I ricercatori del GReAT di Kaspersky Lab hanno rilevato infezioni causate da un Trojan probabilmente legato all’autore di minacce di lingua cinese LuckyMouse.
La caratteristica più importante di questo malware è il suo driver autonomo e firmato con un certificato digitale legittimo, rilasciato da un’azienda che sviluppa software per la sicurezza delle informazioni.
Il gruppo LuckyMouse è noto per cyberattacchi altamente targhettizzati e rivolti a grandi realtà in tutto il mondo. L’attività del gruppo rappresenta un pericolo per intere regioni, inclusa l’Asia sud-orientale e centrale; i loro attacchi, infatti, sembrano seguire l’agenda politica dei vari paesi. Avendo preso in esame il profilo delle vittime e i precedenti vettori di attacco del gruppo, i ricercatori di Kaspersky Lab ipotizzano che il Trojan da loro individuato possa essere stato utilizzato per azioni di cyberspionaggio sostenute da uno stato-nazione.
Il Trojan scoperto dagli esperti di Kaspersky Lab ha infettato un computer di destinazione attraverso un driver creato appositamente dagli autori della minaccia; questa azione ha permesso agli attaccanti di eseguire tutti i task più comuni, come l’esecuzione di comandi, il download e l’upload di file, e di intercettare il traffico di rete.
Il driver si è rivelato la parte più interessante di questa campagna. Per renderlo più affidabile, il gruppo ha apparentemente rubato un certificato digitale, che appartiene ad uno sviluppatore di software per la sicurezza delle informazioni, e l’ha utilizzato per firmare campioni di malware. Tutto questo è stato fatto nel tentativo di aggirare le capacità di rilevamento dalle soluzioni di sicurezza, dal momento che una firma legittima rende il malware simile ad un software legale.
Un’altra caratteristica degna di nota di questo driver riguarda il fatto che, nonostante LuckyMouse sia in grado di creare da sé un proprio software malevolo, il programma utilizzato in questo tipo di attacco sembrava, invece, essere il risultato di una combinazione di campioni di codice disponibili pubblicamente, provenienti da archivi pubblici e da malware personalizzati. La semplice adozione di un codice di terze parti “ready-to-use” – al posto della scrittura di un nuovo codice originale – fa risparmiare tempo agli sviluppatori e rende più difficile l’attribuzione.
Come proteggersi da questo tipo di attacchi:
• Non fidarsi in modo automatico del codice in esecuzione sui propri sistemi. I certificati digitali non garantiscono l’assenza di backdoor.
• Utilizzare una soluzione di sicurezza solida, dotata di tecnologie di rilevamento di azioni malevole basate sul comportamento, in grado di scoprire anche minacce ancora sconosciute.
• Iscrivere il team di sicurezza della propria organizzazione ad un servizio di alta qualità di reporting di intelligence delle minacce, per ottenere accesso immediato alle informazioni sugli sviluppi più recenti delle tattiche, delle tecniche e delle procedure di sofisticati autori di minacce informatiche.