I ricercatori Kaspersky hanno scoperto una campagna malevola in corso, inizialmente mirata a un ente governativo del Medio Oriente. Ulteriori indagini, hanno portato alla luce più di 30 campioni di dropper malware utilizzati attivamente in questa attività, che si presume possa espandersi in APAC, Europa e Nord America. Denominate DuneQuixote, le stringhe di malware includono frammenti di poesie spagnole per migliorare la loro persistenza ed eludere il rilevamento a scopo di spionaggio informatico.
Gli esperti di Kaspersky, grazie al loro continuo monitoraggio di minacce informatiche, hanno scoperto una campagna di cyber spionaggio, sconosciuta fino a Febbraio 2024, rivolta agli enti governativi del Medio Oriente. Gli autori dell’attacco hanno spiato l’obiettivo e raccolto dati sensibili grazie all’utilizzo di strumenti sofisticati, progettati per essere nascosti e persistenti.
I dropper iniziali del malware si fingono file di installazione compromessi di uno strumento legittimo, Total Commander. All’interno di questi dropper, sono contenute alcune righe di poesie spagnole, con stringhe diverse da un campione all’altro. Questa variazione mira ad alterare la tracciabilità di ciascun campione, rendendo più difficile il rilevamento con le metodologie tradizionali.
All’interno del dropper è presente un codice dannoso progettato per scaricare payload aggiuntivi sotto forma di una backdoor denominata CR4T. Queste backdoor, sviluppate in C/C++ e GoLang, garantiscono ai criminali informatici l’accesso al computer della vittima. In particolare, la variante GoLang utilizza l’API Telegram per le comunicazioni C2, implementando i public binding dell’API Telegram di Golang.
“Le varianti del malware dimostrano la capacità di adattamento e l’intrapredneza di questi cyber criminali. Attualmente abbiamo scoperto due impianti di questo tipo, ma sospettiamodell’esistenza di altri”, ha commentato Sergey Lozhkin, Principal Security Researcher, Kaspersky’s GReAT (Global Research and Analysis Team).
La telemetria di Kaspersky ha identificato una vittima in Medio Oriente già a febbraio 2024. Inoltre, alla fine del 2023 si sono verificati diversi upload dello stesso malware su un servizio di scansione malware semi-pubblico, con oltre 30 invii. Altre fonti sospettate di costituire nodi di uscita della VPN sono stati localizzati in Corea del Sud, Lussemburgo, Giappone, Canada, Paesi Bassi e Stati Uniti.
Per maggiori informazioni sulla nuova campagna DuneQuixote, visitate il sito Securelist.com.
Per non essere vittima di un attacco mirato da parte di un criminale informatico noto o sconosciuto, i ricercatori Kaspersky consigliano di implementare le seguenti misure:
⦁ Fornire al team SOC l’accesso alle informazioni più recenti sulle minacce (TI). ⦁ Kaspersky Threat Intelligence Portal è un unico punto di accesso per le informazioni sulle minacce aziendali, che fornisce dati e approfondimenti sui cyberattacchi raccolti da Kaspersky in oltre 20 anni.
⦁ Formare il team di cybersecurity per affrontare le ultime minacce mirate con ⦁ sessioni di training⦁ online di Kaspersky sviluppate dagli esperti di GReAT.
⦁ Implementare soluzioni EDR come ⦁ Kaspersky Endpoint ⦁ Detection⦁ and ⦁ Response per il rilevamento a livello endpoint, l’indagine e la risoluzione tempestiva degli incidenti.
⦁ Oltre ad adottare una protezione essenziale degli endpoint, implementare una soluzione di sicurezza aziendale che rilevi precocemente le minacce avanzate a livello di rete, come ⦁ Kaspersky Anti ⦁ Targeted⦁ Attack Platform.
⦁ Poiché molti attacchi mirati iniziano con il phishing o altre tecniche di social engineering, è necessario introdurre una sessione di formazione sulla consapevolezza della sicurezza e insegnare le competenze pratiche al team, ad esempio attraverso ⦁ Kaspersky ⦁ Automated⦁ Security ⦁ Awareness⦁ Platform
.
Informazioni su Kaspersky
Kaspersky è un’azienda globale di sicurezza informatica e digital privacy fondata nel 1997. Le profonde competenze in materia di Threat Intelligence e sicurezza si trasformano costantemente in soluzioni e servizi innovativi per proteggere aziende, infrastrutture critiche, governi e utenti in tutto il mondo. Il portfolio completo di sicurezza dell’azienda comprende una protezione leader degli endpoint e diverse soluzioni e servizi di sicurezza specializzati e soluzioni Cyber Immune, per combattere le sofisticate minacce digitali in continua evoluzione. Oltre 400 milioni di utenti sono protetti dalle tecnologie Kaspersky e aiutiamo 220.000 aziende a tenere al sicuro ciò che più conta per loro. Per ulteriori informazioni è possibile consultare https://www.kaspersky.it/
