NewsSicurezza

Un ricerca di Kaspersky ha rivelato una campagna di minacce APT

I bersagli sono gli utenti del sud-est asiatico

Gli esperti di Kaspersky hanno scoperto una rara campagna di minacce persistenti avanzate (APT), su larga scala. La minaccia è rivolta ad utenti del sud-est asiatico, in particolare in Myanmar e nelle Filippine. Kaspersky ha identificato circa 100 vittime in Myanmar e 1.400 nelle Filippine, alcune delle quali erano entità governative. L’infezione viene diffusa inizialmente tramite e-mail di spear-phishing contenenti un documento Word dannoso che, una volta scaricato sul sistema, diffonde il malware ad altri host tramite unità USB rimovibili. Questo cluster di attività è stato denominato LuminousMoth.

Kaspersky rivela una campagna di minacce APT che coinvolge il sud-est asiatico

Un ricerca di Kaspersky ha rivelato una campagna di minacce persistenti avanzate (APT) che ha coinvolto utenti del sud-est asiatico. Attualmento sono circa 100 vittime in Myanmar e 1.400 nelle Filippine, alcune delle quali erano entità governative. Le campagne di minacce persistenti avanzate sono, per loro natura, altamente mirate. Spesso il numero
di utenti presi di mira coinvolge solo una decina di persone che vengono selezionate con una precisione chirurgica. Ecco perché, quando ha scoperto questa campagna di massa che ha colpito il sud-est asiatico, Kaspersky l’ha definita rara. Questo cluster di attività, chiamato LuminousMoth, conduce attacchi di spionaggio informatico contro entità governative dal mese di ottobre del 2020.

Mentre inizialmente si concentravano sul Myanmar, gli attaccanti hanno poi spostato la loro attenzione sulle Filippine. Solitamente, i criminali informatici ottengono un punto d’appoggio iniziale nel sistema tramite un’e-mail di spear-phishing contenente un link per il download di Dropbox. Cliccando su questo link viene scaricato un archivio RAR camuffato da documento Word che contiene il payload dannoso. Una volta scaricato sul sistema, il malware tenta di infettare altri host diffondendosi attraverso unità USB rimovibili. Una volta trovata un’unità, il malware crea delle directory nascoste al suo interno, dove poi sposta tutti i file della vittima, insieme agli eseguibili dannosi.

kaspersky logo

Il malware dispone anche di due strumenti di post-exploitation che a loro volta possono essere utilizzati per il movimento laterale. Il primo consiste in una versione firmata e falsa di Zoom mentre l’altro ruba i cookie dal browser Chrome. Una volta sul dispositivo, LuminousMoth procede ad esfiltrare i dati al server di comando e controllo (C2). Nel caso delle vittime prese di mira in ​​Myanmar, i server C2 erano spesso domini che impersonavano noti organi di stampa.

Come proteggersi da campagne di minacce avanzate come LuminousMoth?

Gli esperti di Kaspersky attribuiscono, con un livello di certezza medio alto, LuminousMoth al gruppo HoneyMyte, noto threat actor di lingua cinese. L’obiettivo principale di HoneyMyte è quello di raccogliere informazioni geopolitiche ed economiche in Asia e Africa. Per proteggersi da campagne di minacce avanzate come LuminousMoth, gli esperti di Kaspersky consigliano di:

  • Formare il personale sulle basi della sicurezza informatica, poiché molti attacchi mirati iniziano
    con il phishing o altre tecniche di ingegneria sociale
  • Effettuare un audit di sicurezza informatica delle proprie reti e rafforzare eventuali punti deboli
    scoperti nel perimetro o all’interno della rete.
  • Installare soluzioni anti-APT ed EDR, che consentono di rilevare le minacce, analizzarle e
    risolvere tempestivamente gli incidenti. Fornire al proprio team SOC l’accesso alle informazioni
    più recenti sulle minacce informatiche e aggiornarlo regolarmente con una formazione
    professionale. Tutto questo è disponibile all’interno del Kaspersky Expert Security framework.
  • Insieme a un’adeguata protezione degli endpoint, i servizi dedicati possono aiutare in caso di
    attacchi di alto profilo. Il servizio Kaspersky Managed Detection and Response aiuta a
    identificare e bloccare gli attacchi nelle fasi iniziali, prima che gli attaccanti raggiungano i loro obbiettivi.

È possibile trovare ulteriori informazioni su LuminousMoth su Securelist.

OffertaBestseller No. 1
TCL 10PRO, 6.47” FHD+ AMOLED Curved, Quad Cam 64+16+5+2MP, 6GB+128GB, Octa Core, Ember Gray [Versione Italiana]
  • Display 6.47” fhd+ amoled curved 19.5:9, nxtvision technology
  • Quad camera 64mp + 16mp super wide + 5mp macro + 2mp low-light, dual flash, hdr, video 4k
  • Fotocamera anteriore 24mp
  • Ram 6gb, memoria interna 128gb
  • Sensore d'impronte digitali su display e riconoscimento facciale
Bestseller No. 2
TCL 10 SE, 6.52” HD+, 2SIM, Tripla Cam 48+5+2MP, 4GB+128GB, Batt. 4000mAh, Polar Night [Versione Italiana]
  • Display 6.52” HD+, V-notch display, 20:9, 89% screen-to-body ratio, NXTVISION technology
  • Tripla camera 48mp + 5mp super wide + + 2mp profondità, dual flash, HDR
  • Fotocamera anteriore 8mp
  • Ram 4gb, memoria interna 128gb + possibilità di espansione; SO Android 10
  • Super bluetooth fino a 4 device collegati

Marzia Ramella

La mia serata tipo? Amici, pizza, film e un bel gioco da tavola. Amo i libri, i videogiochi, le serie tv, Harry Potter, i cartoni Disney, il mare, gli animali, viaggiare... insomma, di tutto un po'. Sono ottimista per natura, un pò lunatica e mamma di due cani bellissimi.

Ti potrebbero interessare anche:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Back to top button