L’ultimo report di Kaspersky relativo alle tendenze APT (minacce avanzate e persistenti) del primo trimestre del 2022 ha rivelato che, nei primi mesi dell’anno, l’attività dei gruppi APT è stata intensa.
Sia le campagne recentemente scoperte che quelle in corso, condotte da operatori sia nuovi che noti, hanno apportato cambiamenti significativi al panorama delle minacce APT.
Con attacchi rivolti soprattutto ad aziende o enti governativi, gli attori APT hanno aggiornato i loro set di strumenti dannosi e diversificato le tecniche per potenziare i propri attacchi.
Durante i primi tre mesi del 2022, i ricercatori di Kaspersky hanno scoperto attacchi APT in tutto il mondo che utilizzavano nuovi strumenti, tecniche e campagne.
Il report trimestrale sulle tendenze APT è il frutto di una ricerca condotta da Kaspersky utilizzando la threat intelligence e che ha preso in esame i principali sviluppi e incidenti informatici.
Durante il primo trimestre del 2022, l’attività APT è stata guidata da nuove campagne e da una serie di attacchi legati ad eventi geopolitici sensibili.
Di seguito, alcuni dei risultati più rilevanti.
Crisi geopolitiche e sviluppi APT nell’analisi di Kaspersky
Nel panorama delle minacce informatiche si contano numerosi attacchi relativi alla crisi in Ucraina. Tra febbraio e marzo molti erano rivolti ad entità ucraine, come HermeticRansom e DoubleZero.
C’è stato un picco significativo nella quantità di nuove infrastrutture distribuite dai gruppi APT Gamaredon e UNC1151 (Ghostwriter).
Durante le indagini, i ricercatori di Kaspersky hanno identificato due campioni del prototipo WhisperGate sviluppati nel dicembre 2021 e contenenti stringhe di prova e revisioni precedenti della lettera di riscatto già osservata nei campioni condivisi da Microsoft.
I ricercatori hanno quindi concluso, con forti certezze, che quei campioni non erano altro che iterazioni precedenti del wiper presumibilmente usato in Ucraina.
Contemporaneamente, i ricercatori di Kaspersky hanno identificato tre campagne collegate al threat actor Konni, attivo da metà 2021 e impegnato a prendere di mira enti diplomatici russi.
Sebbene gli attaccanti usassero lo stesso impianto Konni RAT in tutte le campagne, i vettori di infezione erano diversi in ogni campagna: documenti contenenti macro embedded, un installer mascherato da applicazione di registrazione Covid-19 e, infine, uno downloader avente come esca uno screensaver per Capodanno.
Il ritorno di attacchi low-level
Lo scorso anno, i ricercatori di Kaspersky hanno previsto per il 2022 un ulteriore sviluppo di impianti low-level.
Un esempio lampante di questa tendenza è Moonbounce, scoperto da Kaspersky e terzo caso conosciuto di firmware bootkit in the wild.
L’impianto malevolo era nascosto all’interno del firmware UEFI (Unified Extensible Firmware Interface), parte essenziale di ogni computer, ed è stato rilevato all’interno della flash SPI, un componente di archiviazione esterna al disco rigido.
La campagna è stata attribuita al noto attore APT, APT41.
Gli attori APT danno la caccia alle criptovalute
Nel corso del trimestre, Kaspersky ha rilevato un certo interesse degli attori APT per le criptovalute.
A differenza della maggior parte di gruppi APT sponsorizzati dagli stati, Lazarus ed altri threat actor associati a questa APT hanno fatto del guadagno finanziario il loro obiettivo primario.
Questo attore ha distribuito applicazioni di finanza centralizzata (DeFi) trojanizzate per aumentare i propri profitti.
Lazarus abusa di applicazioni legittime utilizzate per gestire portafogli di criptovalute e diffonde malware che forniscono il controllo sui sistemi della vittima.
Abuso di aggiornamenti e di servizi online
Gli attori APT – prosegue l’analisi di Kaspersky – cercano continuamente nuovi modi per aumentare l’efficienza dei loro attacchi.
Il gruppo di cyber mercenari soprannominato DeathStalker continua ad aggiornare i suoi poco sofisticati strumenti, in modo da rendere gli attacchi sempre più efficaci.
Janicab, loro malware storico introdotto per la prima volta nel 2013, è un ottimo esempio di questa tendenza.
Nel complesso, Janicab mostra le stesse funzionalità di altre famiglie di malware sue concorrenti, ma invece di scaricare gli strumenti nel corso dell’intrusione, come era solito fare con le intrusioni EVILNUM e Powersing, i nuovi campioni possiedono la maggior parte degli strumenti incorporati e nascosti all’interno del dropper.
Inoltre, DeathStalker si serve dei servizi online più conosciuti del mondo come YouTube, Google+ e WordPerss, come dead-drop resolver (DDR) per comandare e controllare in maniera efficace e furtiva.
Il commento di Kaspersky
David Emm, principal security researcher di Kaspersky GReAT, ha dichiarato: “La geopolitica è sempre stata uno dei driver principali degli attacchi APT, e non è mai stato così evidente come adesso. Stiamo vivendo tempi difficili ed anche la sicurezza informatica lo testimonia.
Allo stesso tempo, possiamo confermare che per diversi threat actor il primo trimestre è stato all’insegna dell’ordinaria amministrazione: aggiornamenti continui degli strumenti e nuove campagne che ricercano informazioni e, soprattutto, denaro.
Questo significa che le organizzazioni devono essere più preparate che mai e assicurarsi di essere ben equipaggiate con tutti gli strumenti necessari per proteggersi dalle minacce esistenti ed emergenti”.
Il report Q1 APT Trends riassume i risultati raccolti dalle indagini di threat intelligence riservati ai clienti di Kaspersky: sono inclusi anche i dati degli Indicatori di Compromissione (IoC) e le regole YARA per prestare assistenza nell’analisi e nella caccia ai malware.
