Secondo quanto emerso da un nuovo report di Kaspersky, i principali attacchi APT nei primi tre mesi dell’anno in corso hanno riguardato le supply chain e lo sfruttamento degli exploit zero day.

Gli incidenti più noti sono stati la compromissione del software Orion IT di SolarWinds per il monitoraggio delle infrastrutture IT, che ha portato all’installazione di una backdoor personalizzata su più di 18.000 reti di aziende clienti, e la vulnerabilità in Microsoft Exchange Server che ha prodotto nuove campagne di attacco in Europa, Russia e Stati Uniti.

Gli attori delle minacce avanzate cambiano continuamente le loro tattiche, perfezionano i loro strumenti e lanciano costantemente nuovi attacchi. Per informare gli utenti e le organizzazioni delle minacce che devono affrontare, il Global Research and Analysis Team di Kaspersky (GReAT) pubblica alcuni report trimestrali sugli sviluppi più importanti nel panorama delle minacce persistenti avanzate.

Lo scorso trimestre, i ricercatori del GReAT hanno condotto delle indagini su due importanti attività malevole.

La prima attività presa in esame è stata quella relativa a SolarWinds e alla compromissione del suo software Orion IT utilizzato per la gestione e il monitoraggio delle reti. Questa compromissione ha permesso agli attaccanti di installare una backdoor personalizzata, nota come Sunburst, sulle reti di oltre 18.000 clienti, tra cui grandi aziende ed enti governativi in Nord America, Europa, Medio Oriente e Asia.

Dopo un’attenta analisi della backdoor, i ricercatori di Kaspersky hanno riscontrato delle somiglianze con la backdoor già nota come Kazuar, individuata per la prima volta nel 2017 e inizialmente attribuita al famigerato gruppo APT Turla. Le somiglianze osservate suggeriscono che gli autori di Kazuar e Sunburst possano essere in qualche modo collegati.

La seconda serie di attacchi analizzata dai ricercatori del GReAT è stata condotta sfruttando degli exploit zero day in Microsoft Exchange Server, per i quali in seguito sono state rese disponibili delle patch.

All’inizio di marzo, un nuovo attore APT noto come HAFNIUM ha approfittato di questi exploit per lanciare una serie di “attacchi limitati e mirati”. Durante la prima settimana di marzo sono stati colpiti circa 1.400 server unici, prevalentemente localizzati in Europa e negli Stati Uniti.

Considerato che alcuni server sono stati presi di mira più volte, è plausibile che più gruppi stiano utilizzando le vulnerabilità. Infatti, a metà marzo, i ricercatori di Kaspersky hanno individuato un’altra campagna che utilizzava questi stessi exploit e aveva come obiettivo la Russia.

Questa campagna ha mostrato alcuni legami con HAFNIUM, così come con gruppi di attività precedentemente noti su cui Kaspersky sta indagando.

Anche il famigerato gruppo APT Lazarus ha sfruttato un exploit zero-day per condurre un nuovo cluster di attività. In questo caso, il gruppo ha usato tecniche di ingegneria sociale per convincere i ricercatori di sicurezza a scaricare un file di progetto Visual Studio compromesso o per attirare le vittime sul loro blog con l’obiettivo poi di installare un exploit in Chrome.

Gli zero-days venivano usati come esche e l’attacco serviva a rubare le informazioni raccolte sulle vulnerabilità. La prima serie di attacchi si è verificata a gennaio mentre la seconda, avvenuta a marzo, è stata combinata alla creazione di profili fake sui social media e alla creazione di una società fittizia per ingannare le vittime prese di mira.

A un esame più attento, i ricercatori di Kaspersky hanno notato che il malware utilizzato nella campagna corrispondeva a ThreatNeedle, una backdoor sviluppata da Lazarus e recentemente impiegata in attacchi contro l’industria della difesa a metà del 2020.

Un’altra interessante campagna di exploit zero-day analizzata nel report, denominata TurtlePower e presumibilmente collegata al gruppo BitterAPT, ha preso di mira enti governativi e organizzazioni nel settore delle telecomunicazioni in Pakistan e Cina.

La vulnerabilità, ora patchata, sembra essere collegata a “Moses”, un broker che ha sviluppato almeno cinque exploit negli ultimi due anni, alcuni dei quali sono stati utilizzati sia da BitterAPT che da DarkHotel.

Come sottolineato in una nota ufficiale da Ariel Jungheit, senior security del GReAT di Kaspersky: «Il report sulle APT nel primo trimestre del 2021 ha dimostrato quanto possano essere distruttivi gli attacchi alla supply chain. Probabilmente, ci vorranno ancora diversi mesi per comprendere appieno la portata dell’attacco di SolarWinds. La buona notizia è che l’intera community di sicurezza si sta interessando a questo tipo di attacchi e sta cercando un modo per contrastarli. Questi primi tre mesi del 2021 hanno anche ricordato l’importanza di aggiornare i dispositivi con le patch non appena vengono rilasciate. Data la loro efficacia, i gruppi APT continueranno a sfruttare gli exploit zero-day per colpire le loro vittime, e come dimostrato dalla recente campagna di Lazarus lo faranno anche in modo creativo».

Il report sulle tendenze APT del Q1 riassume i risultati dei report di threat intelligence riservati agli abbonati ai servizi di Kaspersky, che includono anche i dati degli Indicatori di Compromissione (IOC) e le regole YARA per la ricerca forense e il malware hunting.

Per proteggere un’azienda dalle minacce persistenti avanzate, gli esperti di Kaspersky raccomandano di:

  • Installate le patch per le nuove vulnerabilità non appena disponibili, per non permettere agli attaccanti di sfruttarle.
  • Eseguire regolarmente un audit di sicurezza dell’infrastruttura IT dell’organizzazione per individuare falle e sistemi vulnerabili.
  • Adottare una soluzione di protezione degli endpoint dotata di funzionalità di gestione delle vulnerabilità e delle patch, in grado di semplificare notevolmente il compito dei responsabili della sicurezza IT.
  • Installare soluzioni anti-APT ed EDR, abilitando le funzionalità per la scoperta e il rilevamento delle minacce, l’indagine e la remediation tempestiva degli incidenti. Fornire al team SOC l’accesso alla threat intelligence più aggiornata e offrire regolarmente formazione professionale.