Nuova scoperta dei ricercatori Kaspersky Lab: il gruppo Muddy Water estende i suoi attacchi a obiettivi governativi anche in Asia, Europa e Africa
I ricercatori di Kaspersky Lab che monitorano l’attività di Muddy Water, un autore evoluto di cyberminacce che, nel 2017, aveva preso inizialmente di mira obiettivi in Iraq e Arabia Saudita, hanno scoperto un’operazione massiva focalizzata su realtà governative, e non solo, in Giordania, Turchia, Azerbaijan, Pakistan e Afghanistan, paesi che vanno ad aggiungersi agli obiettivi iniziali.
I ricercatori di Kaspersky Lab che monitorano l’attività di Muddy Water, un autore evoluto di cyberminacce che, nel 2017, aveva preso inizialmente di mira obiettivi in Iraq e Arabia Saudita, hanno scoperto un’operazione massiva focalizzata su realtà governative, e non solo, in Giordania, Turchia, Azerbaijan, Pakistan e Afghanistan, paesi che vanno ad aggiungersi agli obiettivi iniziali. Il malware viene distribuito attraverso una campagna altamente personalizzata di spear-phishing, usando documenti di lavoro e chiedendo agli utenti di abilitare delle macro incorporate. Gli attacchi sono attualmente in corso.
Muddy Water è un autore di minacce relativamente nuovo, comparso per la prima volta nel 2017 come responsabile di una campagna che aveva come obiettivi alcune realtà governative in Iraq e Arabia Saudita. All’inizio di quest’anno, i ricercatori di Kaspersky Lab hanno rilevato un flusso ininterrotto di email di spear-phishing indirizzate ad un insieme di paesi molto più esteso rispetto a quanto si è visto in precedenza per questo autore di minacce. La campagna ha raggiunto un picco nell’attività a maggio e giugno 2018, ma è ancora in corso.
Il contenuto dei messaggi di spear-phishing indica la presenza di istituzioni governative e militari, di aziende di telecomunicazione e di istituti d’istruzione tra gli obiettivi principali. Le email contengono un file allegato in formato MS Office 97-2003 e l’infezione si attiva non appena l’utente viene convinto ad abilitare le macro.
I ricercatori di Kaspersky Lab hanno analizzato le prime fasi dell’attacco e stanno pubblicando le loro ricerche in modo da aiutare le organizzazioni di tutte le regioni coinvolte perché possano proteggersi. L’indagine sta proseguendo anche sull’arsenale usato dagli attaccanti, con riferimento a PowerShell, Visual Basic Script, Visual Basic Application, script come Python e C#, tool e RAT (Remote Access Trojans).
Una volta che l’infezione è attiva, il malware stabilisce un contatto con i suoi server di comando, selezionando un URL casuale da un elenco incorporato. Dopo aver avviato la scansione alla ricerca di soluzioni di sicurezza, il malware produce una serie di script sul computer della vittima e alla fine un payload PowerShell che stabilisce funzionalità di backdoor di base e capacità distruttive (la possibilità di eliminare i file). Grazie all’uso di file legittimi MS il malware può bypassare qualunque blacklist. Inoltre, il codice PowerShell disabilita le funzionalità di "Macro Warnings" e "Protected View", in modo che eventuali attacchi futuri non richiedano alcuna interazione da parte dell'utente. L'infrastruttura del malware comprende una serie di host compromessi.
Gli obiettivi dell’attacco sono stati individuati in Turchia, Giordania, Azerbaijan, Iraq e Arabia Saudita, ma anche in Mali, Austria, Russia, Iran e Bahrain.
Non si sa per certo chi siano i responsabili dietro l’operazione Muddy Water, ma è chiaro che gli attacchi abbiano una matrice di carattere geopolitico, dal momento che hanno come obiettivi dipendenti e organizzazioni sensibili. Il codice usato negli attacchi in corso ha particolari caratteristiche che sembrano progettate appositamente per distrarre o indurre in errore chi sta investigando sulla minaccia. Tra queste, anche l’impiego della lingua cinese all’interno del codice e l’uso di nomi come Leo, PooPak, Vendetta e Turk all’interno del malware.
