{"id":5987,"date":"2015-04-28T14:43:25","date_gmt":"2015-04-28T14:43:25","guid":{"rendered":"http:\/\/kasperskydaily.com\/italy\/?p=5987"},"modified":"2021-04-28T15:27:25","modified_gmt":"2021-04-28T13:27:25","slug":"no-monkeys-for-cozyduke","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/no-monkeys-for-cozyduke\/5987\/","title":{"rendered":"Come difendersi da CozyDuke, detto anche “Office Monkeys”"},"content":{"rendered":"

Una nuova APT appartenente alla \u201cfamiglia Duke\u201d sta colpendo obiettivi di alto profilo tra cui il Dipartimento di Stato statunitense. Stiamo parlando di CozyDuke<\/a>, nota anche come CozyBear, CozyCar o \u201cOffice Monkeys\u201d per via dei video usati come esca.<\/p>\n

\u00a0<\/p>\n

L\u2019attacco \u00e8 molto sofisticato; include tecniche di crittografia e anti-rilevamento nonch\u00e9 una serie di componenti malware altamente progettati che mostrano alcune similitudini strutturali con alcune minacce precedenti come MiniDuke, CosmicDuke e Onion Duke.<\/p>\n

Le scimmie sono pericolose\u2026 anche quelle in giacca e cravatta
\n<\/strong><\/p>\n

Vale la pena menzionare che il metodo di penetrazione di questo attacco \u00e8 interamente basato su tecniche di ingegneria sociale e sfortunatamente \u00e8 un approccio che ha molto success negli attacchi mirati.<\/p>\n

L\u2019attacco funziona cos\u00ec: gli hacker inviano come esca un video divertente che ha come protagoniste alcune scimmie che lavorano in ufficio. Il file, che include un file eseguibile, viene inviato attraverso tecniche e-mail di spear-phishing, ovvero attraverso messaggi che contengono un allegato o un link che rimanda a un sito web molto conosciuto e legittimo, ma che \u00e8 stato compromesso.<\/p>\n

\"\"<\/p>\n

Mentre il video viene visualizzato, sul computer viene installato un dropper in un modo totalmente silenzioso. Questo programma dannoso invia al server di Command & Control informazioni sulla vittima implementando funzionalit\u00e0 aggiuntive necessarie per i criminali.<\/p>\n

Questi non si sbagliavano quando pensavano che molti dei destinatari avrebbero visualizzato il video; in realt\u00e0 non l\u2019hanno solo visto, ma l\u2019hanno anche condiviso con altri colleghi, il che ha contribuito molto alla diffusione del malware. Dato l\u2019alto profilo dei target, il numero dei dati sensibili che si possono rubare \u00e8 molto alto.<\/p>\n

Quindi la domanda \u00e8: come possiamo ridurre i danni di questo terribile malware quando anche i nostri fedeli impiegati rappresentano una minaccia per la sicurezza dell\u2019azienda? Sicuramente, in primo luogo, non dobbiamo sottovalutare la forza dell\u2019ingegneria sociale: quale impiegato non clicherebbe su di un link inviatogli, per esempio, dal suo capo?<\/p>\n

Come difendersi dalle \u201cOffice Monkeys\u201d
\n<\/strong><\/p>\n

Sono molte le misure di sicurezza o le strategie di riduzione dei rischi che possono funzionare efficacemente contro le APT pi\u00f9 sofisticate e ben programmate. Per esempio, una semplice restrizione ai diritti di amministratore pi\u00f9 una tempestiva riparazione delle vulnerabilit\u00e0 ed una riduzione del numero di applicazioni a cui pu\u00f2 accedere, pu\u00f2 ridurre fino ad un 85% gli incidenti connessi agli attacchi mirati<\/a>.<\/p>\n

Il Controllo Applicazioni di Kaspersky Lab con La lista consentiti Dinamica<\/a> potrebbe essere una risorsa prezioza. Il video della scimmia, cos\u00ec come altri componenti malware di CozyDuke, non potrebbe avviarsi senza prima un\u2019autorizzazione da parte dell\u2019amministratore di sistema.<\/p>\n

\n

The White House, US State Department and others are counted among #CozyDukeAPT<\/a> victims \u2013 http:\/\/t.co\/nXaf9mj6cK<\/a> pic.twitter.com\/FSRwlgClmD<\/a><\/p>\n

\u2014 Kaspersky (@kaspersky) April 24, 2015<\/a><\/p><\/blockquote>\n