• BitMAT
  • BitMATv
  • Top Trade
  • Linea EDP
  • Itis Magazine
  • Speciale Cloud
  • Industry 4.0
  • Sanità Digitale
  • Redazione
  • Contattaci
LineaEDP
    Facebook Twitter Vimeo LinkedIn RSS
    Trending
    • Nasce Maxwell Consulting, boutique consulting firm di Archiva
    • Avanti dritta nel cloud
    • Commvault e Oracle accelerano nel cloud ibrido
    • Tecnologia: va diffusa fiducia per un business e una società migliori
    • PA sempre più digitale: nasce ProDe
    • Container e Kubernetes: nuovo patrimonio per le aziende
    • PMI al sicuro con il decalogo di CWS Digital Solutions
    • Altaro VM Backup protegge le macchine virtuali Hyper-V e VMware
    Facebook Twitter Vimeo LinkedIn RSS
    LineaEDP
    • Cio
    • Cloud
    • Mercato
    • News
    • Tecnologia
    • Case History
    • Report
    • Sicurezza
    • IOT
    LineaEDP
    Sei qui:Home»Rubriche»Sicurezza»Kaspersky: GhostEmperor, l’APT di lingua cinese che prende di mira vittime di alto profilo
    Sicurezza

    Kaspersky: GhostEmperor, l’APT di lingua cinese che prende di mira vittime di alto profilo

    Di Redazione LineaEDP16/08/2021Updated:03/08/2021Lettura 4 Min
    Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email

    Nell’ultimo report APT 2021, Kaspersky svela i dettagli di “GhostEmperor”, un’operazione unica che dura da diverso tempo e che utilizza le vulnerabilità di Microsoft Exchange per prendere di mira vittime di alto profilo tramite strumenti avanzati.

    APT

    I threat actor APT sono costantemente alla ricerca di modi nuovi e più sofisticati per eseguire i loro attacchi. Proprio per questo motivo i ricercatori di Kaspersky monitorano costantemente le attività dei gruppi APT e i cambiamenti apportati all’interno dei loro toolkit. Secondo quanto emerso dal report di Kaspersky, nel secondo trimestre del 2021, sono aumentati gli attacchi contro i server Microsoft Exchange. Nell’ultimo report APT 2021, Kaspersky svela i dettagli di “GhostEmperor”, un’operazione unica che dura da diverso tempo e che utilizza le vulnerabilità di Microsoft Exchange per prendere di mira vittime di alto profilo tramite strumenti avanzati. L’operazione non dimostra affinità con altri threat actor noti.

    GhostEmperor è un threat actor di lingua cinese scoperto dai ricercatori di Kaspersky. Si concentra principalmente su obiettivi nel sud-est asiatico, tra cui enti governativi e società di telecomunicazioni.

    Questo gruppo criminale si distingue perché utilizza un rootkit Windows in modalità kernel finora sconosciuto. I rootkit forniscono l’accesso al controllo remoto dei server presi di mira. Agendo in incognito, i rootkit sono noti per sfuggire ai controlli e alle soluzioni di sicurezza. Per aggirare il meccanismo di Windows Driver Signature Enforcement, GhostEmperor utilizza uno schema di caricamento che coinvolge il componente di un progetto open-source denominato “Cheat Engine”. Questo set di strumenti avanzati si è rivelato unico, infatti, i ricercatori di Kaspersky non hanno trovato alcuna affinità con altri threat actor noti. Inoltre, gli esperti hanno ipotizzato che il set di strumenti sia in uso almeno da luglio 2020.

    “Man mano che le tecniche di rilevamento e protezione dalle minacce si evolvono, lo fanno anche gli attori APT, in genere aggiornando i loro toolset. GhostEmperor è un chiaro esempio di come i criminali informatici cerchino nuove tecniche da utilizzare e nuove vulnerabilità da sfruttare. Utilizzando un rootkit sofisticato e precedentemente sconosciuto, hanno aggiunto ulteriori problemi alla già consolidata tendenza degli attacchi contro i server Microsoft Exchange”, ha commentato David Emm, security expert di Kaspersky.

    Oltre alla crescita degli attacchi contro i server Microsoft Exchange, gli esperti di Kaspersky evidenziano anche le seguenti tendenze nel panorama APT rilevate nel secondo trimestre:

    • È stato rilevato un aumento dei threat actor APT che sfruttano gli exploit per ottenere un punto d’appoggio iniziale nelle reti attaccate, inclusi gli zero-day sviluppati dallo sviluppatore di exploit “Moses” e quelli utilizzati negli attacchi PuzzleMaker, Pulse Secure e nelle vulnerabilità del server Microsoft Exchange.
    • I threat actor APT investono costantemente per aggiornare i loro toolkit: questo include non solo nuove piattaforme ma anche l’uso di linguaggi aggiuntivi, come dimostrato dal malware Python WildPressure supportato da macOS.
    • Oltre ad alcuni attacchi mirati alla supply-chain che hanno attirato l’attenzione a livello mondiale, gli esperti di Kaspersky hanno osservato attacchi low-tech di uguale successo come BountyGlad, CoughingDown e l’attacco contro Codecov, che ha evidenziato come le campagne low-key rappresentino ancora una minaccia significativa alla sicurezza.

