Il malware, diffuso tramite spear phishing, non è stato elaborato da modelli predefiniti ed è in grado di raccogliere per un lungo periodo di tempo informazioni su utente e sistema infettato

DarkUniverse, il framework APT per il cyber spionaggio

Il GReAT di Kaspersky e AMR hanno fatto importanti scoperte a proposito di DarkUniverse, un framework APT interamente progettato per il cyber-espionage, attivo per almeno 8 anni.

I ricercatori di Kaspersky hanno presentato le loro ricerche condotte nel 2018 su DarkUniverse, un “misterioso” framework di una minaccia persistente e avanzata (APT), rimasto attivo per almeno 8 anni, dal 2009 al 2017, e impiegato per condurre attacchi mirati. Sono stati individuati bersagli dell’APT in numerosi Stati del Medio Oriente e dell’Africa, così come in Russia e in Bielorussia. Sembra che il malware, diffuso tramite spear phishing, non sia stato elaborato da modelli predefiniti e che contenga moduli capaci di raccogliere ogni tipo di informazione circa l’utente e il sistema infettato per un lungo periodo di tempo, come:

  • Digitazione su tastiera
  • Conversazioni email
  • Screenshooot
  • File di cartelle specifiche
  • Dati provenienti da server remote e risorse condivise usate dalle vittime

Alexander Fedotov, Malware Analyst di Kaspersky, ha dichiarato: “Il caso DarkUniverse è peculiare, perché i campioni osservati nel 2017 sono totalmente diversi dai campioni originali del 2009: ciò vuol dire che gli attaccanti hanno avuto abbastanza risorse da mantenere il malware aggiornato. Inoltre, la corrispondenza del codice unico ci permette di affermare con ragionevole sicurezza che i creatori di DarkUniverse siano connessi a ItaDuke, che è stato rilevato per la prima volta nel 2013. Questa APT usa gli exploit PDF per rilasciare malware e gli account Twitter per archiviare URL di server di comando e controllo. L’interruzione delle operazioni di DarkUniverse può essere collegata alla pubblicazione del leak “Lost in Translation”, o, semplicemente, gli attaccanti potrebbero aver deciso approcci più moderni, cominciando a usare artefatti più facilmente reperibili per le loro operazioni.”

Maggiori informazioni sono disponibili su Securelist.com.