I ricercatori di sicurezza hanno scoperto una nuova truffa legata al gruppo Phosphorus APT. Questo gruppo di hacker ha una vasta gamma di competenze, dal ransomware allo spear phishing mirato contro individui di alto profilo.
Check Point Research (CPR) riferisce di essere sulle tracce di una nuova campagna di hacking. Questo cluster di attività è stato chiamato Educated Manticore, dalla creatura manticora della mitologia persiana, con la quale i ricercatori di sicurezza vogliono chiarire dal nome quale nazione sospettano sia dietro la campagna.
Gruppi di hacker statali dall'Iran
Sergey Shykevich, Threat Group Manager di Check Point Software Technologies, commenta: “Nel nostro studio, abbiamo fatto luce sulle capacità in continua evoluzione dei gruppi di hacking degli stati-nazione iraniani. Analogamente ai normali criminali informatici, che adattano le loro catene di infezione ai mutevoli ambienti IT, anche gli hacker di stato-nazione utilizzano ora i file ISO per aggirare le nuove misure contro i file Office infetti, che sono stati finora popolari. Tuttavia, anche gli strumenti di questo giocatore sono migliorati, indicando i continui investimenti dell'Iran nell'espansione delle sue capacità informatiche statali".
Phosphorus è un famigerato gruppo APT (Advanced Persistent Threat) che opera dall'Iran, principalmente dentro e contro il Nord America e il mondo arabo. Il nuovo gruppo che sembra essere associato a Phosphorus utilizza metodi raramente visti, inclusi binari .NET costruiti in codice assembly in modalità mista. La nuova campagna consiste principalmente nel phishing contro iracheni e israeliani, utilizzando un file immagine ISO, poiché molte protezioni contro file Office infetti, come presunti documenti Word o Excel, sono state recentemente istituite da aziende e agenzie governative. All'interno del file ISO, i documenti erano conservati in arabo ed ebraico.
Inizio di una catena di infezioni
I ricercatori di sicurezza di Check Point sospettano che questo metodo sia destinato solo a fungere da inizio di una catena di infezione per aprire un gateway per malware o ransomware, perché: La variante nei file ISO è un aggiornamento di malware meno recenti ed entrambi potrebbero essere collegato al ransomware -Operazioni di Phosphorus insieme. Per questo motivo, gli esperti consigliano a tutti i responsabili delle decisioni IT di installare regolarmente patch e aggiornamenti per i loro prodotti e applicazioni di sicurezza, di formare fondamentalmente i dipendenti (compresa la gestione) sulla sicurezza IT contro le minacce e di adottare un approccio consolidato quando acquistano soluzioni di sicurezza IT per preferire invece di acquistare una proliferazione di diverse soluzioni individuali che funzionano male insieme e quindi lasciano dei vuoti nella difesa.
Il rilevamento e la risposta automatizzati alle minacce sono diventati essenziali, così come il monitoraggio automatizzato delle e-mail (in particolare gli allegati) e la risposta alle e-mail. Questo vale anche per i file e le loro attività sui computer della rete. Essere legati a un cloud di Threat Intelligence aiuta anche enormemente, in quanto fornisce dati sulle minacce in tempo reale e dati di risposta da tutto il mondo alla soluzione di sicurezza, che è controllata centralmente.
Maggiori informazioni su Checkpoint.com
Informazioni sul punto di controllo Check Point Software Technologies GmbH (www.checkpoint.com/de) è un fornitore leader di soluzioni di sicurezza informatica per pubbliche amministrazioni e aziende in tutto il mondo. Le soluzioni proteggono i clienti dagli attacchi informatici con un tasso di rilevamento leader del settore di malware, ransomware e altri tipi di attacchi. Check Point offre un'architettura di sicurezza a più livelli che protegge le informazioni aziendali su cloud, rete e dispositivi mobili e il sistema di gestione della sicurezza "un punto di controllo" più completo e intuitivo. Check Point protegge oltre 100.000 aziende di tutte le dimensioni.