Kaspersky GReAT ha scoperto una nuova e sofisticata campagna malevola: StrikeShark. Gli autori dell’attacco hanno preso di mira diverse aziende in tutto il mondo, tra cui enti diplomatici in Indonesia, agenzie governative a Taiwan, società di sviluppo software e altre aziende a Hong Kong, in Libano, Siria, Colombia, Macedonia del Nord, Nepal e Serbia. La campagna si distingue per l’utilizzo di un loader di malware finora non documentato, denominato SharkLoader, impiegato per infiltrarsi nei sistemi presi di mira. Al momento, Kaspersky non attribuisce l’attività ad alcun gruppo APT noto e continua a monitorarne l’evoluzione.
Per ottenere l’accesso iniziale ai sistemi, gli attaccanti hanno adottato diverse tecniche. Tra queste, lo sfruttamento di vulnerabilità presenti in applicazioni esposte su Internet, come Microsoft Exchange, Microsoft SharePoint e i server Openfire. In altri casi, hanno distribuito dropper malevoli mascherati da software legittimi, tra cui gli installer di Google Update e Cisco AnyConnect. Alcuni dei campioni analizzati utilizzavano inoltre documenti PDF come esca per indurre le vittime a installare inconsapevolmente il malware.
La complessità tecnica di SharkLoader evidenzia un’architettura particolarmente sofisticata, basata su tecniche avanzate di evasione. Dopo l’infezione iniziale, il malware sfrutta il side-loading di DLL attraverso applicazioni Windows legittime per caricare moduli dannosi crittografati. Questi moduli decrittografano e caricano ulteriori componenti, progettati per installare API hook in grado di eludere i meccanismi di rilevamento. La fase finale dell’attacco prevede l’iniezione e l’esecuzione di Cobalt Strike Beacon, uno strumento legittimo per i test di penetrazione che viene spesso abusato dai cybercriminali per attività di comando e controllo, ricognizione, movimento laterale ed esfiltrazione dei dati all’interno dei sistemi compromessi.
“La campagna StrikeShark conferma come il panorama delle minacce sia in continua evoluzione e come gli attaccanti combinino strumenti facilmente reperibili con malware personalizzato e sofisticate tecniche di evasione. L’impiego di esche dall’aspetto legittimo e lo sfruttamento di vulnerabilità note evidenziano quanto sia fondamentale per le aziende adottare una gestione rigorosa delle patch, dotarsi di efficaci soluzioni di rilevamento e risposta sugli endpoint e investire nella formazione del personale in materia di cybersecurity”, ha commentato Fareed Radzi, Security Researcher del GReAT di Kaspersky.
Per proteggersi, Kaspersky consiglia di:
· Aggiornare regolarmente software e applicazioni per correggere le vulnerabilità note.
· Utilizzare soluzioni di sicurezza affidabili in grado di rilevare e bloccare i dropper di malware.
· Promuovere la formazione del personale per rafforzare la consapevolezza sui rischi informatici.
· Proteggere gli endpoint aziendali con soluzioni di rilevamento e risposta capaci di intercettare gli attacchi fin dalle fasi iniziali.
· Anticipare le minacce più complesse grazie a informazioni di threat intelligence aggiornate e utilizzabili, per individuare tempestivamente gli attacchi emergenti e prendere decisioni più efficaci in materia di sicurezza.
