MILANO – Nel terzo trimestre del 2020, i ricercatori di Kaspersky hanno osservato una spaccatura nell’approccio adottato dai threat actor. Sono stati osservati diversi sviluppi nelle tattiche, tecniche e procedure (TTP) dei gruppi APT di tutto il mondo, oltre a campagne efficaci che utilizzano vettori di infezione e set di strumenti piuttosto banali.
Uno dei risultati più importanti del trimestre è stata una campagna condotta da un threat actor non ancora conosciuto che ha deciso di infettare una delle vittime utilizzando un bootkit personalizzato per l’UEFI, un componente hardware essenziale dei moderni dispositivi informatici. Questo vettore di infezione faceva parte di un framework a più stadi chiamato MosaicRegressor. L’infezione del UEFI ha reso il malware installato sul dispositivo più persistente ed estremamente difficile da rimuovere. Inoltre, il payload scaricato dal malware sui dispositivi di ciascuna vittima poteva essere diverso. Questo approccio flessibile ha permesso al threat actor di nascondere il suo payload in modo efficace.
Altri gruppi criminali si avvalgono della steganografia. In the wild è stato rilevato, in un attacco rivolto ad una società di telecomunicazioni europea, un nuovo metodo che abusa del binario Windows Defender firmato Authenticode, un programma integrale e approvato per la soluzione di sicurezza Windows Defender. Una campagna in corso, attribuita a Ke3chang, ha utilizzato una nuova versione della backdoor di Okrum. Questa versione aggiornata di Okrum abusa di un binario di Windows Defender firmato Authenticode attraverso l’impiego di una tecnica di side-loading unica nel suo genere. Gli aggressori hanno utilizzato la steganografia per nascondere il payload principale nell’eseguibile del Defender, mantenendone valida la firma digitale e riducendo così le possibilità di rilevamento.
Anche molti altri threat actor continuano ad aggiornare i loro toolset per renderli più flessibili e meno inclini al rilevamento. Diversi framework multistadio, come quello sviluppato dal gruppo APT MuddyWater, continuano ad apparire in the wild. Questo trend vale anche per altri malware come Dtrack RAT (Remote Access Tool), ad esempio, che è stato aggiornato con una nuova funzione che consente all’aggressore di eseguire diversi payload.
Tuttavia, alcuni gruppi criminali utilizzano ancora con successo catene di infezione a bassa tecnologia come ad esempio un gruppo di mercenari che i ricercatori di Kaspersky hanno chiamato DeathStalker. Questo gruppo APT si concentra principalmente su studi legali e società che operano nel settore finanziario, raccogliendo informazioni sensibili e preziose dalle vittime. Grazie all’impiego di tecniche per lo più identiche dal 2018 e ad una particolare attenzione ai metodi per eludere i sistemi di rilevamento, DeathStalker è stato in grado di portare avanti una serie di attacchi di successo.
“Mentre alcuni threat actor rimangono coerenti nel tempo cercando di sfruttare temi caldi come il COVID-19, per invogliare le vittime a scaricare allegati dannosi, altri gruppi reinventano sé stessi e i loro strumenti. Nell’ultimo trimestre abbiamo assistito all’ampliamento della portata delle piattaforme attaccate, ad un continuo lavoro sulle nuove catene di infezione e all’uso di servizi legittimi come parte della loro infrastruttura di attacco. In definitiva, per gli specialisti di sicurezza questo significa che i difensori dovranno investire diverse risorse nella caccia alle attività malevole in nuovi ambienti legittimi che in passato sono stati poco esaminati. Questo include malware scritti in linguaggi di programmazione meno conosciuti e veicolati attraverso servizi cloud legittimi. Il tracciamento delle attività degli attori e dei TTP ci permette di seguirli mentre adattano nuove tecniche e strumenti, e quindi di prepararci a reagire in tempo ai nuovi attacchi”, ha commentato Ariel Jungheit, Senior Security Researcher, Global Research and Analysis Team di Kaspersky.
