Report Trellix Threat Labs: Aprile 2022

Insights della ricerca sulle minacce del quarto trimestre 2021 e risultati recenti di Trellix Threat Labs

Il quarto trimestre del 2021 ha visto il declino di una pandemia durata due anni, durante i quali i criminali informatici hanno sfruttato le opportunità create dal telelavoro e l'emergere di Log4Shell, la brutta sorpresa di fine anno. Nel primo trimestre del 2022, l'attenzione si è rivolta alle campagne che sfruttano le minacce informatiche contro le infrastrutture ucraine nel contesto del conflitto eurasiatico. L'ultimo report di Trellix Threat Labs include le nostre osservazioni per il quarto trimestre del 2021, l'identificazione di una campagna di spionaggio informatico in più fasi mirata a funzionari governativi di alto livello, nonché la nostra recente analisi degli attacchi informatici lanciati contro l'Ucraina e il più recente HermeticWiper durante il primo trimestre del 2022 .

Lettera del nostro capo analista

Benvenuti nel nostro nuovo report sul panorama delle minacce.

Alla luce di questi primi mesi, il minimo che possiamo dire è che l'anno è iniziato alla grande. Mentre usciamo lentamente dalla pandemia, le incertezze sui recenti conflitti in Eurasia dominano la nostra vita quotidiana e le nostre conversazioni.

Innanzitutto, Trellix è un sostenitore della pace. Indipendentemente dalle parti coinvolte in qualsiasi controversia, la nostra missione è proteggere i nostri clienti e rispettare il diritto internazionale. Al momento della preparazione di questo report, stiamo continuando la nostra ricerca e mantenendo la nostra vigilanza. Ad esempio, il gruppo Lapsus$ ha attaccato grandi multinazionali, inizialmente prendendo di mira in particolare le vittime sudamericane e divulgando dati sensibili, inclusi codice sorgente e certificati.

Abbiamo osservato diversi casi di sfruttamento di questi certificati. Questi ultimi vengono, ad esempio, utilizzati per firmare file binari dannosi con l'intento di aggirare i meccanismi di protezione dei sistemi operativi e dei prodotti di sicurezza. Ulteriori informazioni su questo gruppo, le loro ultime violazioni e possibili contromisure sono disponibili qui.

L'attuale report, il secondo dal lancio della nostra nuova società, esamina anche gli eventi (cyber) che hanno fatto notizia. Dagli attacchi all'infrastruttura ucraina al malware HermeticWiper, progettato per distruggere il settore di avvio di qualsiasi macchina infetta, la sicurezza informatica è al centro delle preoccupazioni di tutti all'inizio dell'anno. Questo report ripercorre anche il quarto trimestre del 2021, segnato dalla vulnerabilità di Log4shell e dal suo impatto su centinaia di milioni di dispositivi, e molti si chiedono cosa ci riserverà l'anno in corso.

Il team di Trellix Threat Labs è da anni in prima linea nella ricerca sui ransomware. A seguito della nostra collaborazione con il settore pubblico, siamo lieti di annunciare l'arresto di diversi membri di un gruppo specializzato di ransomware e lo smantellamento delle sue attività nel dicembre 2021. I recenti post del gruppo ransomware Conti e del gruppo dietro il malware Trickbot hanno rivelato quanto siano professionali questi criminali informatici nel condurre le loro campagne. Ciò dimostra quanto abbiamo bisogno di una risposta unificata del settore pubblico e privato per contrastare questi attacchi.

Inoltre, consulta il nostro articolo del blog di Trellix Threat Labs che offre informazioni aggiornate sulle minacce, video e link al bollettino sulla sicurezza.

Questo report evidenzia anche altre minacce e attacchi prevalenti osservati.

—Christiaan Beek
Capo analista

Attacchi informatici contro l'Ucraina e HermeticWiper

Il team di Trellix Threat Labs ha studiato l'attività dei wiper in Ucraina e la loro analisi suggerisce che esiste probabilmente una relazione tra Whispergate e il nuovo HermeticWiper.

