Indagine Kaspersky: minacce APT nel Q1 2022, impianti low-level, caccia alle criptovalute e attacchi geopolitici

Milano, 27 aprile 2022

L’ultimo report di #kaspersky relativo alle tendenze APT del primo trimestre del 2022 ha rivelato che, nei primi mesi dell’anno, l’attività dei gruppi APT (minacce avanzate e persistenti) è stata intensa. Sia le campagne recentemente scoperte che quelle in corso, condotte da operatori sia nuovi che noti, hanno apportato cambiamenti significativi al panorama delle minacce APT. Con attacchi rivolti soprattutto a aziende o enti governativi, gli attori APT hanno aggiornato i loro set di strumenti dannosi e diversificato le tecniche per potenziare i propri attacchi. Queste ed altre tendenze sono incluse nel nuovo report trimestrale di #kaspersky.

Durante i primi tre mesi del 2022, i ricercatori di #kaspersky hanno scoperto attacchi APT in tutto il mondo che utilizzavano nuovi strumenti, tecniche e campagne. Il report trimestrale sulle tendenze APT è il frutto di una #ricerca condotta da #kaspersky utilizzando la threat intelligence e che ha preso in esame i principali sviluppi e incidenti informatici.

Durante il primo trimestre del 2022, l’attività APT è stata guidata da nuove campagne e da una serie di attacchi legati ad eventi geopolitici sensibili. I risultati più rilevanti includono:

• Le crisi geopolitiche come motore principale degli sviluppi delle APT

Nel panorama delle minacce informatiche si contano numerosi attacchi relativi alla crisi in Ucraina. Tra febbraio e marzo molti erano rivolti ad entità ucraine, come HermeticRansom e DoubleZero. C’è stato un picco significativo nella quantità di nuove infrastrutture distribuite dai gruppi APT Gamaredon e UNC1151 (Ghostwriter). Durante le indagini, i ricercatori di #kaspersky hanno identificato due campioni del prototipo WhisperGate sviluppati nel dicembre 2021 e contenenti stringhe di prova e revisioni precedenti della lettera di riscatto già osservata nei campioni condivisi da Microsoft. I ricercatori hanno quindi concluso, con forti certezze, che quei campioni non erano altro che iterazioni precedenti del wiper presumibilmente usato in Ucraina.

Contemporaneamente, i ricercatori di #kaspersky hanno identificato tre campagne collegate al threat actor Konni, attivo da metà 2021 e impegnato a prendere di mira enti diplomatici russi. Sebbene gli attaccanti usassero lo stesso impianto Konni RAT in tutte le campagne, i vettori di infezione erano diversi in ogni campagna: documenti contenenti macro embedded, un installer mascherato da applicazione di registrazione COVID-19 e, infine, uno downloader avente come esca uno screensaver per Capodanno.

• Il ritorno di attacchi low-level

Lo scorso anno, i ricercatori di #kaspersky hanno previsto per il 2022 un ulteriore sviluppo di impianti low-level. Un esempio lampante di questa tendenza è Moonbounce, scoperto da #kaspersky e terzo caso conosciuto di firmware bootkit in the wild. L’impianto malevolo era nascosto all’interno del firmware UEFI (Unified Extensible Firmware Interface), parte essenziale di ogni computer, ed è stato rilevato all’interno della flash SPI, un componente di archiviazione esterna al disco rigido. La campagna è stata attribuita al noto attore APT, APT41.

• Gli attori APT danno la caccia alle criptovalute

Nel corso del trimestre, #kaspersky ha rilevato un certo interesse degli attori APT per le criptovalute. A differenza della maggior parte di gruppi APT sponsorizzati dagli stati, Lazarus ed altri threat actor associati a questa APT hanno fatto del guadagno finanziario il loro obiettivo primario. Questo attore ha distribuito applicazioni di finanza centralizzata (DeFi) trojanizzate per aumentare i propri profitti. Lazarus abusa di applicazioni legittime utilizzate per gestire portafogli di criptovalute e diffonde malware che forniscono il controllo sui sistemi della vittima.  