    Per saperne di più su GhostEmperor e le altre scoperte significative del trimestre, è possibile consultare il report sulle tendenze APT del secondo trimestre del 2021 su Securelist. Il documento riassume le scoperte dei report di threat intelligence riservati agli abbonati di Kaspersky, che includono anche i dati degli Indicatori di Compromissione (IoC) e le regole YARA per assistere nelle indagini forensi e nella caccia ai malware.

    Per evitare di cadere vittima di un attacco mirato da parte di un threat actor noto o sconosciuto, i ricercatori di Kaspersky raccomandano di implementare le seguenti misure:

    • Fornire al proprio team SOC l’accesso alla più recente threat intelligence (TI). Il Kaspersky Threat Intelligence Portal è un unico punto di accesso per la TI dell’azienda, che fornisce dati sugli attacchi informatici e approfondimenti raccolti da Kaspersky in oltre 20 anni di esperienza. L’accesso gratuito alle funzionalità dedicate che consentono agli utenti di controllare file, URL e indirizzi IP, è disponibile a questo link
    • Migliorare le competenze del proprio team di sicurezza informatica per affrontare le minacce mirate più recenti, grazie alla formazione online di Kaspersky sviluppata dagli esperti del GReAT team
    • Per il rilevamento, l’indagine e la risoluzione tempestiva degli incidenti a livello endpoint, implementare soluzioni EDR come Kaspersky Endpoint Detection and Response
    • Oltre ad adottare una protezione di base per endpoint, implementare una soluzione di sicurezza aziendale che rilevi le minacce avanzate a livello di rete sin dalle fasi iniziali, come Kaspersky Anti Targeted Attack Platform

    Poiché molti attacchi mirati iniziano sfruttando il phishing o altre tecniche di ingegneria sociale, è importante formare il proprio team in materia di sicurezza, ad esempio attraverso la piattaforma Kaspersky Automated Security Awareness Platform

    Apt Kaspersky “GhostEmperor”
    Condividi: Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email
    Redazione LineaEDP
    • Facebook
    • Twitter

    LineaEDP è parte di BitMAT Edizioni, una casa editrice che ha sede a Milano con copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.

    Correlati

    PMI al sicuro con il decalogo di CWS Digital Solutions

    30/06/2022

    Le frodi non fermano le attività digitali

    29/06/2022

    Colt annuncia Colt SASE Gateway

    29/06/2022
    Newsletter

    Iscriviti alla Newsletter per ricevere gli aggiornamenti dai portali di BitMAT Edizioni.

    BitMATv – I video di BitMAT
    SPS 2022: l’automazione è tornata in scena a Parma
    Security: le norme indicano il percorso
    Enabling an Intelligent and Sustainable Planet
    TURCK BANNER: IL PARTNER DELL’AUTOMAZIONE A 360°
    COGNEX: visione artificiale e deep learning per la fabbrica del futuro
    Defence Tech

    PMI al sicuro con il decalogo di CWS Digital Solutions

    30/06/2022

    Le frodi non fermano le attività digitali

    29/06/2022

    Colt annuncia Colt SASE Gateway

    29/06/2022

    Avviso preventivo su Antigena Email

    29/06/2022
    Report

    Container e Kubernetes: nuovo patrimonio per le aziende

    01/07/2022

    Trasformazione digitale: sei un’azienda best performer?

    30/06/2022

    Ivanti: la tecnologia fornita in ufficio non è sufficiente

    29/06/2022

    Sicurezza OT: le sfide per le organizzazioni

    29/06/2022
    Chi Siamo
    Chi Siamo

    BitMAT Edizioni è una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione online ed offline rivolta agli specialisti dell'lnformation & Communication Technology.

    Facebook Twitter Vimeo LinkedIn RSS
    Rete BitMAT
    • Bitmat
    • BitMATv
    • Top Trade
    • LineaEdp
    • ItisMagazine
    • Speciale Sicurezza
    • Industry 4.0
    • Sanità Digitale
    • Redazione
    • Contattaci
    NAVIGAZIONE
    • Cio
    • Cloud
    • Mercato
    • News
    • Tecnologia
    • Case History
    • Report
    • Sicurezza
    • IOT
    Ultime

    Nasce Maxwell Consulting, boutique consulting firm di Archiva

    01/07/2022

    Avanti dritta nel cloud

    01/07/2022

    Commvault e Oracle accelerano nel cloud ibrido

    01/07/2022
    • Contattaci
    • Cookies Policy
    • Privacy Policy
    • Redazione
    © 2012 - 2022 BitMAT Edizioni - P.Iva 09091900960 - tutti i diritti riservati - Iscrizione al tribunale di Milano n° 293 del 28-11-2018 - Testata giornalistica iscritta al ROC

    Scrivi nel campo e premi Invio per cercare. Premi Esc per annullare