Leggi di più sulle nostre analisi e informazioni raccolte sulle attività di queste minacce in Ucraina.

Passaggi consigliati per impedire l'accesso iniziale

Le organizzazioni dovrebbero cercare di rivedere le tattiche, le tecniche e le procedure di accesso iniziale (TTP) associate all'attività della Russia per proteggere in modo proattivo il loro ambiente dalle infiltrazioni.

  • Attacchi di phishing/spearphishing che utilizzano URL abbreviati di dominio dannoso.
  • Monitoraggio dei tentativi di attacco brute force per identificare le credenziali dell'account valide e gli account Microsoft 365.
  • Abilitazione dell'autenticazione a più fattori (MFA) per tutti gli utenti, senza eccezioni.
  • Sfruttamento di sistemi disponibili pubblicamente – La CISA sta compilando un elenco completo delle vulnerabilità CVE note per essere sfruttate.
  • Disabilitazione di tutte le porte e i protocolli non essenziali, in particolare quelli associati ai servizi remoti.
  • Rintracciare e bloccare gli strumenti open source non correlati alle attività aziendali e utilizzati negli attacchi passati: UltraVNC, AdvancedRun, wget e impacket.

Anche altri gruppi e campagne dannosi prendono di mira l'Ucraina:

ACTINIUM APT

Agent Tesla

CaddyWiper

CERT-AU 4109

Attacchi DDoS

Gamaredon APT

GlowSpark

IsaacWiper

NOBELIUM APT

OutSteel

RURansom Wiper

SaintBot

Shuckworm APT

UAC-0056

ACTINIUM APT

Agent Tesla

CaddyWiper

CERT-AU 4109

Attacchi DDoS

Gamaredon APT

GlowSpark

IsaacWiper

NOBEpUM APT

OutSteel

RURansom Wiper

SaintBot

Shuckworm APT

UAC-0056

Visita il Centro minacce di Trellix per scoprire e prevenire le minacce emergenti, tra cui HermeticWiper.

I Trellix Threat Labs hanno scoperto una nuova campagna sospetta del gruppo APT DarkHotel.

A marzo, Trellix ha scoperto la prima fase di una campagna dannosa che ha preso di mira gli hotel di lusso di Macao, in Cina, a partire dalla seconda metà di novembre 2021. L'attacco è iniziato con un'email di spearphishing a vari membri del team di gestione dell'hotel, ad esempio il responsabile delle risorse umane, il vice direttore e il responsabile della reception. In base alle posizioni mirate, si può dedurre che le persone interessate hanno un accesso sufficiente alla rete dell'hotel, compresi i sistemi di prenotazione. L'attacco procede come segue:

  • L'email di spearphishing contiene un foglio Excel come allegato. Alla vittima viene richiesto di aprire il file e abilitare le macro dannose incorporate.
  • Queste macro attivano una serie di meccanismi descritti nella sezione Analisi Tecnica e presentati nel processo di infezione spiegato di seguito.
  • In primo luogo, le macro creano un'attività pianificata per eseguire la ricognizione, elencare i dati ed esfiltrarli.
  • Quindi, per stabilire la comunicazione con il server C&C (Command and Control) utilizzato per esfiltrare i dati delle vittime, le macro utilizzano una tecnica LOLBAS (Living Off the Land Binaries and Scripts); in tal modo, eseguono le righe di comando di PowerShell come script attendibile.

Leggi l’articolo del blog per ulteriori informazioni sul gruppo APT DarkHotel, sull'attribuzione della minaccia, sulla campagna e sull'analisi tecnica dell'attacco.

Darkhotel Attack Flow Diagram

I Trellix Threat Labs identificano la compromissione della Presidenza del Consiglio dei Ministri

A gennaio, il nostro team ha annunciato di aver individuato una campagna di spionaggio informatico in più fasi che ha preso di mira alti funzionari responsabili della politica di sicurezza nazionale e operatori dell'industria della difesa in Asia occidentale. Trellix si è preoccupata di informare preventivamente le vittime e ha fornito loro tutte le informazioni necessarie per eliminare tutti i componenti dannosi noti dai loro ambienti.

