APT
Al Security Analyst Summit, l’appuntamento annuale dedicato alla sicurezza informatica, gli esperti del Kaspersky Global Research and Analysis Team (GReAT) hanno presentato alcune ricerche estremamente interessanti. Non vi parleremo di ogni ricerca nei minimi dettagli, ma vi illustreremo brevemente le informazioni più rilevanti.
Piattaforma StripedFlyspyware
Si tratta quasi di un romanzo giallo il cui protagonista è un malware rilevato in precedenza come un normale miner di criptovaluta Monero, ma che in realtà si rivela una copertura per un complesso attacco modulare in grado di infettare computer con il sistema operativo sia Windows che Linux. I vari moduli di StripedFly possono rubare informazioni da un computer, scattare screenshot, registrare l’audio da un microfono e intercettare le password Wi-Fi. Tuttavia, non serve solo per spiare: possiede anche moduli che possono fungere da ransomware e per il mining di criptovalute.
Un aspetto interessante è che questa minaccia può diffondersi utilizzando l’exploit EthernalBlue, nonostante sia stato patchato nel 2017. Inoltre, StripedFly può utilizzare chiavi e password rubate per infettare sistemi Linux e Windows con server SSH in esecuzione. Potete trovare uno studio dettagliato con gli indicatori di compromissione sul blog di Securelist.
Operazione Triangulation: tutti i dettagli
Al centro di un altro studio presentato al Security Analyst Summit riguarda il completamento delle indagini sull’operazione Triangulation che, oltre ad altre persone, ha preso di mira i nostri dipendenti. Un’analisi dettagliata dell’attacco ha permesso ai nostri esperti di individuare cinque vulnerabilità presenti nel sistema iOS utilizzato dai creatori di questa minaccia. Quattro di queste vulnerabilità (CVE-2023-32434, CVE-2023-32435, CVE-2023-38606 e CVE-2023-41990) erano vulnerabilità zero-day. Colpivano non solo gli iPhone, ma anche gli iPod, gli iPad, i macOS, le Apple TV e gli Apple Watch. È emerso inoltre che, oltre a infettare i dispositivi tramite iMessage, gli hacker potevano attaccare il browser Safari. In questo post potete trovare maggiori informazioni su come i nostri esperti hanno analizzato questa minaccia.
Nuova campagna Lazarus
Il terzo studio realizzato dagli esperti di GReAT riguardava i nuovi attacchi realizzati dall’APT Lazarus. Questo gruppo sta prendendo di mira i software developer (alcuni dei quali sono stati attaccati più volte) e sta conducendo in modo attivo attacchi alla supply chain.
Attraverso le vulnerabilità presenti nel software legittimo che consente di crittografare le comunicazioni web, Lazarus infetta il sistema e distribuisce un malware SIGNBT, la cui parte principale opera solo a livello di memoria. Serve per studiare le vittime (ottenere le impostazioni di rete, i nomi dei processi e degli utenti) e a lanciare ulteriori payload dannosi. In particolare, scarica una versione migliorata della già nota LPEClientbackdoor, che funziona anch’essa a livello di memoria e, a sua volta, avvia dei malware in grado di rubare credenziali o altri dati. Le informazioni tecniche sui nuovi strumenti del gruppo APT Lazarus, così come gli indicatori di compromissione, sono disponibili anche sul blog di Securelist.
Attacco TetrisPhantom
Inoltre, gli esperti hanno fornito informazioni dettagliate sull’attacco TetrisPhantom, diretto contro agenzie governative della zona APAC (Asia e Pacifico). TetrisPhantom si basa sulla compromissione di alcuni tipi di unità USB sicure che forniscono una crittografia hardware e sono comunemente utilizzate dalle organizzazioni governative. Realizzando una ricerca su questa minaccia, gli esperti hanno identificato un’intera campagna di spionaggio che utilizza una serie di moduli dannosi per eseguire comandi, raccogliere file e informazioni dai computer compromessi e trasferirli ad altri computer che utilizzano unità USB sicure. Per maggiori informazioni su questa campagna, consultate il nostro report trimestrale dedicato alle minacce APT.
Consigli