• BitMAT
  • BitMATv
  • Top Trade
  • Linea EDP
  • Itis Magazine
  • Speciale Cloud
  • Industry 4.0
  • Sanità Digitale
  • Redazione
  • Contattaci
LineaEDP
    Facebook Twitter Vimeo LinkedIn RSS
    Trending
    • PMI al sicuro con il decalogo di CWS Digital Solutions
    • Altaro VM Backup protegge le macchine virtuali Hyper-V e VMware
    • Trasformazione digitale: sei un’azienda best performer?
    • VMware: benvenute vSphere+ e vSAN+
    • Talentia Software si espande in LATAM: apre un nuovo ufficio in Cile
    • Gruppo Project presenta il primo bilancio di sostenibilità
    • Customer experience: è tempo di saper misurare il ROI
    • Le frodi non fermano le attività digitali
    Facebook Twitter Vimeo LinkedIn RSS
    LineaEDP
    • Cio
    • Cloud
    • Mercato
    • News
    • Tecnologia
    • Case History
    • Report
    • Sicurezza
    • IOT
    LineaEDP
    Sei qui:Home»Featured»Kaspersky: ecco i nuovi trend negli attacchi APT
    Featured

    Kaspersky: ecco i nuovi trend negli attacchi APT

    Di Redazione LineaEDP04/11/2020Lettura 5 Min
    Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email

    I ricercatori di Kaspersky hanno studiato e individuato le nuove tendenze negli attacchi APT

    APT_Kaspersky

    Nel terzo trimestre del 2020, i ricercatori di Kaspersky hanno osservato una spaccatura nell’approccio adottato dai threat actor. Sono stati osservati diversi sviluppi nelle tattiche, tecniche e procedure (TTP) dei gruppi APT di tutto il mondo, oltre a campagne efficaci che utilizzano vettori di infezione e set di strumenti piuttosto banali.

    Uno dei risultati più importanti del trimestre è stata una campagna condotta da un threat actor non ancora conosciuto che ha deciso di infettare una delle vittime utilizzando un bootkit personalizzato per l’UEFI, un componente hardware essenziale dei moderni dispositivi informatici. Questo vettore di infezione faceva parte di un framework a più stadi chiamato MosaicRegressor. L’infezione del UEFI ha reso il malware installato sul dispositivo più persistente ed estremamente difficile da rimuovere. Inoltre, il payload scaricato dal malware sui dispositivi di ciascuna vittima poteva essere diverso. Questo approccio flessibile ha permesso al threat actor di nascondere il suo payload in modo efficace.

    Altri gruppi criminali si avvalgono della steganografia. In the wild è stato rilevato, in un attacco rivolto ad una società di telecomunicazioni europea, un nuovo metodo che abusa del binario Windows Defender firmato Authenticode, un programma integrale e approvato per la soluzione di sicurezza Windows Defender. Una campagna in corso, attribuita a Ke3chang, ha utilizzato una nuova versione della backdoor di Okrum. Questa versione aggiornata di Okrum abusa di un binario di Windows Defender firmato Authenticode attraverso l’impiego di una tecnica di side-loading unica nel suo genere. Gli aggressori hanno utilizzato la steganografia per nascondere il payload principale nell’eseguibile del Defender, mantenendone valida la firma digitale e riducendo così le possibilità di rilevamento.

    Anche molti altri threat actor continuano ad aggiornare i loro toolset per renderli più flessibili e meno inclini al rilevamento. Diversi framework multistadio, come quello sviluppato dal gruppo APT MuddyWater, continuano ad apparire in the wild. Questo trend vale anche per altri malware come Dtrack RAT (Remote Access Tool), ad esempio, che è stato aggiornato con una nuova funzione che consente all’aggressore di eseguire diversi payload.

    Tuttavia, alcuni gruppi criminali utilizzano ancora con successo catene di infezione a bassa tecnologia come ad esempio un gruppo di mercenari che i ricercatori di Kaspersky hanno chiamato DeathStalker. Questo gruppo APT si concentra principalmente su studi legali e società che operano nel settore finanziario, raccogliendo informazioni sensibili e preziose dalle vittime. Grazie all’impiego di tecniche per lo più identiche dal 2018 e ad una particolare attenzione ai metodi per eludere i sistemi di rilevamento, DeathStalker è stato in grado di portare avanti una serie di attacchi di successo.

    “Mentre alcuni threat actor rimangono coerenti nel tempo cercando di sfruttare temi caldi come il COVID-19, per invogliare le vittime a scaricare allegati dannosi, altri gruppi reinventano sé stessi e i loro strumenti. Nell’ultimo trimestre abbiamo assistito all’ampliamento della portata delle piattaforme attaccate, ad un continuo lavoro sulle nuove catene di infezione e all’uso di servizi legittimi come parte della loro infrastruttura di attacco. In definitiva, per gli specialisti di sicurezza questo significa che i difensori dovranno investire diverse risorse nella caccia alle attività malevole in nuovi ambienti legittimi che in passato sono stati poco esaminati. Questo include malware scritti in linguaggi di programmazione meno conosciuti e veicolati attraverso servizi cloud legittimi. Il tracciamento delle attività degli attori e dei TTP ci permette di seguirli mentre adattano nuove tecniche e strumenti, e quindi di prepararci a reagire in tempo ai nuovi attacchi”, ha commentato Ariel Jungheit, Senior Security Researcher, Global Research and Analysis Team di Kaspersky.

