Spionaggio contro istituzioni finanziarie e militari

27. Agosto 2020
| Non ci sono commenti
società del settore dello spionaggio

Condividi post

Gli esperti di Kaspersky hanno recentemente scoperto campagne di spionaggio mirate contro organizzazioni finanziarie e militari. 

Utilizzando Kaspersky Threat Attribution Engine, i ricercatori di Kaspersky sono stati in grado di collegare più di 300 campioni della backdoor Bisonal a una campagna del gruppo di spionaggio informatico CactusPete. Quest'ultima campagna del gruppo APT si concentra su obiettivi militari e finanziari nell'Europa orientale. Non è ancora chiaro come la backdoor utilizzata raggiunga i dispositivi delle vittime.

CactusPete, noto anche come Karma Panda o Tonto Teaь, è un gruppo di spionaggio informatico attivo almeno dal 2012. La loro backdoor attualmente schierata prende di mira i rappresentanti dei settori militare e finanziario dell'Europa orientale, che potrebbero ottenere l'accesso a informazioni riservate.

Primi attacchi di spionaggio nel febbraio 2020

Queste recenti attività di gruppo sono state notate per la prima volta dai ricercatori di Kaspersky nel febbraio 2020, quando hanno scoperto una versione aggiornata della backdoor Bisonal. Utilizzando Kaspersky Threat Attribution Engine, uno strumento di analisi per trovare somiglianze nel codice dannoso di noti autori di minacce, la backdoor è stata collegata a più di 300 altri campioni trovati "in the wild". Tutti i campioni sono stati scoperti tra marzo 2019 e aprile 2020, circa 20 campioni al mese. Ciò suggerisce che CactusPete si sta evolvendo rapidamente. Pertanto, il gruppo ha continuato ad affinare le proprie capacità e quest'anno ha ottenuto l'accesso a codici più complessi come ShadowPad.

La funzionalità del payload dannoso suggerisce che il gruppo è alla ricerca di informazioni altamente sensibili. Dopo aver installato la backdoor sul dispositivo della vittima, il gruppo può utilizzare Bisonal per avviare silenziosamente vari programmi, terminare processi, caricare, scaricare o eliminare file e ottenere un elenco di unità disponibili. Una volta che gli aggressori penetrano più a fondo nel sistema infetto, viene utilizzato un keylogger per raccogliere credenziali e scaricare malware che garantisce privilegi e un controllo incrementale maggiore sul sistema.

CactusPete utilizza e-mail di spear phishing

Non è ancora chiaro come la backdoor sia entrata nel dispositivo in questa campagna. Tuttavia, in passato, CactusPete si è affidato principalmente a e-mail di spear phishing contenenti allegati dannosi per infettare i dispositivi.

"CactusPete è un gruppo APT interessante perché in realtà non è così avanzato, inclusa la sua backdoor bisonale", afferma Konstantin Zykov, ricercatore di sicurezza presso Kaspersky. “Il loro successo non si basa su una tecnologia complessa o su sofisticate tattiche di distribuzione e offuscamento, ma su un'ingegneria sociale di successo. Riescono a infettare obiettivi di alto livello facendo in modo che le loro vittime aprano allegati dannosi nelle e-mail di phishing. Questo è un buon esempio del motivo per cui il phishing continua a essere un modo così efficace per lanciare attacchi informatici e perché è così importante per le aziende istruire i propri dipendenti su come riconoscere tali e-mail e su come utilizzare l'intelligence sulle minacce per monitorare l'ultima minaccia. "

Raccomandazioni di Kaspersky per la protezione contro gli APT

  • Il team del Security Operations Center (SOC) dovrebbe sempre avere accesso alle più recenti informazioni sulle minacce per rimanere al passo con gli strumenti, le tecniche e le tattiche nuove ed emergenti utilizzate dagli attori delle minacce e dai criminali informatici.
  • Le organizzazioni dovrebbero implementare una soluzione EDR come Kaspersky Endpoint Detection and Response per rilevare, indagare e rispondere agli incidenti in modo tempestivo.
  • I dipendenti dovrebbero ricevere una regolare formazione sulla sicurezza informatica [6], poiché molti attacchi mirati iniziano con il phishing o altre tecniche di ingegneria sociale. Gli attacchi di phishing simulati possono aiutare a testare, addestrare e avvisare i dipendenti di ciò che stanno facendo i criminali informatici.
  • Con Kaspersky Threat Attribution Engine, i campioni dannosi possono essere rapidamente collegati ad aggressori noti.

 

Consulta la SecureList di Kaspersky.com per ulteriori informazioni

 

A proposito di Kaspersky

Kaspersky è una società internazionale di sicurezza informatica fondata nel 1997. La profonda competenza in materia di sicurezza e intelligence sulle minacce di Kaspersky funge da base per soluzioni e servizi di sicurezza innovativi per proteggere aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. L'ampio portafoglio di sicurezza dell'azienda comprende la protezione degli endpoint leader e una gamma di soluzioni e servizi di sicurezza specializzati per difendersi da minacce informatiche complesse e in continua evoluzione. Oltre 400 milioni di utenti e 250.000 clienti aziendali sono protetti dalle tecnologie Kaspersky. Maggiori informazioni su Kaspersky su www.kaspersky.com/

 

Articoli relativi all'argomento

Piattaforma di sicurezza informatica con protezione per ambienti 5G

Lo specialista della sicurezza informatica Trend Micro svela il suo approccio basato su piattaforma per proteggere la superficie di attacco in continua espansione delle organizzazioni, inclusa la sicurezza ➡ Leggi di più

Manipolazione dei dati, il pericolo sottovalutato

Ogni anno, il 31 marzo, la Giornata mondiale del backup serve a ricordare l'importanza di backup aggiornati e facilmente accessibili ➡ Leggi di più

Le stampanti come rischio per la sicurezza

I parchi stampanti aziendali stanno diventando sempre più un punto cieco e pongono enormi problemi in termini di efficienza e sicurezza. ➡ Leggi di più

La legge sull’AI e le sue conseguenze sulla protezione dei dati

Con la legge sull’AI è stata approvata la prima legge sull’IA che concede ai produttori di applicazioni AI un periodo di sei mesi e mezzo ➡ Leggi di più

Sistemi operativi Windows: quasi due milioni di computer a rischio

Non sono più disponibili aggiornamenti per i sistemi operativi Windows 7 e 8. Ciò significa lacune di sicurezza aperte e quindi utile e ➡ Leggi di più

L'intelligenza artificiale su Enterprise Storage combatte il ransomware in tempo reale

NetApp è uno dei primi a integrare l'intelligenza artificiale (AI) e il machine learning (ML) direttamente nello storage primario per combattere il ransomware ➡ Leggi di più

Suite di prodotti DSPM per la sicurezza dei dati Zero Trust

Il Data Security Posture Management – ​​in breve DSPM – è fondamentale per le aziende per garantire la resilienza informatica contro la moltitudine ➡ Leggi di più

Crittografia dei dati: maggiore sicurezza sulle piattaforme cloud

Le piattaforme online sono spesso bersaglio di attacchi informatici, come recentemente è successo a Trello. 5 suggerimenti per garantire una crittografia dei dati più efficace nel cloud ➡ Leggi di più

Messaggi PR
, , , , ,