Gli esperti di Kaspersky hanno recentemente scoperto campagne di spionaggio mirate contro organizzazioni finanziarie e militari.
Utilizzando Kaspersky Threat Attribution Engine, i ricercatori di Kaspersky sono stati in grado di collegare più di 300 campioni della backdoor Bisonal a una campagna del gruppo di spionaggio informatico CactusPete. Quest'ultima campagna del gruppo APT si concentra su obiettivi militari e finanziari nell'Europa orientale. Non è ancora chiaro come la backdoor utilizzata raggiunga i dispositivi delle vittime.
CactusPete, noto anche come Karma Panda o Tonto Teaь, è un gruppo di spionaggio informatico attivo almeno dal 2012. La loro backdoor attualmente schierata prende di mira i rappresentanti dei settori militare e finanziario dell'Europa orientale, che potrebbero ottenere l'accesso a informazioni riservate.
Primi attacchi di spionaggio nel febbraio 2020
Queste recenti attività di gruppo sono state notate per la prima volta dai ricercatori di Kaspersky nel febbraio 2020, quando hanno scoperto una versione aggiornata della backdoor Bisonal. Utilizzando Kaspersky Threat Attribution Engine, uno strumento di analisi per trovare somiglianze nel codice dannoso di noti autori di minacce, la backdoor è stata collegata a più di 300 altri campioni trovati "in the wild". Tutti i campioni sono stati scoperti tra marzo 2019 e aprile 2020, circa 20 campioni al mese. Ciò suggerisce che CactusPete si sta evolvendo rapidamente. Pertanto, il gruppo ha continuato ad affinare le proprie capacità e quest'anno ha ottenuto l'accesso a codici più complessi come ShadowPad.
La funzionalità del payload dannoso suggerisce che il gruppo è alla ricerca di informazioni altamente sensibili. Dopo aver installato la backdoor sul dispositivo della vittima, il gruppo può utilizzare Bisonal per avviare silenziosamente vari programmi, terminare processi, caricare, scaricare o eliminare file e ottenere un elenco di unità disponibili. Una volta che gli aggressori penetrano più a fondo nel sistema infetto, viene utilizzato un keylogger per raccogliere credenziali e scaricare malware che garantisce privilegi e un controllo incrementale maggiore sul sistema.
CactusPete utilizza e-mail di spear phishing
Non è ancora chiaro come la backdoor sia entrata nel dispositivo in questa campagna. Tuttavia, in passato, CactusPete si è affidato principalmente a e-mail di spear phishing contenenti allegati dannosi per infettare i dispositivi.
"CactusPete è un gruppo APT interessante perché in realtà non è così avanzato, inclusa la sua backdoor bisonale", afferma Konstantin Zykov, ricercatore di sicurezza presso Kaspersky. “Il loro successo non si basa su una tecnologia complessa o su sofisticate tattiche di distribuzione e offuscamento, ma su un'ingegneria sociale di successo. Riescono a infettare obiettivi di alto livello facendo in modo che le loro vittime aprano allegati dannosi nelle e-mail di phishing. Questo è un buon esempio del motivo per cui il phishing continua a essere un modo così efficace per lanciare attacchi informatici e perché è così importante per le aziende istruire i propri dipendenti su come riconoscere tali e-mail e su come utilizzare l'intelligence sulle minacce per monitorare l'ultima minaccia. "
Raccomandazioni di Kaspersky per la protezione contro gli APT
- Il team del Security Operations Center (SOC) dovrebbe sempre avere accesso alle più recenti informazioni sulle minacce per rimanere al passo con gli strumenti, le tecniche e le tattiche nuove ed emergenti utilizzate dagli attori delle minacce e dai criminali informatici.
- Le organizzazioni dovrebbero implementare una soluzione EDR come Kaspersky Endpoint Detection and Response per rilevare, indagare e rispondere agli incidenti in modo tempestivo.
- I dipendenti dovrebbero ricevere una regolare formazione sulla sicurezza informatica [6], poiché molti attacchi mirati iniziano con il phishing o altre tecniche di ingegneria sociale. Gli attacchi di phishing simulati possono aiutare a testare, addestrare e avvisare i dipendenti di ciò che stanno facendo i criminali informatici.
- Con Kaspersky Threat Attribution Engine, i campioni dannosi possono essere rapidamente collegati ad aggressori noti.
Consulta la SecureList di Kaspersky.com per ulteriori informazioni
A proposito di Kaspersky Kaspersky è una società internazionale di sicurezza informatica fondata nel 1997. La profonda competenza in materia di sicurezza e intelligence sulle minacce di Kaspersky funge da base per soluzioni e servizi di sicurezza innovativi per proteggere aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. L'ampio portafoglio di sicurezza dell'azienda comprende la protezione degli endpoint leader e una gamma di soluzioni e servizi di sicurezza specializzati per difendersi da minacce informatiche complesse e in continua evoluzione. Oltre 400 milioni di utenti e 250.000 clienti aziendali sono protetti dalle tecnologie Kaspersky. Maggiori informazioni su Kaspersky su www.kaspersky.com/