L'analisi del flusso complessivo dell'attacco ha rivelato che l'attacco è iniziato con l'esecuzione di un file Excel contenente un exploit per la vulnerabilità dell'esecuzione di codice in modalità remota in MSHTML (CVE-2021-40444). Viene impiegato per eseguire un file DLL dannoso utilizzato come downloader per il malware di attacco della terza fase, che chiamiamo Graphite. Graphite è un esempio di malware scoperto di recente. Basato su uno stager di OneDrive Empire, utilizza gli account OneDrive come server di comando e controllo (C&C) tramite l'API Microsoft Graph.

Le fasi finali di questo attacco multi-fase (associato a nostro avviso con un'operazione APT) includono l'esecuzione di diversi stager Empire. La loro missione è scaricare un agente Empire sui computer delle vittime e fare in modo che il server C&C prenda il controllo remoto dei sistemi.

Il diagramma seguente mostra l'andamento generale di questo attacco.

Prime Minister's Office Comprimise Attack Flow Diagram

Leggi l’articolo del blog per un'analisi più approfondita, comprese le diverse fasi, l'infrastruttura e l'attribuzione.

Metodologia

I sistemi di back-end Trellix forniscono i dati di telemetria che utilizziamo per preparare i nostri report trimestrali sul panorama delle minacce. Combiniamo i nostri dati di telemetria con quelli di varie fonti di dati pubbliche, nonché le nostre indagini sulle minacce prevalenti come ransomware, campagne di gruppi statali, ecc.

Per telemetria intendiamo i dati relativi ai rilevamenti, non alle infezioni. Si tratta di rilevamenti di file, URL, indirizzi IP o altri indicatori da parte di uno dei nostri prodotti che ci vengono poi segnalati.

La riservatezza delle informazioni dei nostri clienti è essenziale. È anche importante quando si tratta di dati di telemetria e mappatura dei settori e dei paesi dei nostri clienti. Poiché la nostra base di clienti varia in base al paese, le cifre possono indicare aumenti che possono essere spiegati da altri fattori, che richiedono un'ulteriore analisi. Il settore delle telecomunicazioni, ad esempio, mostra ancora punteggi elevati. Ciò non significa necessariamente che questo settore sia altamente mirato. Il settore delle telecomunicazioni include anche ISP che possiedono uno spazio di indirizzi IP che viene venduto alle aziende. Cosa significa? Gli invii provenienti dallo spazio degli indirizzi IP dell'ISP sono attribuiti al settore delle telecomunicazioni, ma in realtà possono provenire dai suoi clienti, che operano in un altro settore.

Ransomware

Durante l'ultimo trimestre 2021, il panorama dei ransomware si è evoluto. Invece degli attacchi descritti nel nostro report precedente, i gruppi di ransomware hanno dovuto trovare una nuova base sotterranea e le forze dell'ordine hanno iniziato a smantellare diversi gruppi noti. Uno di questi, REvil/Sodinokibi, era ancora tra le migliori famiglie di ransomware nel terzo trimestre. Ma REvil alla fine è scomparso dopo una rimozione coordinata delle sue infrastrutture, dissensi interni e l'arresto di diversi membri. Trellix è orgogliosa di aver partecipato alle indagini di REvil eseguendo l'analisi del malware, individuando l'infrastruttura principale e identificando diversi sospetti.

Lockbit, Cuba e Conti ransomware hanno occupato i primi tre posti nel quarto trimestre del 2021. Riteniamo che i restanti membri del gruppo REvil abbiano trovato un nuovo rifugio con queste famiglie di ransomware.

Nel momento in cui abbiamo appena finito di preparare questo report, il panorama è cambiato di nuovo. Conti, che è diventata una delle più grandi famiglie di ransomware, ha visto migliaia di conversazioni interne pubblicate su Internet, mettendo a nudo il loro funzionamento interno. Abbiamo soprannominato queste fughe di notizie "Panama Papers of Ransomware" e le tratteremo in modo più dettagliato nel nostro prossimo report trimestrale.

Per aiutare le aziende a comprendere e proteggersi meglio dagli attacchi ransomware nel panorama delle minacce odierno, il nostro team Threat Labs presenta le proprie osservazioni e i risultati delle ricerche sulla prevalenza di un'ampia gamma di ransomware, comprese le famiglie, le tecniche, i paesi, i settori e i vettori interessati dal quarto trimestre del 2021.

289%

Aumento della categoria Media e Comunicazioni tra il terzo e il quarto trimestre 2021.

61

I rilevamenti di ransomware tra i clienti con sede negli Stati Uniti sono diminuiti tra il terzo e il quarto trimestre 2021.

Tecniche di ransomware MITRE ATT&CK più comunemente riportate

1.

Crittografia dei dati per l’impatto

2.

Rilevamento di file e directory

3.

Offuscamento di file o informazioni

4.

Rilevamento del processo

5.

Iniezione del processo

Rilevamenti per famiglia di ransomware

Lockbit

Cuba

Conti

Ryuk

BlackMatter

Q3

4%

8%

6.7%

7%

N/D

Q4

23%

19%

17%

11%

7%

Q3

Q4

Lockbit

4%

23%

Cuba

8%

19%

Conti

6,7%

17%

Ryuk

7%

11%

BlackMatter

N/D

7%

Attività degli Stati nazionali

Il team tiene traccia e monitora le campagne avviate dallo Stato, nonché gli indicatori e le tecniche associate. La nostra ricerca si concentra sui criminali informatici, sui loro strumenti, sui paesi e sui settori dei clienti presi di mira e sulle tecniche MITRE ATT&CK dal quarto trimestre 2021. Tutti i dati relativi a questi eventi, inclusi gli indicatori, le regole YARA e la logica di rilevamento sono disponibili in Insights.

Tecniche MITRE ATT&CK più comunemente riportate utilizzate dagli Stati

1.

PowerShell

2.

Attività pianificata

3.

Offuscamento di file o informazioni

4.

Windows

5.

Protocolli web

95

Cobalt Strike è lo strumento più utilizzato dai gruppi sponsorizzati dallo Stato nel quarto trimestre 2021.

30

L'APT 29 è stato il primo gruppo al soldo dello Stato nel quarto trimestre 2021, con un aumento del 35% rispetto al trimestre precedente.

26

Le attività degli Stati nazionali in Turchia hanno rappresentato quasi il 26% del numero totale di rilevamenti nel quarto trimestre 2021.

Statistiche sulle minacce prevalenti

Il nostro team ha monitorato diverse categorie di minacce nel quarto trimestre 2021. I risultati della ricerca mostrano le percentuali di rilevamento per il tipo di famiglie di malware prevalenti osservate, i paesi e i settori di clienti presi di mira e le tecniche MITRE ATT&CK utilizzate.

75

RedLine Stealer (20%), Raccoon Stealer (17%), Remcos RAT (12%), LokiBot (12%) e Formbook (12%) rappresentano quasi il 75% degli strumenti della famiglia di malware osservati nel quarto trimestre 2021.

62

I clienti dei trasporti sono stati i più bersagliati (62%) nel quarto trimestre 2021, più degli altri 10 settori principali messi insieme.

80

Aumento delle osservazioni sui clienti statunitensi tra il terzo e il quarto trimestre 2021.

Tecniche MITRE ATT&CK più comunemente riportate

1.

Offuscamento di file o informazioni

2.

Accesso da browser web

3.

Rilevamento di file e directory

4.

Chiavi di esecuzione nel registro / Cartella di avvio

5.