“Nel corso dell’ultimo anno, abbiamo visto il gruppo Muddy Water sferrare un gran numero di attacchi e sviluppare continuamente nuovi metodi e tecniche. Il gruppo ha degli sviluppatori molto attivi che migliorano il proprio toolkit per minimizzare l’esposizione a prodotti e servizi di sicurezza. Questo ci fa pensare che questo tipo di attacco possa intensificarsi nel breve periodo. Per questo motivo abbiamo deciso di condividere pubblicamente le nostre prime scoperte - in modo da far aumentare la consapevolezza su questo tipo di minaccia e invitare le organizzazioni ad agire per la propria difesa. Stiamo ancora analizzando l'arsenale degli attaccanti e seguiremo con attenzione i loro progressi, le loro strategie e i loro errori” ha dichiarato Amin Hasbini, Amin Hasbini, Senior Security Researcher del team GReAT di Kaspersky Lab.
Per diminuire il rischio di diventare vittima di operazioni come Muddy Water, Kaspersky Lab consiglia alle organizzazioni di:
- Adottare un approccio di sicurezza globale che comprenda il rilevamento, la prevenzione e la ricerca sugli attacchi mirati, implementando soluzioni avanzate anti-targeted attack e puntando sulla formazione.
- Dare allo staff di sicurezza la possibilità di avere accesso agli ultimi dati sull’intelligence delle minacce; questi metteranno a loro disposizione strumenti utili per la prevenzione e la scoperta di attacchi mirati, come indicatori di compromissione e regole YARA.
- Assicurarsi che i processi di gestione delle patch a livello aziendale siano consolidati.
- Effettuare un doppio controllo su tutte le configurazioni di sistema e mettere in atto delle “best practices”.
- Insegnare allo staff come individuare una email sospetta e cosa fare quando la ricevono.
Per maggiori dettagli sulle prime fasi dell’operazione Muddy Water e sugli indicatori di compromissione, è disponibile un blogpost su Securelist.
Maggiori informazioni sull’arsenale Muddy Water, su ulteriori indicatori di compromissione, sulle regole YARA e su molto altro ancora sono disponibili per gli abbonati al servizio Kaspersky Intelligence Reporting. Contatto: intelreports@kaspersky.com
Informazioni su Kaspersky Lab
Kaspersky Lab è un’azienda di sicurezza informatica a livello globale che opera nel mercato da oltre 20 anni. La profonda intelligence sulle minacce e l’expertise di Kaspersky Lab si trasformano costantemente in soluzioni di sicurezza e servizi di nuova generazione per la protezione di aziende, infrastrutture critiche, enti governativi e utenti privati di tutto il mondo. Il portfolio completo di sicurezza dell’azienda include la miglior protezione degli endpoint e numerosi servizi e soluzioni di sicurezza specializzati per combattere le sofisticate minacce digitali in continua evoluzione. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky Lab e aiutiamo 270.000 clienti aziendali a proteggere ciò che è per loro più importante. Per ulteriori informazioni: www.kaspersky.com/it
Contatti:
https://twitter.com/KasperskyLabIT
http://www.facebook.com/kasperskylabitalia
https://www.linkedin.com/kasperskylabitalia
Contatto di redazione:
Ufficio Stampa Kaspersky Lab
Noesis
Cristina Barelli, Valentina Carabelli e Giulia Grandolfo
kaspersky@noesis.net
02 8310511
Kaspersky Lab Italia
Alessandra Venneri
alessandra.venneri@kaspersky.com
06 58891031 - 3351980618
Nuova scoperta dei ricercatori Kaspersky Lab: il gruppo Muddy Water estende i suoi attacchi a obiettivi governativi anche in Asia, Europa e Africa
Kaspersky
Articolo correlato Comunicati Stampa
Kaspersky al Privacy Tour 2024: protezione dei dati e stop al data-stealing
In occasione del ‘Privacy Tour 2024’, iniziativa promossa dal Garante della Protezione dei Dati Personali, Kaspersky sottolinea l’importanza della sicurezza dei dati sensibili in un panorama delle minacce dove gli attacchi data-stealing sono in forte aumento.Ulteriori informazioni >