• Abuso di aggiornamenti e di servizi online

Gli attori APT cercano continuamente nuovi modi per aumentare l’efficienza dei loro attacchi. Il gruppo di cyber mercenari soprannominato DeathStalker continua ad aggiornare i suoi poco sofisticati strumenti, in modo da rendere gli attacchi sempre più efficaci. Janicab, loro malware storico introdotto per la prima volta nel 2013, è un ottimo esempio di questa tendenza. Nel complesso, Janicab mostra le stesse funzionalità di altre famiglie di malware sue concorrenti, ma invece di scaricare gli strumenti nel corso dell’intrusione, come era solito fare con le intrusioni EVILNUM e Powersing, i nuovi campioni possiedono la maggior parte degli strumenti incorporati e nascosti all’interno del dropper. Inoltre, DeathStalker si serve dei servizi online più conosciuti del mondo come, YouTube, Google+ e WordPerss come dead-drop resolver (DDR) per comandare e controllare in maniera efficace e furtiva.

David Emm, principal security researcher di #kaspersky GReAT, ha dichiarato: “La geopolitica è sempre stata uno dei driver principali degli attacchi APT, e non è mai stato così evidente come adesso. Stiamo vivendo tempi difficili ed anche la sicurezza #informatica lo testimonia. Allo stesso tempo, possiamo confermare che per diversi threat actor il primo trimestre è stato all’insegna dell’ordinaria amministrazione: aggiornamenti continui degli strumenti e nuove campagne che ricercano informazioni e, soprattutto, denaro. Questo significa che le organizzazioni devono essere più preparate che mai e assicurarsi di essere ben equipaggiate con tutti gli strumenti necessari per proteggersi dalle minacce esistenti ed emergenti”.

Il report Q1 APT Trends riassume i risultati raccolti dalle indagini di threat intelligence riservati ai clienti di #kaspersky: sono inclusi anche i dati degli Indicatori di Compromissione (IoC) e le regole YARA per prestare assistenza nell’analisi e nella caccia ai malware.

È possibile ottenere maggiori informazioni contattando: intelreports@kaspersky.com

Agli inizi di quest’anno, il GReAT team di #kaspersky ha condiviso una presentazione sugli attacchi informatici in Ucraina, includendo le ultime attività APT. Qui è possibile trovare le registrazioni del webinar e qui il riassunto.

È possibile leggere il report completo su Securelist.

Per evitare di cadere nella trappola di attacchi mirati perpetrati da threat actor conosciuti o sconosciuti, i ricercatori di #kaspersky suggeriscono di:

• Fornire al proprio team SOC gli accessi alla threat intelligence (TI) più aggiornata. Il #kaspersky Threat Intelligence Portal è un unico punto di accesso per la TI dell’azienda, e fornisce dati sugli attacchi informatici e informazioni raccolte da #kaspersky in 20 anni di esperienza sul campo. Per aiutare le aziende ad implementare difese efficaci in questo periodo difficile, #kaspersky ha annunciato l’accesso gratuito a informazioni indipendenti, costantemente aggiornate e di provenienza globale relative agli attacchi informatici e alle minacce in corso. È possibile richiedere l’accesso qui.
• Offrire corsi di aggiornamento, come la formazione online di Kaspersky sviluppata dagli esperti del GReAT team, ai team di sicurezza #informatica, affinché sappiano come affrontare le recenti minacce.
• Implementare soluzioni EDR affidabili, come Kaspersky Endpoint Detection and Response, per il rilevamento a livello di endpoint, l’indagine e il tempestivo ripristino dagli incidenti.
• Oltre ad adottare la protezione essenziale degli endpoint, #kaspersky consiglia di implementare soluzioni di sicurezza a livello aziendale, in grado di rilevare tempestivamente le minacce avanzate a livello di rete, come la piattaforma Kaspersky Anti Targeted Attack.
• Dal momento che la maggior parte degli attacchi mirati ha inizio da campagne di phishing o da altre tecniche di ingegneria sociale, i ricercatori di #kaspersky suggeriscono di introdurre corsi di formazione sull’importanza della sicurezza e di fornire ai propri team competenze pratiche – sfruttando la piattaforma Kaspersky Automated Security Awareness, ad esempio.