Kaspersky

Kaspersky estende il raggio d’azione della sua campagna APT

Condividi su:

 

Kaspersky è un’azienda mondiale di sicurezza informatica e digital privacy fondata nel 1997. Le sue competenze nel settore vengono mutate in soluzioni e metodi innovativi al servizio delle aziende e degli utenti in tutto il mondo. Proprio per questo motivo ha segnalato una nuova campagna APT nell’area russo-ucraino. Tale campagna utilizza degli impianti efficienti come PowerMagic e CommonMagic per attività di spionaggio. Da più di due anni questa campagna sfrutta un malware non ancora identificato allo scopo di raccogliere dati dalle aziende prese di mira. Nonostante l’attore responsabile di questo attacco sia oggi ancora sconosciuto, gli esperti di Kaspersky hanno continuato a indagare per ottenere nuove informazioni, riconducendo l’attività a campagne ormai dimenticate, ottenendo effettivamente dei dati interessanti.

Cosa ha scoperto Kaspersky rivisitando alcune vecchie campagne

Si è scoperto che una vecchia campagna rivisitata, utilizzava un framework modulare chiamato CloudWizard. La ricerca effettuata da Kaspersky ha identificato un totale di 9 moduli all’interno del framework, la quale ciascuno responsabile di attività dannose come la raccolta di file, il keylogging, l’acquisizione di screenshot, la registrazione di input del microfono e il furto di password. In particolare, uno dei moduli si concentra sul mettere al sicuro dei dati dagli account Gmail. Attraverso l’estrazione dei cookie di Gmail dai database del browser, questo modulo riesce ad accedere e a sottrarre i registri delle attività, la rubrica dei contatti e tutti i messaggi e-mail associati agli account presi di mira.

Inoltre, i ricercatori hanno sottolineato il fatto che la campagna ha ampliato il suo raggio d’azione: se gli obiettivi precedenti erano fondamentalmente situati nelle regioni di Donetsk, Luhansk e Crimea, ora l’area si è estesa coinvolgendo i singoli utenti e le varie organizzazioni sviluppate nell’Ucraina occidentale e centrale. Dopo aver condotto una ricerca approfondita su CloudWizard, gli esperti di Kaspersky sono riusciti ad identificare il colpevole.

Gli esperti hanno individuato notevoli corrispondenze tra CloudWizard e due campagne precedentemente documentate, Operation Groundbait e Operation BugDrop, che presentavano dei codici molto simili ai modelli di denominazione ed elencazione dei file, all’hosting da parte di servizi di hosting ucraini e ai profili delle vittime condivisi nell’Ucraina occidentale e centrale, nonché nell’area di conflitto dell’Europa orientale. Inoltre, CloudWizard rivela anche delle analogie con la campagna CommonMagic, recentemente segnalata. Alcune sezioni del codice sono pressoché identiche. Infatti utilizzano la stessa libreria di crittografia, seguono un formato di denominazione dei file simile e condividono la locazione delle vittime nell’area di conflitto dell’Europa orientale. Ed è proprio per questo motivo che gli esperti di Kaspersky attribuiscono la colpa di tali campagne dannose allo stesso attore.

Intervista a Georgy Kucherin

“Il responsabile di queste operazioni ha dimostrato un impegno costante nel cyberspionaggio, migliorando continuamente il proprio set di strumenti e prendendo di mira organizzazioni di interesse per oltre quindici anni. I fattori geopolitici continuano a essere una motivazione significativa per gli attacchi APT e, data la tensione prevalente nell’area del conflitto russo-ucraino, prevediamo che questo attore continuerà a svolgere le sue attività anche in futuro”.

Alcuni consigli per proteggersi da attacchi mirati

Per evitare di essere sopraffatti da attacchi indesiderati, i ricercatori di Kaspersky consigliano di:

  • Procurare al proprio team SOC l’accesso alle informazioni più recenti sulle minacce. A tal proposito Kaspersky Threat Intelligence Portal è un ottimo metodo per ricevere dati significativi, ottenuti nel corso di vari anni, sui cyber attacchi e sugli insight;
  • Rinnovare il proprio team nell’ambito della cybersecurity. Ciò permetterà loro di affrontare le minacce mirate più recenti grazie alle sessioni di formazione online di Kaspersky realizzate dagli esperti del GReAT;
  • Analizzare e risolvere gli incidenti a livello di endpoint. Per monitorare con facilità tali casi esistono delle valide soluzioni EDR come Kaspersky Endpoint Detection and Response;
  • È importante aggiungere una soluzione di sicurezza aziendale che rilevi anticipatamente le minacce avanzate a livello di rete. Una valida idea è quella di implementare Kaspersky Anti Targeted Attack Platform;
  • Infine, dato che la maggioranza degli attacchi mirati iniziano con il phishing o altre tecniche di social engineering, è importante sensibilizzare in ambito di sicurezza le competenze pratiche al proprio team, ad esempio attraverso Kaspersky Automated Security Awareness Platform.

Via: comunicato stampa

Fonte immagine copertina: Kaspersky

 

Se questo articolo ti è piaciuto e vuoi rimanere informato iscriviti al nostro Canale Telegram o
seguici su Google News
.
Inoltre per supportarci puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, se vuoi
segnalare un refuso Contattaci qui .


Autore dell'articolo: Francesco Menna

Mi chiamo Francesco, classe 96. Laureato in Ingegneria Meccanica e studente alla magistrale di Ingegneria Meccanica per l'Energia e l'Ambiente alla Federico II di Napoli. Passione sfrenata per tutto ciò che ha un motore e va veloce. Per info e collaborazioni inviare una mail a framenna96@gmail.com

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *