Milano, 14 luglio 2021 - Gli esperti di Kaspersky hanno scoperto una rara campagna di minacce persistenti avanzate (APT) su larga scala rivolta ad utenti del sud-est asiatico, in particolare in Myanmar e nelle Filippine. Kaspersky ha identificato circa 100 vittime in Myanmar e 1.400 nelle Filippine, alcune delle quali erano entità
Le campagne di minacce persistenti avanzate sono, per loro natura, altamente mirate. Spesso il numero di utenti presi di mira coinvolge solo una decina di persone che vengono selezionate con una precisione chirurgica. Ecco perché, quando ha scoperto questa campagna di massa che ha colpito il sud-est asiatico, Kaspersky l’ha definita rara.
Questo cluster di attività, chiamato LuminousMoth, conduce attacchi di spionaggio informatico contro entità governative dal mese di ottobre del 2020. Mentre inizialmente si concentravano sul Myanmar, gli attaccanti hanno poi spostato la loro attenzione sulle Filippine. Solitamente, i criminali informatici ottengono un punto d'appoggio iniziale nel sistema tramite un'e-mail di spear-phishing contenente un link per il download di Dropbox. Cliccando su questo link viene scaricato un archivio RAR camuffato da documento Word che contiene il payload dannoso.
Una volta scaricato sul sistema, il malware tenta di infettare altri host diffondendosi attraverso unità USB rimovibili. Una volta trovata un'unità, il malware crea delle directory nascoste al suo interno, dove poi sposta tutti i file della vittima, insieme agli eseguibili dannosi.
Il malware dispone anche di due strumenti di post-exploitation che a loro volta possono essere utilizzati per il movimento laterale. Il primo consiste in una versione firmata e falsa di Zoom mentre l’altro ruba i cookie dal browser Chrome. Una volta sul dispositivo, LuminousMoth procede ad esfiltrare i dati al server di comando e controllo (C2). Nel caso delle vittime prese di mira in Myanmar, i server C2 erano spesso domini che impersonavano noti organi di stampa.
Gli esperti di Kaspersky attribuiscono, con un livello di certezza medio alto, LuminousMoth al gruppo HoneyMyte, noto threat actor di lingua cinese. L’obiettivo principale di HoneyMyte è quello di raccogliere informazioni geopolitiche ed economiche in Asia e Africa.
"Questo nuovo gruppo di attività potrebbe indicare ancora una volta una tendenza a cui abbiamo assistito nel corso di quest'anno: i threat actor di lingua cinese che riorganizzano e producono nuovi impianti di malware prima sconosciuti", ha commentato Mark Lechtik, Senior Security Researcher del Global Research and Analysis Team (GReAT).
“La diffusione su larga scala di questo tipo di attacco lo rende piuttosto raro. Un’altra caratteristica interessante è il livello maggiore di interesse dimostrato nei confronti delle vittime basate nelle Filippine rispetto a quelle in Myanmar. Questo potrebbe essere dovuto all'uso di unità USB come meccanismo di diffusione oppure potrebbe esserci un altro vettore di infezione di cui non siamo ancora a conoscenza che viene utilizzato nelle Filippine", ha aggiunto Aseel Kayal, Senior Security Researcher del GReAT.
"Stiamo assistendo ad un aumento dell'attività da parte dei threat actor di lingua cinese nell'ultimo anno e questo molto probabilmente non sarà l'ultimo attacco di LuminousMoth. Inoltre, c'è un'alta probabilità che il gruppo inizi ad affinare ulteriormente i propri strumenti. Terremo d'occhio eventuali sviluppi futuri", ha commentato Paul Rascagneres, Senior Security Researcher di GReAT.
È possibile trovare ulteriori informazioni su LuminousMoth su Securelist.
Per proteggersi da campagne di minacce avanzate come LuminousMoth, gli esperti di Kaspersky consigliano di:
• Formare il personale sulle basi della sicurezza informatica, poiché molti attacchi mirati iniziano con il phishing o altre tecniche di ingegneria sociale
• Effettuare un audit di sicurezza informatica delle proprie reti e rafforzare eventuali punti deboli scoperti nel perimetro o all'interno della rete.
• Installare soluzioni anti-APT ed EDR, che consentono di rilevare le minacce, analizzarle e risolvere tempestivamente gli incidenti. Fornire al proprio team SOC l'accesso alle informazioni più recenti sulle minacce informatiche e aggiornarlo regolarmente con una formazione professionale. Tutto questo è disponibile all'interno del Kaspersky Expert Security framework.
• Insieme a un'adeguata protezione degli endpoint, i servizi dedicati possono aiutare in caso di attacchi di alto profilo. Il servizio Kaspersky Managed Detection and Response aiuta a identificare e bloccare gli attacchi nelle fasi iniziali, prima che gli attaccanti raggiungano i loro obiettivi.
Informazioni su Kaspersky
Kaspersky è un’azienda di sicurezza informatica e digital privacy che opera a livello globale fondata nel 1997. La profonda competenza di Kaspersky in materia di threat intelligence e sicurezza si trasforma costantemente in soluzioni e servizi innovativi per proteggere le aziende, le infrastrutture critiche, i governi e gli utenti di tutto il mondo. L'ampio portfolio di soluzioni di sicurezza dell'azienda include la protezione degli Endpoint leader di settore e una serie di soluzioni e servizi specializzati per combattere le minacce digitali sofisticate e in continua evoluzione. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky e aiutiamo 240.000 clienti aziendali a proteggere ciò che è per loro più importante. Per ulteriori informazioni: https://www.kaspersky.it/
Seguici su:
https://twitter.com/KasperskyLabIT
http://www.facebook.com/kasperskylabitalia
https://www.linkedin.com/company/kaspersky-lab-italia
https://www.instagram.com/kasperskylabitalia/
https://t.me/KasperskyItalia
Contatto di redazione:
Noesis
Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
