{"id":4866,"date":"2020-11-04T07:30:43","date_gmt":"2020-11-04T06:30:43","guid":{"rendered":"https:\/\/www.bitmat.it\/specialesicurezza\/?p=4866"},"modified":"2020-11-03T19:03:21","modified_gmt":"2020-11-03T18:03:21","slug":"gruppi-apt-nuovi-trend-nel-terzo-trimestre","status":"publish","type":"post","link":"https:\/\/www.bitmat.it\/specialesicurezza\/news\/4866\/gruppi-apt-nuovi-trend-nel-terzo-trimestre","title":{"rendered":"Gruppi APT: nuovi trend nel terzo trimestre"},"content":{"rendered":"

L’attivit\u00e0 dei gruppi APT del terzo trimestre 2020 mostra un trend piuttosto singolare: mentre molti threat actor avanzano e continuano a diversificare i loro toolset ricorrendo, a volte, a strumenti estremamente personalizzati e persistenti, altri raggiungono con successo i loro obiettivi impiegando metodi di attacco gi\u00e0 noti e collaudati nel tempo. Questo ed altri trend legati alle attivit\u00e0 dei gruppi APT provenienti da diverse parti del mondo sono trattati nell’ultimo report di trimestrale di Kaspersky sulla threat intelligence.<\/p>\n

Nel terzo trimestre del 2020, i ricercatori di Kaspersky hanno osservato una spaccatura nell’approccio adottato dai threat actor. Sono stati osservati diversi sviluppi nelle tattiche, tecniche e procedure (TTP) dei gruppi APT di tutto il mondo, oltre a campagne efficaci che utilizzano vettori di infezione e set di strumenti piuttosto banali.<\/p>\n

Uno dei risultati pi\u00f9 importanti del trimestre \u00e8 stata una campagna condotta da un threat actor non ancora conosciuto che ha deciso di infettare una delle vittime utilizzando un bootkit personalizzato per l’UEFI, un componente hardware essenziale dei moderni dispositivi informatici. Questo vettore di infezione faceva parte di un framework a pi\u00f9 stadi chiamato MosaicRegressor<\/a>. L’infezione del UEFI ha reso il malware installato sul dispositivo pi\u00f9 persistente ed estremamente difficile da rimuovere. Inoltre, il payload scaricato dal malware sui dispositivi di ciascuna vittima poteva essere diverso. Questo approccio flessibile ha permesso al threat actor di nascondere il suo payload in modo efficace.<\/p>\n

Altri gruppi criminali si avvalgono della steganografia. In the wild \u00e8 stato rilevato, in un attacco rivolto ad una societ\u00e0 di telecomunicazioni europea, un nuovo metodo che abusa del binario Windows Defender firmato Authenticode, un programma integrale e approvato per la soluzione di sicurezza Windows Defender. Una campagna in corso, attribuita a Ke3chang, ha utilizzato una nuova versione della backdoor di Okrum. Questa versione aggiornata di Okrum abusa di un binario di Windows Defender firmato Authenticode attraverso l’impiego di una tecnica di side-loading unica nel suo genere. Gli aggressori hanno utilizzato la steganografia per nascondere il payload principale nell’eseguibile del Defender, mantenendone valida la firma digitale e riducendo cos\u00ec le possibilit\u00e0 di rilevamento.<\/p>\n

Anche molti altri threat actor continuano ad aggiornare i loro toolset per renderli pi\u00f9 flessibili e meno inclini al rilevamento. Diversi framework multistadio, come quello sviluppato dal gruppo APT MuddyWater, continuano ad apparire in the wild. Questo trend vale anche per altri malware come Dtrack RAT (Remote Access Tool), ad esempio, che \u00e8 stato aggiornato con una nuova funzione che consente all’aggressore di eseguire diversi payload.<\/p>\n

Tuttavia, alcuni gruppi criminali utilizzano ancora con successo catene di infezione a bassa tecnologia come ad esempio un gruppo di mercenari che i ricercatori di Kaspersky hanno chiamato DeathStalker<\/a>. Questo gruppo APT si concentra principalmente su studi legali e societ\u00e0 che operano nel settore finanziario, raccogliendo informazioni sensibili e preziose dalle vittime. Grazie all’impiego di tecniche per lo pi\u00f9 identiche dal 2018 e ad una particolare attenzione ai metodi per eludere i sistemi di rilevamento, DeathStalker \u00e8 stato in grado di portare avanti una serie di attacchi di successo.<\/p>\n

“Mentre alcuni threat actor rimangono coerenti nel tempo cercando di sfruttare temi caldi come il COVID-19, per invogliare le vittime a scaricare allegati dannosi, altri gruppi reinventano s\u00e9 stessi e i loro strumenti. Nell\u2019ultimo trimestre abbiamo assistito all’ampliamento della portata delle piattaforme attaccate, ad un continuo lavoro sulle nuove catene di infezione e all’uso di servizi legittimi come parte della loro infrastruttura di attacco. In definitiva, per gli specialisti di sicurezza questo significa che i difensori dovranno investire diverse risorse nella caccia alle attivit\u00e0 malevole in nuovi ambienti legittimi che in passato sono stati poco esaminati. Questo include malware scritti in linguaggi di programmazione meno conosciuti e veicolati attraverso servizi cloud legittimi. Il tracciamento delle attivit\u00e0 degli attori e dei TTP ci permette di seguirli mentre adattano nuove tecniche e strumenti, e quindi di prepararci a reagire in tempo ai nuovi attacchi”<\/i>, ha commentato Ariel Jungheit<\/b>, Senior Security Researcher, Global Research and Analysis Team di Kaspersky.<\/p>\n

\u00c8 disponibile una sintesi delle tendenze APT dell’ultimo trimestre che riassume i risultati dei report di threat intelligence di Kaspersky relativi ai soli abbonati, oltre ad altre fonti che coprono i principali sviluppi di cui il settore aziendale dovrebbe essere a conoscenza. I report di threat intelligence di Kaspersky includono anche i dati sugli Indicatori di Compromissione (IoC), nonch\u00e9 le regole di Yara e Suricata per aiutare gli esperti forensi e supportare la caccia ai malware. Per ulteriori informazioni \u00e8 possibile inviare una mail a questo indirizzo: intelreports@kaspersky.com<\/a>.<\/p>\n

Per evitare di cadere vittima di un attacco mirato da parte di un attore noto o sconosciuto, i ricercatori di Kaspersky raccomandano di mettere in pratica le seguenti misure:<\/p>\n