Gli esperti di Kaspersky hanno scoperto una rara campagna di minacce persistenti avanzate (APT) su larga scala rivolta ad utenti del sud-est asiatico. Kaspersky ha identificato circa 100 vittime in Myanmar e 1.400 nelle Filippine, alcune delle quali erano entità governative. L’infezione viene diffusa inizialmente tramite e-mail di spear-phishing contenenti un documento Word dannoso. Una volta scaricato sul sistema, diffonde il malware ad altri host tramite unità USB rimovibili. Le campagne di minacce persistenti avanzate sono, per loro natura, altamente mirate.
Campagna di minacce su larga scala scoperta da Kaspersky
Spesso il numero di utenti presi di mira coinvolge solo una decina di persone selezionate con una precisione chirurgica. Ecco perché, quando ha scoperto questa campagna di massa che ha colpito il sud-est asiatico, Kaspersky l’ha definita rara. Questo cluster di attività, chiamato LuminousMoth, conduce attacchi di spionaggio informatico contro entità governative dal mese di ottobre del 2020. Mentre inizialmente si concentravano sul Myanmar, gli attaccanti hanno poi spostato la loro attenzione sulle Filippine. Solitamente, i criminali informatici ottengono un punto d’appoggio iniziale nel sistema tramite un’e-mail di spear-phishing contenente un link per il download di Dropbox.
Come funzione LuminousMoth
Cliccando su questo link viene scaricato un archivio RAR camuffato da documento Word che contiene il payload dannoso. Una volta scaricato sul sistema, il malware tenta di infettare altri host diffondendosi attraverso unità USB rimovibili. Una volta trovata un’unità, il malware crea delle directory nascoste al suo interno, dove poi sposta tutti i file della vittima, insieme agli eseguibili dannosi. Il malware dispone anche di due strumenti di post-exploitation che a loro volta possono essere utilizzati per il movimento laterale. Il primo consiste in una versione firmata e falsa di Zoom mentre l’altro ruba i cookie dal browser Chrome.
Proteggersi da campagne di minacce come LuminousMoth
Per proteggersi gli esperti di Kaspersky consigliano di:
Formare il personale sulle basi della sicurezza informatica, poiché molti attacchi mirati iniziano con il phishing o altre tecniche di ingegneria sociale
Effettuare un audit di sicurezza informatica delle proprie reti e rafforzare eventuali punti deboli scoperti nel perimetro o all’interno della rete.
Rara campagna di minacce su larga scala scoperta da Kaspersky
Installare soluzioni anti-APT ed EDR, che consentono di rilevare le minacce, analizzarle e risolvere tempestivamente gli incidenti. Fornire al proprio team SOC l’accesso alle informazioni più recenti sulle minacce informatiche e aggiornarlo regolarmente con una formazione professionale.
Insieme a un’adeguata protezione degli endpoint, i servizi dedicati possono aiutare in caso di attacchi di alto profilo. Il servizio Kaspersky Managed Detection and Response aiuta a identificare e bloccare gli attacchi nelle fasi iniziali, prima che gli attaccanti raggiungano i loro obiettivi.
