NerdangoloHi Tech

Kaspersky svela le tendenze APT più rilevanti nel Q3 in Europa

Danilo Battista
Danilo Battista 1 anno fa
8 Min Lettura

Kaspersky svela le tendenze APT più rilevanti nel Q3 in Europa: nuovi attacchi ai drive USB protetti

Kaspersky ha scoperto che un drive USB protetto è stato compromesso tramite l’inserimento di un codice dannoso introdotto nel software di gestione degli accessi. Quest’unità era stata sviluppata da un ente governativo del sud-est asiatico per archiviare e trasferire in modo sicuro file tra macchine in ambienti particolarmente critici. Il codice dannoso era progettato per rubare file riservati salvati nella partizione sicura dell’unità, oltre ad agire come un worm USB e diffondere l’infezione anche alle altre unità USB della stessa tipo. Sebbene la modalità di attacco sia simile a quella dello scorso anno contro le unità che impiegavano il software di gestione USB UTetris, attribuita da Kaspersky a TetrisPhantom, in questo caso si tratterebbe di un codice completamente nuovo. Nel report Kaspersky Q3 APT viene analizzato il Trojanized USB management software usato in questo attacco e altre caratteristiche degli strumenti utilizzati dai gruppi di cybercriminali.

In Europa, tra i risultati più significativi descritti nel report Q3 APT di Kaspersky ci sono: 

  • Awaken Likho: campagna APT, attiva almeno da luglio 2021, che prende di mira principalmente organizzazioni governative e contractor. Ad oggi Kaspersky ha individuato oltre 120 attacchi in Russia, ma anche in altri Paesi, tra cui India, Cina, Vietnam, Taiwan, Turchia, Slovacchia, Filippine, Australia, Svizzera e Repubblica Ceca. Sulla base delle rilevazioni, emergono due caratteristiche distintive: tutti gli attacchi sono ben preparati e i cybercriminali si affidano all’uso di UltraVNC, strumento legittimo di gestione remota. Sebbene questa tecnica sia relativamente semplice, viene utilizzata con successo da molti anni. A maggio 2024 Kaspersky ha individuato una nuova campagna Awaken Likho, in cui i cybercriminali hanno apportato lievi modifiche alle proprie TTP. In questa campagna, gli archivi basati su Golang SFX sono stati ripuliti, eliminando i file inutilizzati, passando all’esecuzione di script AutoIT dopo l’estrazione dei file. UltraVNC è sempre stato il payload finale, ma in questa campagna è stato fatto passare per un’utility di aggiornamento di OneDrive. Gli obiettivi sono rimasti invariati rispetto alla campagna precedente, concentrandosi principalmente su organizzazioni governative e contractor con sede in Russia. Successivamente, a giugno 2024, è stata rilevata una nuova evoluzione della campagna, ancora in corso: Awaken Likho aveva leggermente modificato le proprie TTP. Gli attori delle minacce hanno continuato a utilizzare script AutoIT e hanno iniziato ad impiegare sistemi di protezione come Themida per mettere al sicuro i campioni. Sebbene la maggior parte dei sample individuati distribuisca ancora il modulo UltraVNC, in diversi casi il payload finale è stato cambiato da UltraVNC a MeshAgent, ma a differenza delle campagne precedenti, non sono stati individuati i dropper Golang SFX. Grazie all’utilizzo di strumenti open source gratuiti, i cybercriminali sono in grado di adattare rapidamente le loro tecniche durante gli attacchi.

  • Epeius: strumento di spyware commerciale sviluppato da un’azienda italiana che fornisce soluzioni di intelligence a forze dell’ordine e governi. Negli ultimi anni, il malware ha attirato l’attenzione delle community a causa della pubblicazione di due articoli. Il primo, pubblicato nel 2021 da Motherboard e Citizen Lab, ha condiviso le prime prove e gli indicatori relativi al software. Il secondo, pubblicato nel 2024 dal Google Threat Analysis Group, ha descritto il modello di business di varie aziende che offrono soluzioni di sorveglianza commerciale. Le ricerche su questa minaccia sono iniziate nel 2021 e, nel 2023, è stato individuato un file DEX attribuito molto probabilmente a Epeius.

“Nel 2024, Kaspersky ha rilevato e bloccato 3 miliardi di minacce a livello globale. La compromissione di software su drive USB sicuri è un evento insolito, ma evidenzia il fatto che anche gli spazi digitali locali protetti possono essere vulnerabili ad attacchi sofisticati. I cybercriminali aggiornano costantemente i loro strumenti e ampliano la portata delle loro attività, allargando i loro obiettivi, sia in termini di target che aree geografiche. È in aumento anche l’uso di strumenti open-source da parte degli attori delle minacce APT”, ha commentato David Emm, Principal Security Researcher di Kaspersky.

Il report completo sulle tendenze APT del terzo trimestre 2024 è disponibile su Securelist.

Le Advanced Persistent Threat (APT) sono tecniche di hacking continue, clandestine e sofisticate, utilizzate per ottenere l’accesso a un sistema e rimanervi per un lungo periodo, con conseguenze potenzialmente dannose. Le APT sono generalmente dirette a realtà come Stati Nazione e grandi aziende. L’obiettivo principale è quello di sottrarre informazioni per un periodo prolungato, piuttosto che agire in modo rapido, come fanno molti hacker black-hat durante attacchi informatici di livello inferiore.

