Il panorama APT sta cambiando rapidamente. Con l’avvio del 2022, complice il conflitto ucraino, sono scesi in campo operatori sia nuovi che noti, che hanno perpetrato nuovi attacchi o portato avanti un numero crescente di campagne contro aziende o enti governativi. Spicca l’aggiornamento dei set di strumenti dannosi e la diversificazione delle tecniche per potenziare gli attacchi.

I dettagli sono inclusi nell’APT trends report Q1 2022 redatto da Kaspersky, che offre un panorama a tutto tondo delle attività APT di inizio anno. Il primo dato che salta all’occhio scorrendo la relazione è che - come anticipato da altri produttori di cybersecurity – ci sono diverse nazioni che dispongono di gruppi sponsorizzati attivi in tutto il mondo.

Ovviamente la situazione in Ucraina è all’origine di una serie di eventi di matrice russa, ma sono attivi in campo anche APT cinesi, nord coreani, asiatici e mediorientali. In Ucraina la situazione geopolitica ha portato, fra febbraio e marzo, a rilevare molte attività APT contro entità ucraine, in particolare da parte di HermeticRansom e DoubleZero.

C’è stato un picco significativo nella quantità di nuove infrastrutture distribuite dai gruppi APT Gamaredon e UNC1151 (Ghostwriter), e durante le indagini i ricercatori di Kaspersky hanno identificato due campioni del prototipo WhisperGate sviluppati nel dicembre 2021 e contenenti stringhe di prova e revisioni precedenti della lettera di riscatto già osservata nei campioni condivisi da Microsoft. I ricercatori hanno quindi concluso, con forti certezze, che quei campioni non erano altro che iterazioni precedenti del wiper presumibilmente usato in Ucraina.

Kaspersky ha identificato inoltre tre campagne collegate al threat actor nord coreano Konni, attivo da metà 2021 e impegnato a prendere di mira enti diplomatici russi. Sebbene gli attaccanti usassero lo stesso impianto Konni RAT in tutte le campagne, i vettori di infezione erano diversi in ogni campagna: documenti contenenti macro embedded, un installer mascherato da applicazione di registrazione COVID-19 e, infine, uno downloader avente come esca uno screensaver per Capodanno.

L’elenco delle attività rilevate è molto lungo; chi fosse interessato ai dettagli può consultarli nel report completo. In questa sede preferiamo concentrare l’attenzione su due aspetti meno noti.

Attacchi low-level e criptovalute

La prima novità riguarda gli impianti low-level. Ossia tutto quegli attacchi sviluppati appositamente per colpire il firmware dei sistemi. Lo scorso anno, la scoperta di alcuni impianti di attacco come FinFisher e ESPecter avevano destato allarme, tanto a spingere più di un produttore (oltre a Kaspersky) a inserire questo trend nelle previsioni per il 2022. Quest’anno si è aperto con MoonBounce, attribuito al noto attore APT41, lasciando intendere che il rischio è concreto.

Una seconda tendenza riguarda l’abuso di aggiornamenti e di servizi online, come parte dell’obiettivo dei threat actor di implementare nuovi modi per aumentare l’efficienza dei loro attacchi. Il gruppo di cyber mercenari soprannominato DeathStalker ha aggiornato il malware storico Janicab introdotto per la prima volta nel 2013, che ora dispone della maggior parte degli strumenti incorporati e nascosti all’interno del dropper. Inoltre, DeathStalker si serve dei servizi online più conosciuti del mondo come, YouTube, Google+ e WordPerss come dead-drop resolver (DDR) per comandare e controllare in maniera efficace e furtiva.

Come già noto, poi, si denota un legame sempre più stretto fra APT e criptovalute. Il motivo è che molti APT hanno fatto del guadagno finanziario il loro obiettivo primario. Da qui la distribuzione di applicazioni di finanza centralizzata (DeFi) trojanizzate per aumentare i profitti.