Una minaccia avanzata, denominata ‘TetrisPhantom‘, sfrutta USB sicure compromesse per prendere di mira i sistemi governativi nella regione Asia-Pacifico. Queste USB sicure conservano i file in una sezione criptata del dispositivo e vengono utilizzate per trasferire dati in modo sicuro tra i sistemi, inclusi quelli in ambienti isolati.
Funzionamento delle USB sicure
Le USB sicure permettono l’accesso alla loro sezione protetta attraverso software personalizzati che decrittano i contenuti basandosi su una password fornita dall’utente. Un esempio di tale software è UTetris.exe, incluso in una parte non criptata della chiavetta USB.
La scoperta della minaccia
Ricercatori nel campo della sicurezza hanno scoperto versioni trojanizzate dell’applicazione UTetris distribuite su dispositivi USB sicuri. Questa campagna di attacco è attiva da almeno alcuni anni e ha come obiettivo i governi nella regione APAC. Secondo un recente rapporto di Kaspersky sulle tendenze APT, TetrisPhantom utilizza vari strumenti, comandi e componenti malware, evidenziando un gruppo di minacce sofisticato e ben finanziato. L’attacco si avvale di strumenti e tecniche avanzate, tra cui l’oscuramento del software basato sulla virtualizzazione per i componenti malware, la comunicazione a basso livello con l’USB attraverso comandi SCSI diretti e l’iniezione di codice in un legittimo programma di gestione degli accessi sulla chiavetta USB.
Dettagli dell’attacco
Kaspersky ha fornito ulteriori dettagli sull’attacco, spiegando che inizia con l’esecuzione di un payload chiamato AcroShell sul computer bersaglio. AcroShell stabilisce una linea di comunicazione con il server di comando e controllo dell’attaccante e può recuperare ed eseguire ulteriori payload per rubare documenti e file sensibili. Gli attaccanti utilizzano anche le informazioni raccolte per la ricerca e lo sviluppo di un altro malware chiamato XMKR e la versione trojanizzata di UTetris.exe. Il modulo XMKR, una volta distribuito su una macchina Windows, compromette le chiavette USB sicure connesse al sistema per diffondere l’attacco anche a sistemi potenzialmente isolati. Le capacità di XMKR sul dispositivo includono il furto di file per scopi di spionaggio. I dati vengono poi scritti sulle chiavette USB e le informazioni sulle USB compromesse vengono esfiltrate al server dell’attaccante quando il dispositivo di archiviazione viene inserito in un computer connesso a Internet e infettato da AcroShell.
Analisi delle varianti malevole
Kaspersky ha recuperato e analizzato due varianti eseguibili malevole di Utetris, una utilizzata tra settembre e ottobre 2022 e un’altra distribuita nelle reti governative da ottobre 2022 ad oggi. Gli attacchi sono in corso da almeno alcuni anni, con TetrisPhantom che ha costantemente come obiettivo lo spionaggio. I ricercatori hanno osservato un piccolo numero di infezioni nelle reti governative, indicando un’operazione mirata.
Cos’è Kaspersky?
Kaspersky è una multinazionale specializzata nella sicurezza informatica, conosciuta per i suoi prodotti antivirus e soluzioni di sicurezza per aziende e utenti finali.