Economici ma pericolosi: come agiscono i gruppi criminali per realizzare attacchi complessi a basso costo
I ricercatori di Kaspersky Lab hanno rilevato una nuova e importante tendenza per quel che riguarda il modus operandi dei gruppi criminali più sofisticati. Questi gruppi criminali utilizzano sempre meno tecniche di attacco sofisticate e costose come le vulnerabilità zero day, per avvalersi piuttosto di campagne di ingegneria sociale estremamente mirate che vengono combinate con tecniche malevole conosciute ed efficaci. Così facendo, sono in grado di sfruttare campagne dannose difficili da individuare utilizzando le ordinarie soluzioni di sicurezza aziendali.
Questo cambiamento di strategia dei gruppi criminali dimostra che, in generale, le infrastrutture IT delle organizzazioni moderne hanno delle vulnerabilità che consentono ai criminali di utilizzare strumenti di attacco relativamente poco costosi per raggiungere i loro obiettivi. Microcin è una campagna dannosa recentemente rilevata dagli specialisti di Kaspersky Lab, che rappresenta quello che viene definito un attacco economico ma pericoloso.
Tutto ha avuto inizio quando la Kaspersky Anti Targeted Attack Platform (KATA) ha rilevato un file RTF sospetto. Il file includeva un exploit (malware che sfrutta le vulnerabilità di sicurezza dei software più utilizzati per installare componenti dannosi aggiuntivi) di una vulnerabilità nota e già risolta di Microsoft Office. Non è raro che i criminali informatici utilizzino exploit di vulnerabilità note per infettare le vittime con malware distribuiti in maniera massiccia, ma come dimostra una ricerca più approfondita, questo particolare file RTF non appartiene ad un’altra grande ondata di infezioni, ma ad una più sofisticata campagna mirata.
[amazon_link asins=’1593272901,B071GHHDS2,1118825098,B0170LWL08′ template=’ProductCarousel’ store=’antoniosavare-21′ marketplace=’IT’ link_id=’ca5303ef-a362-11e7-be31-69b21152f77e’]
Il documento di spear-phishing sospetto è stato distribuito attraverso alcuni siti rivolti ad un gruppo specifico di persone: forum in cui venivano discusse questioni legate all’ottenimento di alloggi sovvenzionati. Si tratta di un’esenzione disponibile principalmente per i dipendenti delle organizzazioni governative e militari di Russia e di altri Paesi limitrofi.
Quando viene attivato l’exploit, un malware con una struttura modulare viene installato sul computer preso di mira. L’installazione del modulo viene eseguita tramite un’iniezione dannosa all’interno di iexplorer.exe; e l’esecuzione automatica di questo modulo viene completata tramite il dll-hijacking. Entrambe sono tecniche note che vengono utilizzate ampiamente.
Infine, quando il modulo principale è stato installato, alcuni moduli aggiuntivi vengono scaricati dal server di comando e controllo. Almeno uno di essi utilizza la steganografia – la pratica di nascondere informazioni all’interno di file apparentemente non dannosi, come ad esempio le immagini e questa rappresenta un’altra tecnica pericolosa per trasferire dati rubati.
Una volta che l’intera piattaforma maligna è stata implementata, il malware cerca i file con estensioni .doc, .ppt, .xls, .docx, .pptx, .xlsx, .pdf, .txt e .rtf., che vengono quindi inseriti in un archivio protetto da password e trasferito ai criminali. I criminali, durante l’attacco, oltre ad utilizzare infezioni note e tecniche di movimento laterale utilizzano in modo attivo backdoor note che sono già state rilevate in attacchi precedenti e impiegano strumenti legittimi creati per effettuare test di penetrazione e che generalmente non sono riconosciuti come malevoli dalle soluzioni di sicurezza.
“Se analizziamo l’attacco suddividendolo in singole parti può addirittura dare l’impressione di essere poco pericoloso. Quasi ogni componente, infatti, è stato ben documentato ed è facile da individuare. Tuttavia, vengono combinati tra loro in modo tale che l’attacco diventi difficile da rilevare. Inoltre, questa campagna dannosa non è unica nel suo genere. Sembra che anche alcuni criminali di cyber spionaggio abbiano spostato l’attenzione dalla creazione di strumenti dannosi difficili da individuare, alla pianificazione e realizzazione di operazioni sofisticate che non comportano l’utilizzo di malware complessi ma che sono ugualmente pericolosi“, ha dichiarato Alexey Shulmin, analista di malware di Kaspersky Lab.
Per proteggere l’infrastruttura IT da attacchi come Microcin, gli esperti di Kaspersky Lab consigliano alle organizzazioni di utilizzare strumenti di sicurezza che consentano di individuare operazioni dannose piuttosto che software dannosi.
Soluzioni così complesse, come Kaspersky Anti-Targeted Attack Platform, comprendono non solo le tecnologie di protezione degli endpoint, ma anche tecnologie che consentono di monitorare e correlare i singoli eventi rilevati all’interno delle diverse parti della rete aziendale, identificando così i modelli maligni presenti negli attacchi mirati sofisticati.
I prodotti Kaspersky Lab rilevano e bloccano con successo Microcin e le altre campagne simili.
I dettagli della campagna di Microcin si trovano sul blog Securelist, che include anche ulteriori informazioni tecniche sull’attacco