Nell’ultimo report trimestrale di Kaspersky i ricercatori hanno scoperto la nuova campagna APT NaiveCopy che ha preso di mira investitori in azioni e criptovalute. Kaspersky ha infatti osservato che i gruppi APT (Advanced Persistent Threat) si focalizzano sempre di più sul settore delle criptovalute. Utilizzando come esca i contenuti relativi alla moneta virtuale e ad avvisi delle forze dell’ordine, il threat actor, che si nasconde dietro a NaiveCopy, prende di mira investitori in azioni e criptovalute in Corea del Sud.
Inoltre, ulteriori analisi delle tattiche e delle tecniche di NaiveCopy hanno rivelato un’altra campagna correlata, verificatasi l’anno precedente, rivolta ad entità sconosciute sia in Messico che nel Regno Unito. Il report completo sulle tendenze APT del Q2 2022 è disponibile su Securelist.com.
Informare sulle tecniche APT
Gli attori APT cambiano continuamente le loro tattiche, affinano i loro strumenti e sviluppano nuove tecniche. Per informare utenti privati e aziende su questi cambiamenti e sulle potenziali minacce, il Global Research and Analysis Team (GReAT) di Kaspersky fornisce report trimestrali sugli sviluppi più importanti nel panorama delle APT. Questa analisi viene realizzata utilizzando le ricerche proprie di Kaspersky sulla threat intelligence e include gli aggiornamenti principali e gli incidenti informatici ritenuti più rilevanti per un pubblico più ampio.
La peculiarità della campagna APT NaiveCopy
Nel secondo trimestre del 2022, i ricercatori di Kaspersky hanno scoperto una nuova campagna molto attiva iniziata a marzo e che ha preso di mira gli investitori in azioni e criptovalute. Si tratta di un fatto insolito. Infatti la maggior parte dei gruppi APT non ha come obiettivo il guadagno economico. I cybercriminali, infatti, hanno utilizzato contenuti legati alle criptovalute e denunce delle forze dell’ordine come temi per attirare gli utenti presi di mira.
APT NaiveCopy si focalizza sulle criptovalute
Le catene di infezione prevedono l’iniezione di modelli remoti e la creazione di una macro dannosa che avvia una procedura di infezione in più fasi utilizzando Dropbox. In seguito, dopo aver segnalato le informazioni sull’host dell’obiettivo, il malware tenta di recuperare il payload della fase finale. Gli esperti Kaspersky hanno potuto acquisire il payload della fase finale, composto da diversi moduli utilizzati. Questo ha permesso l’esfiltrazione di informazioni sensibili dagli obiettivi dell’attacco.
Il threat actorKonni
Dall’analisi del payload, i ricercatori hanno trovato altri sample utilizzati l’anno precedente durante un’altra campagna contro organizzazioni in Messico e Regno Unito. Non hanno rilevato collegamenti precisi con threat actor noti. Tuttavia ritengono che ci sia una familiarità con la lingua coreana. Inoltre sembra che sia stata impiegata una tattica simile a quella utilizzata dal gruppo Konni per rubare le credenziali di accesso di un portale coreano. Konni è un threat actor attivo dalla metà del 2021, che prende di mira soprattutto le autorità diplomatiche russe.
APT NaiveCopy e criptovalute
David Emm, Principal Security Researcher del GReAT team di Kaspersky. “In diverse occasioni, abbiamo visto i gruppi APT rivolgere la loro attenzione al settore delle criptovalute. Utilizzando varie tecniche, i threat actor non cercano solo informazioni, ma anche denaro. Si tratta di una tendenza insolita, ma in aumento. Per questo motivo è necessario che le organizzazioni siano costantemente aggiornate sul panorama delle minacce informatiche. La Threat Intelligence è una componente essenziale che consente di anticipare in modo affidabile e tempestivo tali attacchi.
Come evitare un attacco APT
Questi i consigli di Kaspersky per evitare di essere vittime di attacchi da parte di threat actor noti o sconosciuti.
Fornire al team SOC l’accesso alla threat intelligence più aggiornata (TI). Kaspersky Threat Intelligence Portal offre un unico punto di accesso per la threat intelligence dell’azienda. Inoltre, per aiutare le aziende a dotarsi di difese efficaci, Kaspersky ha annunciato l’accesso gratuito a informazioni indipendenti, continuamente aggiornate e di provenienza globale sui cyberattacchi e le minacce in corso.
Aggiornare il team di cybersecurity per affrontare le minacce mirate più recenti con la formazione online di Kaspersky, sviluppata dagli esperti del GReAT team.
Utilizzare una soluzione EDR di livello aziendale come Kaspersky EDR Expert. È essenziale rilevare le minacce in uno scenario di avvisi sparsi, grazie all’unione automatica degli avvisi in incidenti, nonché analizzare e rispondere a un incidente nel modo più efficace.
Kaspersky: attenzione a APT NaiveCopy focalizzata sulle criptovalute
Oltre ad adottare una protezione di base per gli endpoint, è importante implementare una soluzione di sicurezza di livello aziendale. In modo da rilevare sin dalla fase iniziale le minacce avanzate a livello di rete. Come per esempio Kaspersky Anti Targeted Attack Platform.
Tenuto conto che gli attacchi mirati iniziano con tecniche di social engineering, come il phishing, importante introdurre una formazione per accrescere la consapevolezza in materia di sicurezza IT. E anche per insegnare competenze pratiche ai propri dipendenti, utilizzando strumenti come Kaspersky Automated Security Awarenne Platform.
