Gli esperti di Kaspersky registrano che il gruppo APT DeathStalker sta spiando in particolare le PMI svizzere. Il Gruppo APT ha nel mirino altre medie imprese a livello mondiale. Le vittime si trovano spesso nel settore finanziario e tra gli studi legali.
Il gruppo APT DeathStalker spia le piccole e medie imprese nel settore finanziario almeno dal 2012. Recenti indagini di Kaspersky mostrano che DeathStalker ha preso di mira aziende in Svizzera e in tutto il mondo.
DeathStalker è specializzato specificamente nello spionaggio informatico contro studi legali e organizzazioni nel settore finanziario. L'attore della minaccia è altamente adattabile ed è caratterizzato dal seguire un approccio iterativo, veloce e flessibile alla progettazione del software. Questo è il modo in cui DeathStalker può condurre efficacemente le campagne.
Lo spettro di attività individuale rende difficile il rilevamento
Gli esperti di Kaspersky-Kaspersky sono stati ora in grado di collegare le attività di DeathStalker alle tre famiglie di malware Powersing, Evilnum e Janicab, dimostrando l'ampia gamma di attività del gruppo almeno dal 2012. Mentre Kaspersky è stato in grado di identificare Powersing nel 2018, i risultati su Evilnum e Janicab sono stati segnalati da altri fornitori di sicurezza informatica. L'analisi delle somiglianze di codice e della vittimologia tra le tre famiglie di malware ha permesso di collegarle con una probabilità media.
Le tattiche, le tecniche e il modus operandi del gruppo sono rimasti invariati nel corso degli anni: utilizza e-mail di spear phishing personalizzate per consegnare archivi contenenti file dannosi. Se un utente fa clic sul collegamento, viene eseguito uno script dannoso che scarica componenti aggiuntivi da Internet. Ciò consente agli aggressori di assumere il controllo del dispositivo infetto.
DeathStalker usa attacchi potenzianti
Powersing, un impianto basato su Power Shell, è stato il primo malware che potrebbe essere attribuito a questo autore di minacce. Una volta che il computer di una vittima è stato infettato, il malware può acquisire schermate ed eseguire script PowerShell arbitrari. Con metodi di persistenza alternativi personalizzati in base alla soluzione di sicurezza utilizzata su un dispositivo infetto, il malware elude il rilevamento. DeathStalker lo utilizza per eseguire test di rilevamento prima di ogni campagna e aggiornare gli script di conseguenza.
Per alimentare gli attacchi, DeathStalker utilizza anche un noto servizio pubblico per integrare la comunicazione backdoor iniziale con il traffico di rete legittimo. Ciò limita di fatto la possibilità di ostacolare tale operazione. Impiegando risolutori dead-drop - risme di informazioni che puntano a un'ulteriore infrastruttura di comando e controllo posizionata su una varietà di social media, blog e servizi di messaggistica legittimi - DeathStalker è stato in grado di eludere il rilevamento e lanciare le proprie campagne rapidamente finalizzate. Una volta infettate, le vittime contattano e vengono reindirizzate da questi risolutori, mantenendo nascosta la catena di comunicazione.
Aziende in tutto il mondo colpite da DeathStalker
Le azioni di DeathStalker sono state rilevate in tutto il mondo. L'attività di Powersing è stata individuata in Argentina, Cina, Cipro, Israele, Libano, Svizzera, Taiwan, Turchia, Regno Unito ed Emirati Arabi Uniti. Kaspersky ha anche trovato vittime di Evilnum a Cipro, India, Libano, Russia ed Emirati Arabi Uniti. Informazioni dettagliate sugli indicatori di compromissione relativi a questo gruppo, inclusi hash di file e server C2, possono essere ottenute tramite il Kaspersky Threat Intelligence Portal [2].
"DeathStalker è un ottimo esempio di minaccia da cui le organizzazioni del settore privato devono difendersi", ha affermato Ivan Kwiatkowski, ricercatore di sicurezza presso Kaspersky. “Mentre spesso ci concentriamo sulle attività dei gruppi APT, DeathStalker ci ricorda che anche le organizzazioni che tradizionalmente non sono le più attente alla sicurezza devono sapere che possono essere prese di mira. Inoltre, a causa della continua attività, prevediamo che DeathStalker continuerà a rappresentare una minaccia per le organizzazioni di tutto il mondo attraverso l'uso di nuovi strumenti. Questo player è un'ulteriore prova che anche le piccole e medie imprese devono investire nella formazione sulla sicurezza e sulla sensibilizzazione. Per rimanere protetti da DeathStalker, consigliamo alle organizzazioni di disabilitare la possibilità di utilizzare linguaggi di scripting come powershell.exe e cscript.exe ove possibile. Raccomandiamo inoltre che la futura formazione di sensibilizzazione e le valutazioni dei prodotti di sicurezza includano catene di infezione basate su file LNK (scorciatoia).
Consulta la SecureList di Kaspersky.com per ulteriori informazioni
A proposito di Kaspersky Kaspersky è una società internazionale di sicurezza informatica fondata nel 1997. La profonda competenza in materia di sicurezza e intelligence sulle minacce di Kaspersky funge da base per soluzioni e servizi di sicurezza innovativi per proteggere aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. L'ampio portafoglio di sicurezza dell'azienda comprende la protezione degli endpoint leader e una gamma di soluzioni e servizi di sicurezza specializzati per difendersi da minacce informatiche complesse e in continua evoluzione. Oltre 400 milioni di utenti e 250.000 clienti aziendali sono protetti dalle tecnologie Kaspersky. Maggiori informazioni su Kaspersky su www.kaspersky.com/