000 dispositivi, si è avvalsa della protezione della Cyber AI di Darktrace, che, in meno di una settimana dall’inizio della prova, ha rilevato un dispositivo infettato da malware beaconing agli endpoint C2 tramite HTTP e SSL e che si apprestava a scaricare un file sospetto. Il caso è di particolare interesse perché gli aggressori stavano utilizzando una variante del malware Glupteba nel tentativo di rubare informazioni sensibili dai browser, come le password o le informazioni sulle carte di credito, oltre alle credenziali dell’account di posta elettronica. Dato che si trattava di un’agenzia governativa, le conseguenze se gli aggressori avessero ottenuto l’accesso alle credenziali degli account dei dipendenti avrebbero potuto essere estremamente gravi.

Come spesso accade, l’attacco è avvenuto rapidamente, in meno di un’ora, di domenica, sfruttando una giornata nella quale la risposta del team di sicurezza, nella maggior parte dei casi, è meno rapido rispetto ai giorni feriali.

L’attacco nel dettaglio

Darktrace ha identificato un dispositivo che stava per avviare connessioni crittografate a un dominio esterno mai visto prima in tutta l’organizzazione. Il dispositivo era stato probabilmente infettato prima dell’implementazione di Darktrace, molto probabilmente tramite un allegato o un collegamento e-mail dannoso.

Le evoluzioni più recenti del malware Glupteba utilizzano anche il malvertising che indirizza l’utente a un endpoint raro e forza il download di un file anomalo.

L’intelligenza artificiale di Darktrace ha rilevato che il dispositivo stava scaricando un file eseguibile, atx777.exe, che sembra essere associato a Taurus stealer, un tool accreditato al gruppo criminale informatico “Predator the Thief”.

Dopo il download di questo file, il dispositivo ha avviato ulteriori connessioni crittografate a endpoint sospetti su canali di comunicazione insoliti. Allo stesso tempo, il dispositivo ha scaricato un altro file eseguibile da un dominio con un agente utente insolito, “CertUtil URL Agent”.

Questo attacco dimostra come gli hacker stiano utilizzando tecniche sempre più sofisticate per superare gli strumenti di protezione tradizionali. Il framework del malware Glupteba, che ha visto una rinascita negli ultimi mesi utilizza, ad esempio, diverse tecniche di evasione, incluso il rilevamento delle sandbox.

Subito dopo l’eliminazione del payload, il malware esamina l’ambiente in cui è stato installato e non eseguirà ulteriori processi se rileva che la macchina host è una sandbox. Il malware è anche in grado di nascondersi ulteriormente escludendo i file Glupteba da Windows Defender, alterando le regole del firewall per consentire il command and control del traffico con una tipologia di attacco definita “Living off the Land”, che sfrutta gli strumenti già presenti in modo nativo nel sistema operativo dei computer e nei dispositivi, come CertUtil, l’unità di Windows per la gestione dei certificati digitali.

Nonostante questi tentativi, la Cyber AI di Darktrace ha rilevato l’attività sospetta, perché esulava dal normale “modello di comportamento” del dispositivo e dell’organizzazione. Darktrace ha identificato l’attività fin dalle prime fasi dell’attacco e il Cyber AI Analyst ha indagato a fondo sull’incidente, rivelando alcune metriche cruciali, come i dettagli sugli endpoint contattati.

Conclusioni

È evidente come chi sviluppa malware come Taurus stealer impieghi tecniche sempre più sofisticate per evitare di essere scoperto; la tecnologia AI di Darktrace è stata in grado non solo di avvisare e agire sull’attività dannosa senza interrompere la continuità aziendale, ma lo ha fatto nonostante il malware fosse già presente su un dispositivo prima che il cliente iniziasse a sfruttare Darktrace per la difesa informatica.

Le organizzazioni pubbliche, al pari delle realtà private, continuano a essere prese di mira con ransomware e altre minacce rapide e furtive, rendendo la necessità di una risposta autonoma più urgente che mai. Questo case study dimostra, infatti, quale sia il potere della risposta autonoma nell’agire in modo intelligente per fermare le minacce informatiche in particolare quando il personale che si occupa della cybersicurezza è ridotto o magari opera da remoto o non è al lavoro.

Glupteba: il malware che ruba dati pubblici a organizzazioni governative
Il rilevamento effettuato dal Cyber AI di Darktrace e il riepilogo del traffico Command & control

A cura di Max Heinemeyer, Director of Threat Hunting di Darktrace

Redazione BitMAThttps://www.bitmat.it/
BitMAT Edizioni è una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.
  • Newsletter

    Iscriviti alla Newsletter per ricevere gli aggiornamenti dai portali di BitMAT Edizioni.

  • I più letti

    Il Gruppo Tinexta

    Il Gruppo Tinexta rileva la divisione IT e R&D di Corvallis

    L’operazione avviata con il Gruppo Tinexta consentirà all'azienda di entrare con autorevolezza nel mercato della cybersecurity
    L'Università Federico II di Napoli sceglie Eaton

    L’Università Federico II di Napoli sceglie Eaton

    L'ateneo ha modernizzato la propria infrastruttura IT con importanti risultati in termini di miglioramento della continuità operativa
    App MyNet per le risorse umane

    MyNet: la App per la gestione delle risorse umane

    Dalla startup friulana MyNet la piattaforma digitale che ottimizza le relazioni, migliora la gestione dei flussi di lavoro e aumenta l’efficienza in azienda. Tra i clienti Biofarma, Roncadin, Acquedotto di Novara, SECH Soutern European Container Hub, ADACI Associazione Italiana Acquisti e Supply Management
    COOKIE-POLICY-1140x500

    Evento online gratuito: guida globale ai cookie. Ascolta gli esperti del settore

    L'appuntamento è per il 21 ottobre dalle 10 alle 12
    Firma Digitale: la chiave per la digitalizzazione documentale

    Firma Digitale: la chiave per la digitalizzazione documentale

    Arrivano a 3,1 miliardi le firme generate nel corso dell’ultimo anno, con una crescita del 55%