Gaza Cybergang e la campagna SneakyPastes

10 Apr 2019

Durante il Security Analyst Summit (SAS), l’importante conferenza che Kaspersky Lab organizza ogni anno, si parla spesso di attacchi APT. Proprio durante questi eventi annuali in passato abbiamo dato maggiori dettagli su attacchi ormai di fama mondiale quali Slingshot, Carbanak e Careto. Gli attacchi mirati sono più presenti che mai e, per questo motivo, non potevano mancare neanche alla conferenza di quest’anno. Al SAS 2019 di Singapore abbiamo parlato di un gruppo criminale APT che si chiama Gaza Cybergang.

Un arsenale variegato

Gaza Cybergang è specializzato in cyberspionaggio, e le sue campagne si concentrano soprattutto in Medio Oriente e paesi dell’Asia centrale. Gli obiettivi sono soprattutto politici, diplomatici, giornalisti, attivisti e cittadini politicamente attivi nella regione.

Per quanto riguarda il numero di attacchi, da gennaio 2018 a gennaio 2019 abbiamo registrato molti obiettivi nei territori palestinesi. Seguono pochi tentativi di infezione in Giordania, Israele e Libano. In questi attacchi, il gruppo utilizza metodi e tool più o meno complessi.

I nostri esperti hanno identificato tre sottogruppi all’interno di questa cybergang e già abbiamo parlato di due di essi. Uno ha creato la campagna Desert Falcons, l’altro è l’artefice di attacchi su misura conosciuti come Operation Parliament.

Oggi parleremo del terzo sottogruppo, che chiameremo MoleRATs. Il gruppo ha tool relativamente semplici, ma non vuol dire che la sua campagna SneakyPastes (chiamata così per l’uso assiduo da parte dei cybercriminali di pastebin.com) sia meno pericolosa.

SneakyPastes

Si tratta di una campagna multifase. Si parte con e-mail di phishing provenienti da indirizzi e domini usa e getta; a volte i messaggi contengono link a malware o ad allegati infetti. Se la vittima apre il file allegato (o clicca sul link), il dispositivo scarica il malware Stage One, programmato per attivare un’infezione a catena.

Le e-mail, create per far abbassare la guardia dei suoi lettori, parlano soprattutto di politica, di negoziati politici o di organizzazioni credibili.

Nel momento in cui il malware Stage One si trova al sicuro sul computer, cerca una posizione stabile, prova a passare inosservato agli occhi dei prodotti antivirus e nasconde il server di comando.

I cybercriminali utilizzano servizi pubblici (come pastebin.com, github.com, mailimg.com, upload.cat, dev-point.com o pomf.cat) per portare a compimento le fasi successive dell’attacco (compreso l’invio di malware) e, soprattutto, per le comunicazioni con il server di comando. Di solito, vengono utilizzati vari metodi contemporaneamente per inviare le informazioni ottenute.

Infine, il dispositivo viene infettato con il malware RAT, che ha potenti funzionalità come scaricare e caricare file liberamente, aprire applicazioni, cercare documenti e cifrare informazioni.

Il malware analizza il computer della vittima per localizzare tutti i file PDF, DOC, DOCX e XLSX, salvarli in cartelle temporanee, classificarli, archiviarli e cifrarli, per poi inviarli a un server di comando mediante una catena di domini.

Per questo tipo di attacchi abbiamo individuato diversi tool; per maggiori informazioni e dettagli tecnici, potete leggere il post su Securelist (in lingua inglese).

Protezione integrata contro le minacce integrate

I nostri prodotti sono stati creati per contrastare con successo i componenti utilizzati nella campagna SneakyPastes. Per evitare di esserne vittima, seguite questi nostri consigli:

  • Insegnate ai vostri dipendenti a riconoscere le e-mail pericolose, sia rivolte a obiettivi in concreto, sia invii di massa. Gli attacchi di Gaza Cybergang partono proprio con il phishing. La nostra piattaforma interattiva Kaspersky ASAP non solo fornisce questo tipo di informazioni ma aiuta il personale ad acquisire queste capacità tanto importanti;
  • Utilizzate soluzioni integrate create per affrontare attacchi complessi e multifase, che un prodotto antivirus di base potrebbe avere difficoltà a gestire. Per resistere agli attacchi alla rete, vi consigliamo l’accoppiata Kaspersky Anti Targeted Attack e Kaspersky Endpoint Detection and Response;
  • Se la vostra azienda utilizza un servizio specifico per la sicurezza delle informazioni, vi consigliamo di iscrivervi al servizio di Kaspersky Lab per ricevere report dettagliati sulle ultime cyberminacce. Per acquistare l’abbonamento, potete scrivere a intelreports@kaspersky.com.