I ricercatori di Kaspersky hanno scoperto che l'attore APT di lingua cinese LuoYu distribuisce malware WinDealer tramite attacchi man-on-the-side [1]. Questa meccanica di propagazione consente all'autore della minaccia di modificare il traffico di rete in transito per iniettare payload dannosi. Tali attacchi sono particolarmente efficaci perché non richiedono l'interazione umana o di altro tipo con il bersaglio per il successo dell'infezione.
In seguito ai risultati del TeamT5 [2], i ricercatori di Kaspersky hanno scoperto un nuovo metodo utilizzato dagli attori per diffondere il malware WinDealer. Usano un attacco man-on-the-side per leggere il traffico e inserire nuovi messaggi. Il concetto di attacco man-on-the-side è che quando l'attaccante vede una richiesta per una risorsa specifica sulla rete (sia attraverso le sue capacità di intercettazione o la sua posizione strategica nella rete dell'ISP), tenta di mirare a rispondere più veloce del server legittimo. Se questo è il caso, il computer di destinazione utilizza le informazioni fornite dall'attaccante invece dei dati regolari. Anche se perdono la maggior parte di queste "gare", gli aggressori possono sempre continuare a provare finché non infettano il dispositivo.
Lo spyware raccoglie molte informazioni
Dopo un attacco riuscito, lo spyware arriva sul dispositivo bersaglio, che può raccogliere una varietà di informazioni. Ciò consente agli aggressori di visualizzare e scaricare tutti i file memorizzati sul dispositivo ed eseguire una ricerca per parola chiave su tutti i documenti. In generale, LuoYu si rivolge a organizzazioni diplomatiche straniere con sede in Cina, istituzioni accademiche e società di difesa, logistica e telecomunicazioni. L'attore usa WinDealer per attaccare macchine basate su Windows.
In genere, il malware contiene uno o più server di comando e controllo hardcoded da cui gli aggressori controllano il sistema. Con le informazioni appropriate su questi server, è possibile bloccare gli indirizzi IP di questi server con cui il malware interagisce, neutralizzando così la minaccia. Tuttavia, WinDealer si basa su un complesso algoritmo di generazione di indirizzi IP per determinare quale macchina contattare.
Windealer genera indirizzi IP di contatto
Questo copre una gamma di 48.000 possibili indirizzi IP, rendendo quasi impossibile per l'operatore controllarne anche una piccola parte. L'unico modo per spiegare questo comportamento di rete apparentemente impossibile è presumere che gli aggressori abbiano notevoli capacità di intercettazione in questo intervallo IP e possano persino leggere i pacchetti di rete che non raggiungono una destinazione.
Un tale attacco man-on-the-side è particolarmente devastante perché non richiede alcuna interazione con il bersaglio per provocare un'infezione riuscita. È sufficiente una connessione attiva a Internet. Inoltre, gli utenti non possono adottare misure di protezione in modo proattivo, a parte l'instradamento del traffico dati su un'altra rete. Sebbene ciò sia possibile utilizzando una VPN, potrebbe non essere utilizzata in alcuni paesi e generalmente non è disponibile, soprattutto per i cittadini cinesi.
Anche la Germania ne risentì
La stragrande maggioranza delle vittime di LuoYu si trova in Cina, quindi gli esperti di Kaspersky ritengono che l'APT di LuoYu si rivolgerà principalmente agli utenti di lingua cinese e alle organizzazioni legate alla Cina. Tuttavia, hanno anche notato attacchi in altri paesi, tra cui Germania, Austria, Stati Uniti, Repubblica Ceca, Russia o India.
"LuoYu è un attore di minacce altamente sofisticato che utilizza metodi disponibili solo per gli aggressori più avanzati", commenta Suguru Ishimaru, Senior Security Researcher presso il Global Research and Analysis Team (GReAT) di Kaspersky. “Possiamo solo ipotizzare come siano stati in grado di sviluppare tali capacità. Gli attacchi man-on-the-side sono estremamente efficaci perché l'unico requisito per un attacco a un dispositivo è che sia connesso a Internet. Anche se l'attacco fallisce la prima volta, gli aggressori possono ripetere continuamente il processo finché non hanno successo. Ciò consente ai criminali informatici di eseguire attacchi di spionaggio estremamente pericolosi e di successo, che di solito prendono di mira diplomatici, scienziati e dipendenti di altri settori chiave. Indipendentemente da come è stato effettuato l'attacco, l'unico modo per proteggersi è rimanere molto vigili e adottare solide pratiche di sicurezza. Ciò include scansioni antivirus regolari, analisi del traffico di rete in uscita e registrazione estesa per rilevare anomalie.
Raccomandazioni di Kaspersky per la protezione
- Utilizzo di solide pratiche di sicurezza che includono scansioni antivirus regolari, analisi del traffico di rete in uscita e raccolta completa di file di ritardo per rilevare le anomalie.
- Conduzione di un audit di sicurezza informatica di tutte le reti e correzione di eventuali vulnerabilità scoperte all'interno o all'interno del perimetro della rete.
- Installazione di soluzioni anti-APT e EDR che consentono il rilevamento delle minacce, l'indagine e la risoluzione tempestiva degli incidenti. Il team SOC dovrebbe sempre avere accesso ai dati sulle minacce più recenti e ricevere una formazione professionale regolare. Tutto questo è possibile all'interno di Kaspersky Expert Security [3].
- Oltre alla protezione completa degli endpoint, i servizi dedicati forniscono ulteriore protezione contro gli attacchi. Kaspersky Managed Detection and Response [4] può aiutare a identificare e bloccare le compromissioni nella fase iniziale, prima che gli aggressori raggiungano i loro obiettivi.
- Il Threat Intelligence Resource Hub di Kaspersky [5] offre accesso gratuito a informazioni indipendenti, costantemente aggiornate e disponibili a livello globale sugli attuali attacchi e minacce informatiche per garantire un elevato livello di sicurezza.
, https://teamt5.org
, https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr
, https://www.kaspersky.de/enterprise-security/managed-detection-and-response
, https://go.kaspersky.com/uchub Altro su Kaspersky.com
A proposito di Kaspersky Kaspersky è una società internazionale di sicurezza informatica fondata nel 1997. La profonda competenza in materia di sicurezza e intelligence sulle minacce di Kaspersky funge da base per soluzioni e servizi di sicurezza innovativi per proteggere aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. L'ampio portafoglio di sicurezza dell'azienda comprende la protezione degli endpoint leader e una gamma di soluzioni e servizi di sicurezza specializzati per difendersi da minacce informatiche complesse e in continua evoluzione. Oltre 400 milioni di utenti e 250.000 clienti aziendali sono protetti dalle tecnologie Kaspersky. Maggiori informazioni su Kaspersky su www.kaspersky.com/