- Kaspersky
ha scoperto SandStrike, una nuova campagna che prende di mira una minoranza
religiosa di lingua persiana distribuendo un’applicazione VPN contenente uno
spyware altamente sofisticato.
- Gli
attaccanti hanno creato account Facebook e Instagram con più di 1.000 follower
e hanno progettato contenuti grafici a tema religioso, creando una trappola
efficace.
- Il client VPN contiene uno spyware operativo, con funzionalità
che consentono di raccogliere e rubare dati sensibili, compresi i registri
delle chiamate e gli elenchi dei contatti, nonché di tracciare qualsiasi altra attività
svolta dagli utenti colpiti.
Nel terzo trimestre
del 2022, i ricercatori di Kaspersky hanno scoperto una nuova campagna di
spionaggio Android, SandStrike, che prende di mira i Baháʼí, una minoranza
religiosa di lingua persiana, distribuendo un’applicazione VPN contenente uno
spyware altamente sofisticato. Gli esperti di Kaspersky hanno anche rilevato
un aggiornamento avanzato del cluster DeathNote e, insieme a SentinelOne, hanno
indagato su Metatron, un malware mai visto prima. Queste e altre scoperte sono
state rivelate nell’ultimo report trimestrale di Kaspersky sulle minacce.
Per convincere
le vittime a scaricare gli spyware, i criminali informatici hanno creato
account Facebook e Instagram con più di 1.000 follower e hanno realizzato contenuti
grafici a tema religioso, creando una trappola efficace. La maggior parte di
questi account sui social media contiene un link a un canale Telegram, creato
dall’attaccante.
In
questo canale, gli autori di SandStrike hanno
distribuito un’applicazione VPN apparentemente innocua per accedere a siti
vietati in alcune regioni, ad esempio contenuti religiosi. Inoltre, per rendere
questa applicazione totalmente funzionante, gli attaccanti hanno anche realizzato
una propria infrastruttura VPN.
Tuttavia, il client VPN contiene uno spyware operativo
con funzionalità che consentono di raccogliere e rubare dati sensibili,
compresi i registri delle chiamate e gli elenchi dei contatti, nonché di
tracciare qualsiasi altra attività svolta dagli utenti colpiti.
Durante
il terzo trimestre del 2022, gli autori delle APT hanno cambiato continuamente le
proprie tattiche, migliorando gli strumenti e sviluppando nuove tecniche. Tra i
risultati più significativi:
- Una nuova e sofisticata
piattaforma malware che prende di mira aziende di telecomunicazioni, ISP e
università
In collaborazione con SentinelOne, i
ricercatori di Kaspersky hanno analizzato Metatron,una piattaforma malware
sofisticata mai vista prima, che prende di mira principalmente le aziende di
telecomunicazioni, gli Internet service provider e le università dei Paesi del
Medio Oriente e dell’Africa. Metatron è progettato per aggirare le soluzioni di
sicurezza locali e distribuire le piattaforme malware direttamente nella
memoria.
- Aggiornamento
di strumenti avanzati e sofisticati
Gli esperti di Kaspersky hanno osservato Lazarus utilizzare il cluster
DeathNote contro gli utenti della Corea del Sud. È possibile che l’attore abbia
utilizzato una compromissione strategica del Web, impiegando una catena di
infezione simile a quella che i ricercatori di Kaspersky hanno precedentemente
riportato, attaccando un programma di sicurezza endpoint. Tuttavia, gli esperti
hanno scoperto, che anche il malware e gli schemi di infezione sono stati
aggiornati. Il responsabile ha utilizzato un malware mai visto prima, con
funzionalità limitate per eseguire comandi dal server C2. Grazie a questa
backdoor, l’operatore si è nascosto per un mese nel sistema della vittima,
raccogliendo informazioni.
- Lo spionaggio
informatico continua a essere uno degli obiettivi principali delle campagne APT
Nel terzo trimestre del 2022, i ricercatori Kaspersky hanno rilevato numerose
campagne APT, il cui obiettivo principale è rappresentato dalle pubbliche
amministrazioni. Le indagini condotte recentemente da Kaspersky mostrano che
quest’anno, a partire da febbraio, HotCousin ha tentato di compromettere i
ministeri degli affari esteri in Europa, Asia, Africa e Sud America.
“Come si
può osservare dall’analisi degli ultimi tre mesi, gli attori APT si stanno impegnando
a creare nuovi strumenti di attacco e a migliorare quelli vecchi per lanciare
nuove campagne malevole. Nei loro attacchi, utilizzano metodi astuti e
inaspettati: SandStrike, che attacca gli utenti attraverso il servizio VPN, nel
quale le vittime cercavano di trovare protezione e sicurezza, è un esempio
perfetto. Oggi è facile distribuire malware attraverso i social network e rimanere
inosservati per diversi mesi o anche di più. Per questo è importante essere
sempre prudenti, assicurarsi di essere informati sulle minacce e di avere gli
strumenti giusti per proteggersi da quelle esistenti ed emergenti”, ha commentato Victor Chebyshev, Lead Security Researcher del Global
Research and Analysis Team (GReAT) di Kaspersky.
È possibile consultare il report completo
sulle tendenze APT per il terzo trimestre del 2022 su Securelist.com
Per proteggersi da attacchi mirati da parte di attori noti o sconosciuti,
Kaspersky consiglia di:
- Fornire al team SOC l’accesso alle informazioni più recenti sulle
minacce (Threat Intelligence, TI). Kaspersky Threat Intelligence Portal è
un unico punto di accesso per le informazioni sulle minacce dell’azienda,
che fornisce dati e approfondimenti sui cyberattacchi raccolti da
Kaspersky negli ultimi 20 anni. Per aiutare le aziende a creare difese
efficaci in questi tempi difficili, Kaspersky ha annunciato l’accesso
gratuito a informazioni indipendenti, continuamente aggiornate e di
provenienza globale sui cyberattacchi e le minacce in corso. È possibile
richiedere l’accesso online al seguente link.
- Aggiornare il team di cybersecurity con la formazione online di Kaspersky
sviluppata dagli esperti GReAT, per consentirgli di affrontare le più
recenti minacce mirate.
- Utilizzare una soluzione EDR di livello aziendale come Kaspersky EDR Expert. È essenziale rilevare le minacce tra la moltitudine di avvisi
sparsi grazie alla funzione automatica di raggruppamento degli alert in
incidenti, nonché analizzare e rispondere a questi eventi nel modo più
efficace.
- Oltre ad applicare una protezione efficace per gli endpoint, è
necessario implementare una soluzione di sicurezza di livello aziendale al
fine di rilevare precocemente le minacce avanzate a livello di rete, come Kaspersky Anti Targeted Attack Platform.
- Poiché molti attacchi mirati iniziano con tecniche di social
engineering, come il phishing, è importante prevedere sessioni di formazione
sulla security awareness e fornire competenze pratiche al team,
utilizzando strumenti come Kaspersky Automated Security Awareness Platform.