Kaspersky scopre CozyDuke, minaccia collegata al famoso MiniDuke


Il Global Research and Analysis Team di Kaspersky Lab ha pubblicato un report relativo ad una nuova campagna di cyber spionaggio avanzato (attacchi di tipo APT) che utilizza un malware per colpire organizzazioni specifiche di alto profilo. La lista degli obiettivi a cui mirano gli attacchi del gruppo criminale include organizzazioni governative ed enti commerciali in Germania, Corea del Sud e Uzbekistan, mentre tra quelli individuati negli Stati Uniti crediamo siano inclusi la Casa Bianca e il Dipartimento di Stato. La strategia dei criminali, di puntare a vittime di alto profilo, non è l’unico dato allarmante che è stato rilevato.

Il gruppo utilizza, infatti, tecniche di crittografia e anti-rilevamento tra cui un codice che rileva la presenza di alcuni tra i più noti prodotti di sicurezza nel tentativo di eluderli: Kaspersky Lab, Sophos, DrWeb, Avira, Crystal e Comodo Dragon. Gli esperti di sicurezza di Kaspersky Lab hanno scoperto una funzionalità particolarmente forte di un programma malevolo, così come alcune similitudini strutturali che collegano questo toolset con alcune note campagne di cyber spionaggio: MiniDuke, CosmicDuke e OnionDuke. In base ad una serie di indizi i ricercatori sono giunti alla conclusione che queste operazioni vengono gestite da criminali di lingua russa. 

Secondo gli esperti di Kaspersky Lab, MiniDuke e CosmicDuke sono ancora attivi e prendono di mira organizzazioni diplomatiche e ambasciate, aziende che operano nel settore dell’energia e delle telecomunicazioni, militari, istituti di ricerca e accademie in diversi paesi. Il gruppo di criminali CozyDuke per raggiungere il proprio target spesso utilizza email di spear phishing: messaggi contenenti un link ad un sito web compromesso - talvolta si tratta di siti legittimi di alto profilo come "diplomacy.pl" - che ospita un archivio ZIP contenente un malware. L'attacco è notevolmente sofisticato, compresi i componenti crittografati e le funzionalità anti-rilevamento.


Il gruppo è anche noto come come CozyBear, CozyCar o "Office Monkeys", in onore dei video utilizzati come esca, infatti, alcune delle mail inviate contenevano video flash falsi con file eseguibili dannosi inviati come allegati dei messaggi di posta. CozyDuke utilizza una backdoor e un dropper. Mentre il video viene riprodotto, il dropper viene installato silenziosamente nel sistema, pronto a ricevere i componenti di secondo stadio del malware. Il programma malevolo invia informazioni sulla vittima al server di comando e controllo e recupera i file di configurazione e i moduli aggiuntivi implementando una funzionalità aggiuntiva necessaria per i criminali.

«Abbiamo monitorato sia MiniDuke che CosmicDuke per un paio di anni. Kaspersky Lab è stata la prima, nel 2013, a mettere in guardia gli utenti circa gli attacchi del gruppo MiniDuke. Ricordiamo che i "vecchi" campioni malware di questa minaccia informatica risalgono al 2008. CozyDuke è sicuramente collegata a queste due campagne, così come all’operazione di cyberespionaggio OnionDuke. Questi gruppi continuano a tracciare le proprie vittime e siamo convinti che gli strumenti di spionaggio utilizzati vengano creati e gestiti da criminali di lingua russa», dice Kurt Baumgartner, Principal Security Researcher presso il Global Research and Analysis Team di Kaspersky Lab.

Consigli per gli utenti
I prodotti Kaspersky Lab sono in grado di rilevare tutti i campioni noti e di proteggere gli utenti da questa minaccia. Non aprite allegati e link inviati da utenti che non conoscete; effettuate una scansione regolare del vostro PC utilizzando una soluzione antimalware avanzata; diffidate da ZIP che contengono file SFX; se non siete sicuri della sicurezza dell’allegato provate ad aprirlo in una sandbox. Accertatevi che il sistema operativo installato sia aggiornato e che abbia tutte le patch installate; aggiornate tutte le applicazioni di terze parti come Microsoft Office, Java, Adobe Flash Player e Adobe Reader. Per avere maggiori informazioni sull’operazione “CozyDuke” è possibile leggere il blog post su Securelist.com.




Nessun commento:

Posta un commento