▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Attacchi APT in crescita nel terzo trimestre, i tool malevoli si evolvono

I criminali informatici aumentano il numero di attacchi APT e usano strumenti nuovi per farla franca. Kaspersky spiega come difendersi.

Business Vulnerabilità
Gli esperti di Kaspersky segnalano una crescita, nel terzo trimestre, delle attività legate agli attacchi APT (Advanced Persistent Threat). I criminali informatici hanno ampliato il set di strumenti malevoli, aggiungendone di sconosciuti. A beneficio di cronaca, ATP identifica una delle forme più sofisticate di attacco contro le reti aziendali. Sono frutto di azioni lungamente programmate, che sottintendono ricognizioni, intrusioni, installazione di malware e creazione di una backdoor. Sono finalizzati al furto di dati, con un'azione persistente e di solito prolungata nel tempo. Tutte queste azioni rendono difficile rilevare e neutralizzare gli attacchi.

Questo è ancora più vero nel momento in cui i criminali informatici hanno iniziato a diversificare il set di strumenti malevoli utilizzati negli attacchi APT. Kaspersky ha stilato una lista dei cambiamenti più significativi. Turla (conosciuto anche come Venomous Bear, Uroburos e Waterburos) fa uso del malware "Tunnus". Si tratta di una backdoor .NET-based che può eseguire comandi o azioni relative ai file su un sistema infetto. Invia poi i risultati ai suoi server di comando e controllo. Finora, l'infrastruttura è stata costruita compromettendo siti che utilizzano versioni di WordPress vulnerabili.

keyboard computer keys technology internet business office pc 1334042Lo stesso Turla dispone anche del JavaScript KopiLuwak per la diffusione di malware, in un nuovo dropper chiamato "Topinambour”. È sempre un file .NET, usato per distribuire KopiLuwak mediante pacchetti di installazione infetti di software legittimi. Qualora gli obiettivi siano protetti con software di sicurezza in grado di rilevare KopiLuwak, entrano in gioco due trojan, “.NET RocketMan” e “Powershell MiamiBeach”. Vengono usati in maniera analoga a KopiLuwak e servono per attività di spionaggio. KopiLuwak, RocketMan e MiamiBeach sono in grado di raccogliere informazioni su adattatori di sistema e di rete, rubare file, scaricare ed eseguire malware aggiuntivi.

HoneyMyte (conosciuto anche come Temp.Hex e Mustang Panda), è un altro attore APT attivo che si è evoluto. Campagne contro entità governative in Myanmar, Mongolia, Etiopia, Vietnam e Bangladesh hanno messo in luce l'uso di nuovi strumenti. Sono stati usati impianti PlugX, pacchetti multi-stage che assomigliano allo stager CobaltStrike e a dropper “stageless” con script PowerShell e Visual Basic script. Non sono mancati inoltre eseguibili .NET, stealer di cookie, tecniche di hacking come l’ARP poisoning. Considerando il target degli attacchi, è possibile che uno dei principali obiettivi di HoneyMyte sia la raccolta di informazioni geopolitiche ed economiche.

advanced persistent threat lifecycleVicente Diaz, Security Researcher del Global Research and Analysis Team di Kaspersky, commenta che "gli autori delle minacce aggiornano i loro set di strumenti malevoli. Lo abbiamo visto chiaramente in questo trimestre. Questa tendenza è una sfida per i ricercatori. Chiarisce, ancora una volta, l’importanza di investimenti nella threat intelligence di scenario. La conoscenza è potere, e solo informandosi in anticipo sarà possibile conoscere la fonte di possibili minacce".

Per evitare di cadere vittime di un attacco di questo tipo, i ricercatori di Kaspersky raccomandano di fornire al proprio team SOC l'accesso alla Threat Intelligence più aggiornata. In caso di incidenti, attivare tempestivamente il rilevamento a livello endpoint e le indagini. È inoltre consigliato implementare una soluzione di sicurezza a livello aziendale che rilevi tempestivamente le minacce avanzate a livello di rete.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.
Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Previsioni per la cybersecurity del 2025

Speciale

Digitalizzazione e cybersecurity

Reportage

Cybertech Europe 2024

Speciale

Identity security

Speciale

Infosecurity Europe 2024

Calendario Tutto

Gen 21
Palo Alto Networks Partner Xchange Milano
Gen 23
Nutanix Cloud Day Roadshow - Bari
Giu 05
MSP Day 2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter