Dopo gli eventi della guerra russo-ucraina, un nuovo e sconosciuto gruppo di minacce persistenti avanzate (APT) è stato collegato a diversi attacchi di spear-phishing. Questi attacchi si sono concentrati su enti governativi russi.
Secondo un rapporto tecnico di Malwarebytes, un Trojan ad accesso remoto (RAT) ha monitorato i computer infetti ed eseguito comandi da remoto su di essi.
La società di cybersicurezza sospetta che il colpevole sia un gruppo di hacker cinesi a causa delle somiglianze tra il RAT e il malware Sakula Rat utilizzato da Deep Panda.
Il malware è stato creato prima della guerra russo-ucraina
Gli attacchi di spear-phishing che hanno distribuito il nuovo malware sono iniziati intorno al 26 febbraio, un paio di giorni dopo l’attacco militare della Russia all’Ucraina. Le e-mail che distribuivano il malware erano camuffate da mappe interattive dell’Ucraina – “interactive_map_UA.exe“.
La seconda ondata di attacchi è iniziata all’inizio di marzo e ha preso di mira la TV statale RT. Ha utilizzato la correzione del software rogue per la vulnerabilità Log4Shell, che ha fatto notizia alla fine del 2021.
Questo sviluppo dimostra come gli attori delle minacce adattino i loro attacchi in base agli eventi mondiali per aumentare il loro successo.
Il malware è arrivato all’interno di una patch come file TAR compresso. Il messaggio di posta elettronica conteneva anche un file PDF con istruzioni sulle migliori pratiche di sicurezza informatica per sembrare più autentico e far abbassare la guardia alle vittime. In un divertente colpo di scena, il messaggio di posta elettronica del malware consigliava anche al lettore di non aprire o rispondere a e-mail sospette.
Non è stato l’unico modo in cui l’e-mail ha tentato di acquisire autenticità.
Il file PDF conteneva anche un URL di VirusTotal. Esso puntava a un file non correlato per dare ai lettori la falsa impressione che il file della patch Log4j non fosse dannoso.
Inoltre, l’e-mail fraudolenta includeva anche collegamenti a un dominio controllato dall’aggressore, “rostec[.]digital“. Diversi profili falsi di Facebook e Instagram alludevano al conglomerato russo della difesa. L’attore delle minacce ha creato la falsa pagina Facebook nel giugno 2021, nove mesi prima di prendere di mira le entità governative russe. Nove mesi prima dell’invasione dell’Ucraina.
I criminali informatici hanno utilizzato un altro file eseguibile dannoso nei loro attacchi, ovvero “build_rosteh4.exe“. I ricercatori hanno concluso che si trattava di un tentativo di far passare il malware come se appartenesse alla Rostec. Un documento Microsoft Word fungeva da innesco per la sequenza di infezione per distribuire il malware RAT.
A metà aprile 2022, i criminali informatici hanno anche lanciato un’esca di phishing a tema lavorativo. L’e-mail fingeva di provenire da Suadi Aramco, una delle compagnie petrolifere e di gas naturale dell’Arabia Saudita.
Il modo in cui questi criminali informatici lavorano e utilizzano il malware coincide con un altro gruppo di hacker. Una ricerca condotta da Check Point rivela che un collettivo di avversari cinesi con collegamenti a Stone Panda e Mustang Panda ha preso di mira almeno due istituti di ricerca russi. Sono riusciti a infiltrarsi nel sistema tramite una backdoor precedentemente sconosciuta chiamata Spinner.
Come rimanere al sicuro online
È normale sentirsi a disagio quando si naviga in Internet, visto che al giorno d’oggi ci sono così tanti attacchi informatici. Tuttavia, molti metodi possono aumentare le difese di sicurezza informatica per la vostra casa o azienda.
- Utilizzare software di sicurezza. I firewall filtrano il traffico di rete e possono bloccare un attacco potenzialmente dannoso. Nel frattempo, l’antivirus analizza tutti i download per assicurarsi che siano sicuri.
- Imparate a riconoscere gli attacchi di phishing. Vi aiuterà a evitare di cliccare su link sospetti o di scaricare file infetti.
- Proteggete il vostro indirizzo IP. A volte i criminali informatici hanno bisogno del vostro IP per scatenare il caos sul vostro computer. Vi starete chiedendo: “Che cos’è il mio indirizzo IP?”. Si tratta dell’indirizzo Internet unico che identifica il vostro dispositivo sul web. Molte persone utilizzano strumenti di sicurezza per nascondere il loro vero IP, e voi dovreste fare lo stesso.
- Utilizzate tecniche di autenticazione a due fattori. Se una password è debole o esposta online, è la vostra seconda difesa contro gli hacker.
- Non utilizzate i privilegi di amministratore sul vostro computer. Se lo fate, il malware avrà anche i privilegi di amministratore quando vi infetterà. Senza di essi può fare molti meno danni.
- Aggiornate continuamente il software e il sistema operativo. Qualsiasi software obsoleto può potenzialmente presentare falle di sicurezza. Gli hacker possono sfruttarle a loro vantaggio.
