APT
Gli esperti del Kaspersky Global Research and Analysis Team (GReAT) hanno parlato al Security Analyst Summit 2025 delle attività del gruppo BlueNoroff APT, a nostro avviso essere un sottogruppo di Lazarus. In particolare, hanno descritto in dettaglio due campagne rivolte a sviluppatori e dirigenti del settore delle criptovalute: GhostCall e GhostHire.
Gli attori di BlueNoroff sono principalmente interessati al guadagno finanziario e attualmente preferiscono attaccare i dipendenti delle organizzazioni che lavorano con la blockchain. Gli obiettivi sono scelti con cura: gli autori degli attacchi chiaramente si preparano a fondo per ogni attacco. Le campagne GhostCall e GhostHire sono molto diverse tra loro, ma dipendono da un’infrastruttura di gestione comune, motivo per cui i nostri esperti le hanno combinate in un unico rapporto.
La campagna GhostCall
La campagna GhostCall è destinata principalmente ai dirigenti di varie organizzazioni. Gli autori degli attacchi tentano di infettare i propri computer con malware progettato per rubare criptovaluta, credenziali e segreti con cui le vittime potrebbero lavorare. La piattaforma principale a cui sono interessati gli operatori GhostCall è macOS, probabilmente perché i dispositivi Apple sono particolarmente apprezzati dai dirigenti delle aziende moderne.
Gli attacchi GhostCall iniziano con tecniche di social engineering piuttosto sofisticate: gli autori degli attacchi fingono di essere investitori (a volte utilizzando account rubati di veri imprenditori e persino frammenti di videochiamate vere con loro) e cercano di organizzare un incontro per discutere di partnership o investimenti. L’obiettivo è attirare la vittima in un sito Web che imita Microsoft Teams o Zoom. Lì ad attenderli c’è una trappola standard: il sito Web visualizza una notifica della necessità di aggiornare il client o correggere qualche problema tecnico. A tale scopo, alla vittima viene chiesto di scaricare ed eseguire un file, che provoca un’infezione del computer.
I dettagli sulle varie catene di infezione (ce ne sono almeno sette in questa campagna, quattro delle quali non sono mai state rilevate dai nostri esperti), insieme agli indicatori di compromissione, sono disponibili nel post del blog sul sito Web di Securelist.
La campagna GhostHire
GhostHire è una campagna rivolta agli sviluppatori che lavorano con la blockchain. L’obiettivo finale è lo stesso, infettare i computer con il malware, ma la manovra è diversa. In questo caso, gli autori degli attacchi attirano le vittime con offerte di lavoro a condizioni favorevoli. Durante le negoziazioni, forniscono allo sviluppatore l’indirizzo di un bot Telegram, che fornisce alla vittima un collegamento a GitHub con un’attività di test o si offre di scaricarlo in un archivio. Per evitare che lo sviluppatore abbia il tempo di pensarci su, l’attività ha una scadenza abbastanza ravvicinata. Durante l’esecuzione del test, il computer della vittima viene infettato da un malware.
Gli strumenti utilizzati dagli utenti malintenzionati nella campagna GhostHire e i relativi indicatori di compromissione sono disponibili anche nel post sul blog di Securelist.
Come proteggersi dagli attacchi GhostCall e GhostHire?
Sebbene GhostCall e GhostHire prendano di mira sviluppatori e dirigenti aziendali specifici, gli autori degli attacchi sono interessati principalmente all’infrastruttura funzionante. Pertanto, il compito di proteggere da questi attacchi ricade sulle spalle degli specialisti della sicurezza IT aziendali. È pertanto consigliabile:
Sensibilizzare periodicamente tutti i dipendenti dell’azienda in merito ai trucchi utilizzati dai moderni autori degli attacchi. La formazione dovrebbe tenere conto della natura del lavoro di specialisti specifici, inclusi sviluppatori e manager. Tale formazione può essere organizzata utilizzando una piattaforma online specializzata, ad esempio Kaspersky Automated Security Awareness Platform.
Utilizzare moderne soluzioni di sicurezza su tutti i dispositivi aziendali utilizzati dai dipendenti per comunicare con il mondo esterno.
Consigli