I ricercatori di Kaspersky hanno scoperto il threat actor GhostEmperior di lingua cinese che utilizza un rootkit Windows in modalità kernel finora sconosciuto.

threat actor

I threat actor APT sono costantemente alla ricerca di modi nuovi e più sofisticati per eseguire i loro attacchi. Proprio per questo motivo i ricercatori di Kaspersky monitorano costantemente le attività dei gruppi APT e i cambiamenti apportati all’interno dei loro toolkit. Secondo quanto emerso dal report di Kaspersky, nel secondo trimestre del 2021, sono aumentati gli attacchi contro i server Microsoft Exchange. Nell’ultimo report APT 2021, Kaspersky svela i dettagli del threat actor “GhostEmperor”, un’operazione unica che dura da diverso tempo e che utilizza le vulnerabilità di Microsoft Exchange per prendere di mira vittime di alto profilo tramite strumenti avanzati. L’operazione non dimostra affinità con altri threat actor noti.

Il threat actor GhostEmperor di lingua cinese scoperto dai ricercatori di Kaspersky, si concentra principalmente su obiettivi nel sud-est asiatico, tra cui enti governativi e società di telecomunicazioni.

Questo gruppo criminale si distingue perché utilizza un rootkit Windows in modalità kernel finora sconosciuto. I rootkit forniscono l’accesso al controllo remoto dei server presi di mira. Agendo in incognito, i rootkit sono noti per sfuggire ai controlli e alle soluzioni di sicurezza. Per aggirare il meccanismo di Windows Driver Signature Enforcement, il threat actor GhostEmperor utilizza uno schema di caricamento che coinvolge il componente di un progetto open-source denominato “Cheat Engine”. Questo set di strumenti avanzati si è rivelato unico, infatti, i ricercatori di Kaspersky non hanno trovato alcuna affinità con altri threat actor noti. Inoltre, gli esperti hanno ipotizzato che il set di strumenti sia in uso almeno da luglio 2020.

Man mano che le tecniche di rilevamento e protezione dalle minacce si evolvono, lo fanno anche gli attori APT, in genere aggiornando i loro toolset. Il threat actor GhostEmperor è un chiaro esempio di come i criminali informatici cerchino nuove tecniche da utilizzare e nuove vulnerabilità da sfruttare. Utilizzando un rootkit sofisticato e precedentemente sconosciuto, hanno aggiunto ulteriori problemi alla già consolidata tendenza degli attacchi contro i server Microsoft Exchange“, ha commentato David Emm, security expert di Kaspersky.

Oltre alla crescita degli attacchi contro i server Microsoft Exchange, gli esperti di Kaspersky evidenziano anche le seguenti tendenze nel panorama APT rilevate nel secondo trimestre:

  • È stato rilevato un aumento dei threat actor APT che sfruttano gli exploit per ottenere un punto d’appoggio iniziale nelle reti attaccate, inclusi gli zero-day sviluppati dallo sviluppatore di exploit “Moses” e quelli utilizzati negli attacchi PuzzleMaker, Pulse Secure e nelle vulnerabilità del server Microsoft Exchange.
  • I threat actor APT investono costantemente per aggiornare i loro toolkit: questo include non solo nuove piattaforme ma anche l’uso di linguaggi aggiuntivi, come dimostrato dal malware Python WildPressure supportato da macOS.
  • Oltre ad alcuni attacchi mirati alla supply-chain che hanno attirato l’attenzione a livello mondiale, gli esperti di Kaspersky hanno osservato attacchi low-tech di uguale successo come BountyGlad, CoughingDown e l’attacco contro Codecov, che ha evidenziato come le campagne low-key rappresentino ancora una minaccia significativa alla sicurezza.

Per saperne di più sul threat actor GhostEmperor e le altre scoperte significative del trimestre, è possibile consultare il report sulle tendenze APT del secondo trimestre del 2021 su Securelist. Il documento riassume le scoperte dei report di threat intelligence che includono anche i dati degli Indicatori di Compromissione (IoC) e le regole YARA per assistere nelle indagini forensi e nella caccia ai malware.

Per evitare di cadere vittima di un attacco mirato da parte di un threat actor noto o sconosciuto, i ricercatori di Kaspersky raccomandano di implementare le seguenti misure:

  • Fornire al proprio team SOC l’accesso alla più recente threat intelligence (TI). Il Kaspersky Threat Intelligence Portal, per esempio, è un unico punto di accesso per la TI dell’azienda, che fornisce dati sugli attacchi informatici e approfondimenti raccolti da Kaspersky.
  • Migliorare le competenze del proprio team di sicurezza informatica per affrontare le minacce mirate più recenti, possibile con la formazione online di Kaspersky sviluppata dagli esperti del GReAT team.
  • Per il rilevamento, l’indagine e la risoluzione tempestiva degli incidenti a livello endpoint, implementare soluzioni EDR come Kaspersky Endpoint Detection and Response.
  • Oltre ad adottare una protezione di base per endpoint, implementare una soluzione di sicurezza aziendale che rilevi le minacce avanzate a livello di rete sin dalle fasi iniziali, come Kaspersky Anti Targeted Attack Platform.
  • Poiché molti attacchi mirati iniziano sfruttando il phishing o altre tecniche di ingegneria sociale, è importante formare il proprio team in materia di sicurezza, ad esempio attraverso la piattaforma Kaspersky Automated Security Awareness Platform.