La Cybersecurity and Infrastructure Security Agency (CISA) del Department of Homeland Security (DHS) ha divulgato, lo scorso 1° ottobre, alcune informazioni riguardo alla famiglia di malware SlothfulMedia, attribuendola a un sofisticato threat actor. Kaspersky aveva già indagato su questa serie di attività dal giugno 2018, soprannominando il responsabile IAmTheKing. Sulla base della sua attività, i ricercatori hanno stabilito che il gruppo potrebbe essere supportato da un governo e avere come obiettivo primario quello di raccogliere informazioni da soggetti di alto profilo, principalmente in Russia.
Le informazioni su questa serie di attività sono state rese note solo di recente, ma IAmTheKing è operativo da diversi anni. L’autore possiede un toolset in continua evoluzione e ha un’ottima conoscenza delle metodologie tradizionali di penetration testing e di Powershell, uno strumento di task automation e di gestione della configurazione.
Negli ultimi due anni, i ricercatori di Kaspersky hanno individuato tre famiglie di malware sviluppate dallo stesso threat actor, che hanno rinominato KingOfHearts, QueenOfHearts e QueenOfClubs. Il DHS CISA ha invece definito questa famiglia con il nome di SlothfulMedia. Tutte e tre le famiglie di malware sono backdoor, ovvero programmi che forniscono accesso remoto al dispositivo infetto. Il set di strumenti utilizzati dal threat actor comprende inoltre anche un vasto arsenale di script Powershell, un dropper JackOfHearts e una utility di screenshot.
Avvalendosi prevalentemente di tecniche di spear phishing, gli attaccanti hanno infettato i dispositivi delle vittime utilizzando dei malware e hanno poi sfruttato noti programmi per i test di sicurezza per compromettere altre unità del network.
Fino a poco tempo fa, IAmTheKing si era focalizzato unicamente sulla raccolta di informazioni che riguardavano soggetti russi di alto profilo. Tra le vittime del threat actor figuravano enti governativi e industrie della difesa, agenzie pubbliche per lo sviluppo, università e aziende del settore energetico. Tuttavia, nel 2020, Kaspersky ha rivelato rari casi di incidenti legati ad IAmTheKing nei Paesi dell’Asia centrale e dell’Europa dell’Est. Il CISA del DHS ha anche segnalato attività in Ucraina e in Malesia. Rimane ancora da verificare se il cambiamento delle aree colpite indichi che l’autore stia modificando la sua strategia o che il suo toolset venga ora utilizzato da altri attori.
“IAmTheKing è operativo già da diversi anni e svolge un’attività molto peculiare, mentre il suo toolset, seppure piuttosto sviluppato, non può essere considerato un prodotto tecnicamente eccellente. In seguito all’annuncio ufficiale relativo a questa minaccia, sempre più organizzazioni ne esamineranno ora il toolset. Pertanto, per favorire la cooperazione tra le community e aiutare altri specialisti della sicurezza informatica a sviluppare delle soluzioni di difesa contro questo threat actor, abbiamo voluto mettere a disposizione i dati che abbiamo raccolto finora. Tuttavia, ora che le informazioni su IAmTheKing sono di dominio pubblico, questo threat actor potrebbe tentare di adeguarsi aggiornando ulteriormente il suo toolset. Continueremo a indagare su questo threat actor e a condividere le informazioni sulla sua attività con i nostri utenti”, ha commentato Ivan Kwiatkowski, senior security researcher del Global Research and Analysis Team di Kaspersky.
Maggiori informazioni sul toolset utilizzato da IAmTheKing sono disponibili su Securelist.
Per difendersi dalle minacce come il malware IAmTheKing, gli esperti di Kaspersky raccomandano di:
- Individuare le minacce utilizzando le regole YARA. Maggiori informazioni sul threat hunting con YARA sono disponibili sull’online training di Kaspersky.
- Fornire al team SOC (Security Operation Center) l’accesso alla threat intelligence (TI) più aggiornata. linkKaspersky Threat Intelligence Portal è un unico punto di accesso per la TI dell’azienda, e fornisce dati sugli attacchi informatici e molte informazioni raccolte da Kaspersky in 20 anni di esperienza sul campo.
- Implementare soluzioni EDR, come Kaspersky Endpoint Detection and Response, per il rilevamento a livello di endpoint, l’indagine e il tempestivo ripristino dagli incidenti. La soluzione è in grado di rilevare gli attacchi che sfruttano software legittimo.
- Implementare una soluzione di sicurezza a livello aziendale come Kaspersky Anti Targeted Attack Platform, oltre a una protezione indispensabile degli endpoint per rilevare tempestivamente le minacce avanzate a livello di rete.