Per evitare di diventare vittime di un attacco mirato, i ricercatori di Kaspersky consigliano a utenti e organizzazioni di:

  • Fornire al team SOC le più recenti informazioni di Threat intelligence (TI). Kaspersky Threat Intelligence rappresenta un punto di accesso centralizzato alla TI aziendale, fornendo dati e approfondimenti sui cyberattacchi raccolti da Kaspersky in oltre 20 anni.
  • Aggiornare le competenze del team di cybersecurity per affrontare le minacce mirate più recenti, grazie a Kaspersky online training, sviluppata dagli esperti del GReAT.
  • Implementare una soluzione di sicurezza aziendale che rilevi precocemente le minacce avanzate a livello di rete, come Kaspersky Anti Targeted Attack Platform.
  • Utilizzare soluzioni centralizzate e automatizzate, come Kaspersky Next XDR Expert, per garantire una protezione completa di tutte le risorse aziendali.
  • Introdurre corsi di sensibilizzazione sulla sicurezza e fornire competenze pratiche al team, ad esempio tramite Kaspersky Automated Security Awareness Platform, poiché molti attacchi mirati iniziano con phishing o altre tecniche di social engineering.
  • Aggiornare regolarmente sistema operativo e software e farlo tempestivamente ogni volta che sono disponibili nuovi aggiornamenti.

Informazioni su Kaspersky

Kaspersky è un’azienda globale di cybersecurity e privacy digitale fondata nel 1997. Con oltre un miliardo di dispositivi protetti dalle minacce informatiche emergenti e dagli attacchi mirati, la profonda esperienza di Kaspersky in materia di sicurezza e di Threat Intelligence si trasforma costantemente in soluzioni e servizi innovativi per la sicurezza di aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. Il portfolio completo dell’azienda comprende una protezione Endpoint leader, prodotti e servizi di sicurezza specializzati e soluzioni Cyber Immune per contrastare le minacce digitali sofisticate e in continua evoluzione. Aiutiamo oltre 200.000 aziende a proteggere ciò che più conta per loro. Per ulteriori informazioni è possibile consultare https://www.kaspersky.it/ 

 Seguici su:

https://twitter.com/KasperskyLabIT 

http://www.facebook.com/kasperskylabitalia

https://www.linkedin.com/company/kaspersky-lab-italia

https://www.instagram.com/kasperskylabitalia/

https://t.me/KasperskyItalia

Potrebbe piacerti anche

Meccaniche di Ricompensa Randomizzate nei Videogiochi Moderni

Pluribus è già la serie dei record per Apple, sorpassato anche Ted Lasso

Roomba dichiara bancarotta: iRobot in mano cinese dopo lo stop di Amazon

Roblox bandito in Russia, i videogiocatori manifestano

Digital Renaissance: IA, cyber e innovazione alla Camera

Share this Article
Pubblicato da Danilo Battista
Follow:
Appassionato sin da piccolo della cultura giapponese, è stato rapito tanti anni fa da Goldrake e portato su Vega. Tornato sulla Terra la sua viscerale passione per l'universo nipponico l'ha portato nel corso degli anni a conoscere ed amare ogni sfumatura della cultura del Sol Levante. Su Senzalinea ha cominciato a scrivere di tecnologia e di cosplay. Da diverso tempo gestisce la sezione "Nerdangolo" ma ha promesso che un giorno, neanche tanto lontano, tornerà su Vega...
Previous Article NBA 2K25 Stagione 3: il 29 novembre entra nel paese delle meraviglie invernale
Next Article La collana “Il mio primo fumetto” si arricchisce di due nuovi titoli dedicati al Natale

Ultime notizie

Raffaele Cars
Raffaele Cars, su Amazon i suoi “Racconti per assecondare la malinconia”
18 minuti fa Sergio Visconti
Meccaniche di Ricompensa Randomizzate nei Videogiochi Moderni
3 ore fa Redazione
IL GRANDE KOLOSSAL “LA MALEDIZIONE DEI CARAIBI”
4 ore fa Redazione
“61- 37 – Vino e Cabala” Venerdi 19 dicembre Vigna delle Rose
4 ore fa Redazione
B.O.P. – Beats of Pompeii 2026 svela il settimo appuntamento: COEZ in concerto
4 ore fa Redazione
UN TANGO A NAPOLI: la leggenda CARLOS GARDEL al centro del nuovo appuntamento con “Il Valore dell’Esperienza”
4 ore fa Redazione
Natale 2025
Natale 2025 WOW: un menù completo che rispetta la tradizione (ma la fa ballare)
4 ore fa Carmelita de Santis
I VINCITORI DEL PREMIO STREGA RAGAZZE E RAGAZZI
4 ore fa Cristiana Abbate
Rimini, scontro tra scooter e auto: morta una 18enne
21 ore fa Redazione
Obesità, dall’esperienza di Uk e Lombardia un modello sistemico per gestirla
21 ore fa Redazione
Lost your password?