Gli esperti di Kaspersky segnalano una crescita, nel terzo trimestre, delle attività legate agli attacchi APT (Advanced Persistent Threat). I criminali informatici hanno ampliato il set di strumenti malevoli, aggiungendone di sconosciuti. A beneficio di cronaca, ATP identifica una delle forme più sofisticate di attacco contro le reti aziendali. Sono frutto di azioni lungamente programmate, che sottintendono ricognizioni, intrusioni, installazione di malware e creazione di una backdoor. Sono finalizzati al furto di dati, con un'azione persistente e di solito prolungata nel tempo. Tutte queste azioni rendono difficile rilevare e neutralizzare gli attacchi.

Questo è ancora più vero nel momento in cui i criminali informatici hanno iniziato a diversificare il set di strumenti malevoli utilizzati negli attacchi APT. Kaspersky ha stilato una lista dei cambiamenti più significativi. Turla (conosciuto anche come Venomous Bear, Uroburos e Waterburos) fa uso del malware "Tunnus". Si tratta di una backdoor .NET-based che può eseguire comandi o azioni relative ai file su un sistema infetto. Invia poi i risultati ai suoi server di comando e controllo. Finora, l'infrastruttura è stata costruita compromettendo siti che utilizzano versioni di WordPress vulnerabili.

Lo stesso Turla dispone anche del JavaScript KopiLuwak per la diffusione di malware, in un nuovo dropper chiamato "Topinambour”. È sempre un file .NET, usato per distribuire KopiLuwak mediante pacchetti di installazione infetti di software legittimi. Qualora gli obiettivi siano protetti con software di sicurezza in grado di rilevare KopiLuwak, entrano in gioco due trojan, “.NET RocketMan” e “Powershell MiamiBeach”. Vengono usati in maniera analoga a KopiLuwak e servono per attività di spionaggio. KopiLuwak, RocketMan e MiamiBeach sono in grado di raccogliere informazioni su adattatori di sistema e di rete, rubare file, scaricare ed eseguire malware aggiuntivi.

HoneyMyte (conosciuto anche come Temp.Hex e Mustang Panda), è un altro attore APT attivo che si è evoluto. Campagne contro entità governative in Myanmar, Mongolia, Etiopia, Vietnam e Bangladesh hanno messo in luce l'uso di nuovi strumenti. Sono stati usati impianti PlugX, pacchetti multi-stage che assomigliano allo stager CobaltStrike e a dropper “stageless” con script PowerShell e Visual Basic script. Non sono mancati inoltre eseguibili .NET, stealer di cookie, tecniche di hacking come l’ARP poisoning. Considerando il target degli attacchi, è possibile che uno dei principali obiettivi di HoneyMyte sia la raccolta di informazioni geopolitiche ed economiche.

Vicente Diaz, Security Researcher del Global Research and Analysis Team di Kaspersky, commenta che "gli autori delle minacce aggiornano i loro set di strumenti malevoli. Lo abbiamo visto chiaramente in questo trimestre. Questa tendenza è una sfida per i ricercatori. Chiarisce, ancora una volta, l’importanza di investimenti nella threat intelligence di scenario. La conoscenza è potere, e solo informandosi in anticipo sarà possibile conoscere la fonte di possibili minacce".

Per evitare di cadere vittime di un attacco di questo tipo, i ricercatori di Kaspersky raccomandano di fornire al proprio team SOC l'accesso alla Threat Intelligence più aggiornata. In caso di incidenti, attivare tempestivamente il rilevamento a livello endpoint e le indagini. È inoltre consigliato implementare una soluzione di sicurezza a livello aziendale che rilevi tempestivamente le minacce avanzate a livello di rete.