    È disponibile una sintesi delle tendenze APT dell’ultimo trimestre che riassume i risultati dei report di threat intelligence di Kaspersky relativi ai soli abbonati, oltre ad altre fonti che coprono i principali sviluppi di cui il settore aziendale dovrebbe essere a conoscenza. I report di threat intelligence di Kaspersky includono anche i dati sugli Indicatori di Compromissione (IoC), nonché le regole di Yara e Suricata per aiutare gli esperti forensi e supportare la caccia ai malware.

    Per evitare di cadere vittima di un attacco mirato da parte di un attore noto o sconosciuto, i ricercatori di Kaspersky raccomandano di mettere in pratica le seguenti misure:

    • Fornire al team SOC l’accesso alla threat intelligence più recente (TI). Kaspersky Threat Intelligence Portal offre un unico punto di accesso per la TI dell’azienda e fornisce i dati sugli attacchi informatici in corso e le informazioni raccolte da Kaspersky in oltre 20 anni di esperienza sul campo. È possibile accedere gratuitamente alle sue funzioni e controllare file, URL e indirizzi IP a questo link.
    • Per la detection a livello endpoint, l’indagine e il ripristino tempestivo degli incidenti, è necessario implementare soluzioni EDR come Kaspersky Endpoint Detection and Response.
    • Oltre ad adottare una protezione per endpoint è necessario implementare una soluzione di sicurezza di livello aziendale in grado di rilevare tempestivamente le minacce avanzate della rete, come Kaspersky Anti Targeted Attack Platform.

    Apt Kaspersky
    Condividi: Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email
    Redazione LineaEDP
    • Facebook
    • Twitter

    LineaEDP è parte di BitMAT Edizioni, una casa editrice che ha sede a Milano con copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.

    Correlati

    PMI al sicuro con il decalogo di CWS Digital Solutions

    30/06/2022

    Altaro VM Backup protegge le macchine virtuali Hyper-V e VMware

    30/06/2022

    VMware: benvenute vSphere+ e vSAN+

    30/06/2022
    Newsletter

    Iscriviti alla Newsletter per ricevere gli aggiornamenti dai portali di BitMAT Edizioni.

    BitMATv – I video di BitMAT
    SPS 2022: l’automazione è tornata in scena a Parma
    Security: le norme indicano il percorso
    Enabling an Intelligent and Sustainable Planet
    TURCK BANNER: IL PARTNER DELL’AUTOMAZIONE A 360°
    COGNEX: visione artificiale e deep learning per la fabbrica del futuro
    Defence Tech

    PMI al sicuro con il decalogo di CWS Digital Solutions

    30/06/2022

    Le frodi non fermano le attività digitali

    29/06/2022

    Colt annuncia Colt SASE Gateway

    29/06/2022

    Avviso preventivo su Antigena Email

    29/06/2022
    Report

    Trasformazione digitale: sei un’azienda best performer?

    30/06/2022

    Ivanti: la tecnologia fornita in ufficio non è sufficiente

    29/06/2022

    Sicurezza OT: le sfide per le organizzazioni

    29/06/2022

    Juniper: l’adozione dell’AI accelera in Europa ma la governance è in ritardo

    27/06/2022
    Chi Siamo
    Chi Siamo

    BitMAT Edizioni è una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione online ed offline rivolta agli specialisti dell'lnformation & Communication Technology.

    Facebook Twitter Vimeo LinkedIn RSS
    Rete BitMAT
    • Bitmat
    • BitMATv
    • Top Trade
    • LineaEdp
    • ItisMagazine
    • Speciale Sicurezza
    • Industry 4.0
    • Sanità Digitale
    • Redazione
    • Contattaci
    NAVIGAZIONE
    • Cio
    • Cloud
    • Mercato
    • News
    • Tecnologia
    • Case History
    • Report
    • Sicurezza
    • IOT
    Ultime

    PMI al sicuro con il decalogo di CWS Digital Solutions

    30/06/2022

    Altaro VM Backup protegge le macchine virtuali Hyper-V e VMware

    30/06/2022

    Trasformazione digitale: sei un’azienda best performer?

    30/06/2022
    • Contattaci
    • Cookies Policy
    • Privacy Policy
    • Redazione
    © 2012 - 2022 BitMAT Edizioni - P.Iva 09091900960 - tutti i diritti riservati - Iscrizione al tribunale di Milano n° 293 del 28-11-2018 - Testata giornalistica iscritta al ROC

    Scrivi nel campo e premi Invio per cercare. Premi Esc per annullare