{"id":17167,"date":"2019-04-10T16:36:21","date_gmt":"2019-04-10T14:36:21","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=17167"},"modified":"2022-05-05T12:26:43","modified_gmt":"2022-05-05T10:26:43","slug":"gaza-cybergang","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/gaza-cybergang\/17167\/","title":{"rendered":"Gaza Cybergang e la campagna SneakyPastes"},"content":{"rendered":"

Durante il Security Analyst Summit (SAS), l\u2019importante conferenza che Kaspersky Lab organizza ogni anno, si parla spesso di attacchi APT. Proprio durante questi eventi annuali in passato abbiamo dato maggiori dettagli su attacchi ormai di fama mondiale quali Slingshot<\/a>, Carbanak<\/a> e Careto<\/a>. Gli attacchi mirati sono pi\u00f9 presenti che mai e, per questo motivo, non potevano mancare neanche alla conferenza di quest\u2019anno. Al SAS 2019 di Singapore abbiamo parlato di un gruppo criminale APT che si chiama Gaza Cybergang.<\/p>\n

Un arsenale variegato<\/h3>\n

Gaza Cybergang \u00e8 specializzato in cyberspionaggio, e le sue campagne si concentrano soprattutto in Medio Oriente e paesi dell\u2019Asia centrale. Gli obiettivi sono soprattutto politici, diplomatici, giornalisti, attivisti e cittadini politicamente attivi nella regione.<\/p>\n

Per quanto riguarda il numero di attacchi, da gennaio 2018 a gennaio 2019 abbiamo registrato molti obiettivi nei territori palestinesi. Seguono pochi tentativi di infezione in Giordania, Israele e Libano. In questi attacchi, il gruppo utilizza metodi e tool pi\u00f9 o meno complessi.<\/p>\n

I nostri esperti hanno identificato tre sottogruppi all\u2019interno di questa cybergang e gi\u00e0 abbiamo parlato di due di essi. Uno ha creato la campagna Desert Falcons<\/a>, l\u2019altro \u00e8 l\u2019artefice di attacchi su misura conosciuti come Operation Parliament<\/a>.<\/p>\n

Oggi parleremo del terzo sottogruppo, che chiameremo MoleRATs. Il gruppo ha tool relativamente semplici, ma non vuol dire che la sua campagna SneakyPastes (chiamata cos\u00ec per l\u2019uso assiduo da parte dei cybercriminali di pastebin.com) sia meno pericolosa.<\/p>\n

SneakyPastes<\/h3>\n

Si tratta di una campagna multifase. Si parte con e-mail di phishing provenienti da indirizzi e domini usa e getta; a volte i messaggi contengono link a malware o ad allegati infetti. Se la vittima apre il file allegato (o clicca sul link), il dispositivo scarica il malware Stage One, programmato per attivare un\u2019infezione a catena.<\/p>\n

Le e-mail, create per far abbassare la guardia dei suoi lettori, parlano soprattutto di politica, di negoziati politici o di organizzazioni credibili.<\/p>\n

Nel momento in cui il malware Stage One si trova al sicuro sul computer, cerca una posizione stabile, prova a passare inosservato agli occhi dei prodotti antivirus e nasconde il server di comando.<\/p>\n

I cybercriminali utilizzano servizi pubblici (come pastebin.com, github.com, mailimg.com, upload.cat, dev-point.com o pomf.cat) per portare a compimento le fasi successive dell\u2019attacco (compreso l\u2019invio di malware) e, soprattutto, per le comunicazioni con il server di comando. Di solito, vengono utilizzati vari metodi contemporaneamente per inviare le informazioni ottenute.<\/p>\n

Infine, il dispositivo viene infettato con il malware RAT<\/a>, che ha potenti funzionalit\u00e0 come scaricare e caricare file liberamente, aprire applicazioni, cercare documenti e cifrare informazioni.<\/p>\n

Il malware analizza il computer della vittima per localizzare tutti i file PDF, DOC, DOCX e XLSX, salvarli in cartelle temporanee, classificarli, archiviarli e cifrarli, per poi inviarli a un server di comando mediante una catena di domini.<\/p>\n

Per questo tipo di attacchi abbiamo individuato diversi tool; per maggiori informazioni e dettagli tecnici, potete leggere il post su Securelist<\/a> (in lingua inglese).<\/p>\n

Protezione integrata contro le minacce integrate<\/h3>\n

I nostri prodotti sono stati creati per contrastare con successo i componenti utilizzati nella campagna SneakyPastes. Per evitare di esserne vittima, seguite questi nostri consigli:<\/p>\n