Kaspersky Lab mette in guardia contro la Gaza Team Cybergang, gruppo attivo soprattutto in area MENA che sta espandendo il proprio repertorio criminale.
Kaspersky Lab sta registrando importanti cambiamenti nelle attività della Gaza Team Cybergang, gruppo criminale che prende di mira organizzazioni commerciali e governative nei Paesi MENA (Middle East and North Africa). Il gruppo, attivo nel panorama delle minacce almeno dal 2012, ha migliorato il proprio arsenale nel 2017 con nuovi tool nocivi.
Nel 2015, Kaspersky Lab ha rilasciato un report sull’attività del gruppo dopo aver scoperto un significativo cambiamento nelle sue operazioni nocive. In quella occasione, i criminali avevano preso di mira i responsabili IT nel tentativo di ottenere l’accesso a tool di valutazione di sicurezza legittimi per ridurre la visibilità della loro attività nei network colpiti.
Nel 2017, i ricercatori di Kaspersky Lab hanno scoperto una nuova ondata di attacchi della Gaza Cybergang. Il gruppo ha tentato di reperire diversi tipi di intelligence nella regione MENA, modus operandi insolito rispetto ai casi precedenti. Inoltre, i tool di attacco sono diventati più sofisticati: il gruppo ha sviluppato documenti di spearphishing attuali e di carattere geopolitico usati per diffondere il malware; inoltre, ha usato exploit per una vulnerabilità relativamente recente di Microsoft Access, CVE 2017-0199, e non si esclude uno spyware per Android.
I cyber criminali inviano email con falsi documenti Office contenenti diversi RAT (Remote Access Trojan) o URL che conducono a pagine nocive. Una volta eseguiti, la vittima viene infettata dal malware che consente agli hacker di raccogliere file e screenshot e spiare i tasti digitati sui dispositivi della vittima. Nel caso in cui venga rilevato il download iniziale del malware, il downloader prova a installare altri file nel tentativo di evitare il rilevamento.
C’è inoltre la possibilità che il gruppo utilizzi anche un malware mobile: alcuni nomi di file scoperti durante l’analisi dell’attività del Gaza Team sembrano essere infatti legati a un Trojan per Android. Questo sviluppo delle tecniche di attacco ha permesso al Gaza Team di bypassare le soluzioni di sicurezza e manipolare il sistema delle vittime per periodi di tempo prolungati. Per evitare di essere colpiti da questi attacchi, Kaspersky Lab consiglia di:
- Formare i dipendenti affinchè siano in grado di distinguere le email di spearphishing e i link di phishing da email e link legittimi;
- Dotarsi di una soluzione di sicurezza endpoint aziendale affidabile insieme a una protezione specializzata dalle minacce avanzate, come la piattaforma Kaspersky Anti Targeted Attack, che è in grado di scoprire gli attacchi analizzando le anomalie nel network;
- Garantire allo staff di sicurezza l’accesso agli ultimi dati di threat intelligence, che offrono utili tool per la ricerca e la prevenzione degli attacchi mirati, come gli Indicatori di Compromissione (IOC) e le YARA rule.
David Emm, Security Expert, Kaspersky Lab
La continua attività del Gaza Team, che abbiamo studiato per molti anni, dimostra che la situazione nella regione MENA è lontana dall’essere sicura per quanto riguarda il cyber spionaggio. In seguito a significativi miglioramenti delle tecniche del gruppo, ci aspettiamo che in futuro la quantità e la qualità degli attacchi della Gaza Cybergang si intensificheranno. Organizzazioni e singoli utenti che rientrano tra gli obiettivi del gruppo dovrebbero fare maggiore attenzione online.