Kaspersky pubblica il report APT Q1.

Redazione RHC : 7 Maggio 2021 07:00

Per quattro anni, il Global Research and Analysis Team (GReAT) di Kaspersky, pubblica riepiloghi trimestrali delle attività APT (Advanced Persistent Threat).

Il report di intelligence prodotto da Kaspersky, identifica gli attacchi più interessanti analizzati, suddividendoli per continente, in modo da far comprendere agli addetti ai lavori, anche a livello geografico, la distribuzione delle minacce nel loro complesso.

Riportiamo di seguito una sintesi del report, relativo ai paesi Europei oltre che la Federazione Russa e la Cina, eliminando tutta la parte relativa a Solarwinds della quale abbiamo parlato a sufficienza.

Europa

Durante il monitoraggio di routine dei rilevamenti per gli strumenti spyware FinFisher, abbiamo scoperto tracce che puntano a recenti implementazioni Web di FinFly.

In particolare, abbiamo scoperto due server con applicazioni web che sospettiamo, con grande sicurezza, siano state generate utilizzando FinFly Web. FinFly Web è, in sostanza, una suite di strumenti e pacchetti che implementano un server basato sul web. È stato documentato pubblicamente per la prima volta nel 2014, all’indomani dell’incidente di hacking della Gamma Group. Uno dei sospetti server Web FinFly è stato attivo per più di un anno tra ottobre 2019 e dicembre 2020. Questo server è stato disabilitato un giorno dopo la nostra scoperta lo scorso dicembre. Tuttavia, siamo stati in grado di acquisire una copia della sua pagina di destinazione, che includeva JavaScript utilizzato per profilare le vittime utilizzando quello che sembra essere un codice precedentemente sconosciuto.

Nel secondo caso il server che ospita FinFly Web era già offline al momento della scoperta, quindi abbiamo tratto le nostre conclusioni utilizzando i dati storici disponibili. Come si è scoperto, è stato attivo per un periodo molto breve intorno a settembre 2020 su un host che sembra aver impersonato il popolare servizio Mail.ru.

Sorprendentemente, questo server ha ricominciato a rispondere il 12 gennaio. Finora, non abbiamo visto alcun payload correlato utilizzato da queste pagine web.

Attività di lingua russa

Kazuar è ​​una backdoor .NET solitamente associata all’attore di minacce Turla (noto anche come Snake e Uroboros). Recentemente, Kazuar ha ricevuto un rinnovato interesse a causa delle sue somiglianze con la backdoor Sunburst. Sebbene le capacità di Kazuar siano già state esposte pubblicamente, molti fatti interessanti su questa backdoor non sono stati resi pubblici. I nostri ultimi rapporti si concentrano sulle modifiche apportate dall’attore delle minacce alle versioni di settembre e novembre della sua backdoor.

Il 24 febbraio, il Consiglio di difesa della sicurezza nazionale dell’Ucraina (NSDC) ha pubblicamente avvertito che un attore di minacce aveva sfruttato un sistema di circolazione dei documenti nazionali (SEI EB) per distribuire documenti dannosi alle autorità pubbliche ucraine. L’avviso conteneva alcuni IoC di rete correlati e specificava che i documenti utilizzavano macro dannose per rilasciare un impianto su sistemi mirati. Grazie agli IoC condivisi, siamo stati in grado di attribuire questo attacco, con grande sicurezza, all’attore della minaccia Gamaredon. L’IP del server dannoso menzionato dall’NSDC è noto a Kaspersky da febbraio come infrastruttura Gamaredon.

Il 27 gennaio, l’agenzia nazionale francese per la sicurezza informatica (ANSSI) ha pubblicato un rapporto che descrive una campagna di attacco che ha preso di mira sistemi Centreon pubblicamente esposti e obsoleti tra il 2017 e il 2020, al fine di implementare webshell Fobushell (alias PAS) e impianti Exaramel. L’ANSSI ha associato la campagna al set antintrusione Sandworm, che chiamiamo Ade. Sebbene abbiamo cercato specificamente ulteriori sistemi Centreon compromessi, campioni di impianti Exaramel o infrastrutture associate, non siamo stati in grado di recuperare alcun artefatto utile da cui avviare un’indagine completa. Tuttavia, abbiamo identificato tre server Centreon in cui era stata distribuita una webshell Fobushell. Uno di questi campioni Fobushell era identico a un altro precedentemente identificato su un server Zebrocy C2.

Attività di lingua cinese

Abbiamo scoperto una serie di attività dannose, che abbiamo chiamato EdwardsPheasant, che prendono di mira principalmente organizzazioni governative in Vietnam da giugno 2020. Gli aggressori sfruttano backdoor e loader precedentemente sconosciuti e offuscati. Le attività hanno raggiunto il picco nel novembre 2020, ma sono ancora in corso. Il gruppo associato continua a sfruttare i suoi strumenti e le sue tattiche per compromettere gli obiettivi o mantenere l’accesso alle loro reti. Anche se abbiamo potuto identificare somiglianze con gli strumenti e le tattiche associate a Cycldek (alias Goblin Panda) e Lucky Mouse (alias Emissary Panda), non siamo stati in grado di attribuire questo insieme di attività a nessuno dei due in modo definitivo.

Abbiamo esaminato una campagna di spionaggio di lunga durata, denominata A41APT, rivolta a più settori, tra cui l’industria manifatturiera giapponese e le sue basi all’estero, attiva da marzo 2019. Gli aggressori hanno utilizzato le vulnerabilità in un prodotto SSL-VPN per implementare un sistema loader multilivello che abbiamo soprannominato Ecipekac (aka DESLoader, SigLoader e HEAVYHAND). Attribuiamo questa attività ad APT10 con elevata confidenza. La maggior parte dei payload rilevati distribuiti da questo strumento sono privi di file e non sono stati visti prima. Abbiamo osservato SodaMaster (aka DelfsCake, dfls e DARKTOWN), P8RAT (aka GreetCake e HEAVYPOT) e FYAnti (aka DILLJUICE Stage 2) che a sua volta carica QuasarRAT. A novembre e dicembre 2020, sono stati pubblicati due post di blog pubblici su questa campagna. Un mese dopo, abbiamo osservato nuove attività del gruppo con una versione aggiornata di alcuni dei loro impianti progettati per eludere i prodotti di sicurezza e rendere l’analisi più difficile per i ricercatori.

Fonte

APT trends report Q1 2021