Nel corso di un’attività di monitoraggio sul gruppo di esperti nella creazione di cyberminacce APT ScarCruft gli esperti di Kaspersky lab hanno scoperto il loro utilizzo di nuove tecniche e tool, facenti parte di una vera e propria evoluzione basata anche sui dati raccolti dalle vittime di attacchi.
L’evoluzione di Scarcruft
Il gruppo APT (Advanced Persistent Threat) ScarCruft rappresenta una vera e propria organizzazione cybercriminale che, finanziata da uno stato-nazione, tende a prendere di mira realtà governative e aziende tramite una continua ricerca di informazioni utili da un punto di vista politico.
I ricercatori di Kaspersky Lab, già impegnati da tempo in un’attività di monitoraggio di questo gruppo, hanno notato una nuova evoluzione, basata sul maggiore interesse in fatto di dati provenienti dai dispositivi mobile e nell’adattare tool e servizi apparentemente legittimi per le proprie operazioni di cyberspionaggio.
Stando ai dati ottenuti dall’indagine, gli attacchi avrebbero inizio tramite una campagna di spear-phishing, o con una serie di compromissioni di siti web strategici.
A questa attività iniziale seguirebbe poi la vera e propria infezione che, capace di bypassare il Controllo Account Utente di Windows (UAC), riuscirebbe così ad eseguire il payload successivo con privilegi superiori, sfruttando la steganografia (l’arte di nascondere dati all’interno di altri dati per non essere scoperti da fonti esterne) per non farsi individuare a livello di rete.
L’ultima fase dell’infezione attuata dal malware prevede poi l’installazione di una backdoor cloud-based, che raccoglie una grande varietà di informazioni dai sistemi e dai dispositivi delle vittime e può inviare tutto a quattro cloud service, come Box, Dropbox, pCloud e Yandex.Disk.
[amazon_link asins=’B07H3WBLQ9,B0757FJCJ5,B07594QH5J’ template=’ProductCarousel’ store=’gamspri02-21′ marketplace=’IT’ link_id=’99fa154e-3b19-4a0f-858c-0181160a975a’]Proteggersi secondo Kaspersky Lab
Per evitare di diventare vittime di un attacco mirato da parte di autori di minacce informatiche, i ricercatori di Kaspersky Lab consigliano di mettere in pratica alcuni semplici accorgimenti:
- Mantenere i propri team SOC sempre aggiornati sugli strumenti, le tecniche e le tattiche nuove ed emergenti utilizzate dagli autori delle minacce e dai cybercriminali, fornendo loro l’accesso alla Threat Intelligence più recente;
- Adottare soluzioni EDR per il rilevamento a livello degli endpoint, l’analisi e la messa in atto di una strategia di remediation tempestiva;
- Implementare una soluzione di sicurezza aziendale e in grado di rilevare minacce avanzate a livello di rete;
- Proporre occasioni di formazione dedicate alla “security awareness” per i propri dipendenti ed insegnare loro alcune abilità pratiche.