Una recente analisi delle società di sicurezza informatica Symantec e Carbon Black rivela che gli attori delle minacce legati alla Russia hanno condotto campagne sofisticate contro le entità ucraine facendo affidamento su tecniche di “vivere della terra” e su un malware minimo. Secondo i risultati, queste operazioni hanno preso di mira un’importante organizzazione di servizi alle imprese per due mesi e un ente governativo locale per una settimana.
Gli attacchi sono iniziati con l’implementazione di web shell su server pubblici all’interno della rete dell’organizzazione aziendale, probabilmente dopo lo sfruttamento di una o più vulnerabilità prive di patch. Una volta stabilito l’accesso, gli aggressori hanno utilizzato strumenti nativi come PowerShell per eludere il rilevamento, impostando attività pianificate e creando dump di memoria ogni trenta minuti.
Tra gli strumenti utilizzati dagli intrusi c’era “LocalOlive”, una web-shell precedentemente attribuita a un sottogruppo del team Sandworm collegato alla Russia all’interno di quella che è nota come la campagna BadPilot. Nonostante questa connessione, i ricercatori non hanno ancora trovato prove definitive che la campagna faccia parte delle attività di Sandworm.
Gli aggressori hanno anche eseguito comandi per elencare i processi in esecuzione che iniziano con “kee”, suggerendo che probabilmente stavano prendendo di mira il vault del gestore di password KeePass. Hanno quindi installato software come OpenSSH, modificato le regole del traffico di rete, creato attività pianificate per le backdoor e introdotto uno strumento legittimo di gestione del router chiamato “winbox64.exe” per mascherare le attività dannose.
Questa operazione rientra in un modello più ampio di criminalità elettronica di origine russa in cui gli attori delle minacce utilizzano impronte minime e si affidano fortemente a strumenti di sistema legittimi piuttosto che a malware evidenti. L’obiettivo sembra essere l’accesso persistente e il furto di dati piuttosto che l’interruzione immediata. I ricercatori descrivono come gli aggressori possono sfruttare una profonda conoscenza dell’ecosistema Windows per entrare, spostarsi lateralmente, rubare credenziali ed evitare il rilevamento per periodi prolungati.
Il rapporto rileva che una delle sfide principali nella risposta a tali attacchi è l’uso di utilità native piuttosto che di file binari di exploit personalizzati. Quando le operazioni vengono eseguite utilizzando strumenti già presenti nell’ambiente, possono aggirare molte soluzioni tradizionali di sicurezza degli endpoint che si concentrano sul rilevamento di minacce esterne o malware noti.
Sebbene l’analisi non abbia identificato con certezza uno specifico attore criminale o un gruppo di minacce, le prove suggeriscono che dietro la campagna c’è probabilmente un’organizzazione con sede in Russia, o almeno una che opera in quella regione. Gli esperti avvertono che, con l’aumento della pressione delle forze dell’ordine e dell’intelligence, questi attori delle minacce operano sempre più come aziende, utilizzando strumenti a duplice uso e adottando un ingombro minimo per rimanere al di sotto delle soglie di rilevamento.
Per le organizzazioni che operano in Ucraina e oltre, l’incidente sottolinea l’importanza di monitorare l’utilizzo degli strumenti nativi, rivedere le attività pianificate e controllare i protocolli di accesso remoto. I team di difesa devono presumere che gli aggressori possano già essere all’interno delle loro reti, utilizzando strumenti di sistema legittimi per campionare i dati e muoversi silenziosamente. L’esecuzione tempestiva della gestione delle vulnerabilità, del monitoraggio comportamentale e della registrazione avanzata è essenziale per prevenire o rilevare queste campagne di basso profilo.
Questi risultati arrivano con l’evolversi del panorama delle minacce informatiche, con una crescente sovrapposizione tra le operazioni degli stati nazionali e la criminalità organizzata. Sebbene questa particolare campagna sembri focalizzata sul furto piuttosto che sul sabotaggio immediato, le stesse tattiche potrebbero essere applicate a infrastrutture critiche, catene di approvvigionamento o settori in cui l’accesso persistente è molto apprezzato.
Site Disclaimer
2-remove-virus.com is not sponsored, owned, affiliated, or linked to malware developers or distributors that are referenced in this article. The article does not promote or endorse any type of malware. We aim at providing useful information that will help computer users to detect and eliminate the unwanted malicious programs from their computers. This can be done manually by following the instructions presented in the article or automatically by implementing the suggested anti-malware tools.
The article is only meant to be used for educational purposes. If you follow the instructions given in the article, you agree to be contracted by the disclaimer. We do not guarantee that the artcile will present you with a solution that removes the malign threats completely. Malware changes constantly, which is why, in some cases, it may be difficult to clean the computer fully by using only the manual removal instructions.