Aggiornamenti recenti Gennaio 9th, 2025 10:00 AM
Feb 09, 2017 Marco Schiaffino Attacchi, Intrusione, Malware, News, RSS 0
La costante crescita di attacchi mirati nei confronti di grandi aziende ed enti finanziari si sta accompagnando, a quanto riferiscono i ricercatori di Kaspersky, a un’evoluzione delle tecniche utilizzate.
Come spiega il Global Research and Analysis Team (GReAT) dell’azienda russa sul blog ufficiale, il salto di qualità sembra prendere ispirazione dalle strategie utilizzate nel passato recente da malware come Stuxnet o Duqu 2.0, che sfruttavano componenti residenti in memoria allo scopo di lasciare pochissime tracce sui supporti fisici e renderne più difficile l’individuazione.
I casi citati, però, riguardano trojan sviluppati da professionisti dello spionaggio legati ai servizi segreti. Ora sembra che le stesse tecniche siano diventate patrimonio anche di più comuni cyber-criminali.
Il primo caso è stato rilevato in un attacco a una banca, ne confronti della quale i pirati informatici hanno utilizzato tecniche di offuscamento che gli hanno permesso di evitare il rilevamento delle loro attività, fino a quando i responsabili IT non hanno individuato un componente sospetto (Meterpreter) residente nella memoria di un domain control Windows.
Le indagini seguenti hanno permesso ai ricercatori Kaspersky di ricostruire il modus operandi dei pirati che hanno portato l’attacco, individuandone le caratteristiche fondamentali: i cyber-criminali, in particolare, sembrano utilizzare comandi PowerShell per avviare il download e l’esecuzione in memoria degli strumenti di hacking.
In questo modo le loro attività possono essere rilevate solo eseguendo un controllo della RAM o, in alternativa, individuandole all’interno del network.
Cosa non facile, visto che anche sotto il profilo delle comunicazioni in rete, il gruppo responsabile dell’attacco ha messo in campo tecniche di offuscamento particolarmente efficaci e, in particolare, un sistema di tunneling delle comunicazioni verso i server Command and Control.
Anche in questo caso, però, i pirati sono stati ben attenti a utilizzare strumenti comuni e che non dessero troppo nell’occhio come la Windows network shell (NETSH) che gli ha consentito di mascherare le comunicazioni in maniera estremamente efficace.
Tanto più che per ospitare i loro server, i pirati hanno utilizzato domini di terzo livello che non permettono di ottenere informazioni riguardanti i loro gestori una volta che è scaduta la registrazione.
In sintesi, sembra che la preoccupazione maggiore in questo tipo di attacchi sia quello di rendere difficile l’attività di forensica e l’attribuzione degli attacchi.
Anche l’arsenale di script utilizzato per l’attacco, per esempio, è stato generato utilizzando il Metasploit framework, uno strumento ben conosciuto per lo sviluppo e l’esecuzione di exploit che fornisce ben pochi indizi sugli autori dell’attacco, mentre la sottrazione delle password hanno utilizzato Mimikatz, un altro strumento disponibile su GitHub.
Secondo i ricercatori Kaspersky questo tipo di attacchi starebbero diventando sempre più frequenti e avrebbero interessato più di 140 aziende in 40 paesi diversi. Curiosamente, le statistiche riportate dall’azienda non riportano alcun caso in Italia.
Nov 11, 2024 0
Ott 02, 2024 0
Set 30, 2024 0
Set 19, 2024 0
Gen 09, 2025 0
Gen 08, 2025 0
Gen 07, 2025 0
Gen 06, 2025 0
Gen 08, 2025 0
Se finora l’FBI e il governo degli Stati Uniti ha...Gen 02, 2025 0
Oggi le aziende italiane non solo devono affrontare nuove e...Dic 31, 2024 0
Negli ultimi anni gli attacchi zero-day nei dispositivi...Dic 30, 2024 0
Nonostante gli sforzi per redigere e consegnare i report...Dic 23, 2024 0
Tempo di bilanci di fine anno anche per il mondo della...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Gen 09, 2025 0
Di recente è emersa una nuova campagna di phishing che...Gen 08, 2025 0
Se finora l’FBI e il governo degli Stati Uniti ha...Gen 07, 2025 0
Lo scorso venerdì Moxa, provider di reti industriali, ha...Gen 06, 2025 0
Nel corso della scorsa settimana, il CERT-AGID ha...Gen 03, 2025 0
I ricercatori di SafeBreach hanno pubblicato una PoC di...