Rilevamento delle informazioni di sistema

Rilevamenti per famiglia di ransomware

RedLine Stealer

Raccoon Stealer

Remcos RAT

LokiBot

Formbook

Q3

1,2%

N/D

24%

19%

36%

Q4

20%

17%

12%

12%

12%

Q3

Q4

RedLine Stealer

1,2%

20%

Raccoon Stealer

N/D

17%

Remcos RAT

6,7%

12%

LokiBot

19%

12%

Formbook

36%

12%

Minacce a paesi, continenti, settori e vettori di attacco

Nel quarto trimestre 2021 sono stati osservati aumenti significativi del numero di incidenti segnalati per paese e continente:

150

La Germania ha registrato l'aumento più elevato (150%) del numero di incidenti segnalati nel quarto trimestre 2021.

38

Gli Stati Uniti hanno registrato il maggior numero di incidenti segnalati nel quarto trimestre 2021, rappresentando il 38% del numero totale di incidenti segnalati.

Sfruttamento delle risorse locali

I criminali informatici continuano a sviluppare strumenti personalizzati, ma spesso si rivolgono a tecniche di sfruttamento delle risorse locali (Living off the Land) per dirottare binari legittimi e utilità di amministrazione dall'uso previsto e utilizzarli per distribuire i carichi utili dannosi su un sistema bersaglio. Sulla base degli eventi del quarto trimestre 2021, Trellix ha identificato un leggero cambiamento nelle tendenze negli strumenti utilizzati dai criminali informatici che tentano di eludere il rilevamento.

Le tattiche, le tecniche e le procedure si evolvono man mano che le difese si rafforzano e la comunità della sicurezza condivide gli indicatori di compromissione tra i suoi membri. Il report del terzo trimestre ha richiamato l'attenzione su alcuni file binari di Windows presenti in un sistema di produzione o utilizzati dal personale amministrativo per svolgere attività quotidiane. Ha inoltre raccomandato di implementare il software necessario sulle macchine, monitorare le anomalie e mantenere l'efficienza dei sistemi. I criminali informatici stanno abusando dell'intento originario di questi strumenti per scopi dannosi. Tra il terzo e il quarto trimestre abbiamo notato una leggera differenza nelle utility sfruttate dai criminali informatici. Una cosa che rimane la stessa, tuttavia, è che i criminali informatici cercano ancora di eludere il rilevamento e utilizzano gli strumenti già presenti in un sistema per distribuire i carichi utili, inclusi ransomware, beacon, esfiltrazione di informazioni e strumenti di ricognizione.

Per identificare questi file binari o software di amministrazione durante la fase di ricognizione, i criminali informatici possono raccogliere informazioni sulle tecnologie utilizzate da annunci di lavoro o testimonianze di clienti pubblicate dai fornitori, o tramite un complice interno.

Binari nativi del sistema operativo Commenti (passa il mouse per ulteriori informazioni) (fai clic per ulteriori informazioni)

Windows Command Shell (CMD) (53.44%)

T1059.003

Windows Command Shell è l'interfaccia principale della riga di comando di Windows e viene spesso utilizzata per eseguire file e comandi in un altro flusso di dati.

PowerShell (43.92%)

T1059.001

PowerShell viene spesso utilizzato per eseguire script e comandi di PowerShell

WMI/WMIC (33.86%)

T1218 T1564.004

WMIC è un'interfaccia a riga di comando per il servizio WMI che può essere utilizzata dai criminali informatici per eseguire comandi o carichi utili virtuali in locale, in altri flussi di dati o su un sistema remoto.

Rundll32 (24.34%)

T1218.011 T1564.004

Rundll32 può essere utilizzato per eseguire DLL locali, DLL da una condivisione, DLL ottenute da Internet e altri flussi di dati.

Regsvr32 (14.29%)

T1218.010

Regsvr32 può essere utilizzato dai criminali informatici per registrare file DLL, eseguire codice dannoso e bypassare le whitelist delle applicazioni.

Schtasks (12.70%)

T1053.005

Un criminale informatico può pianificare attività per garantire la persistenza, eseguire altro malware o attività automatizzate.

MSHTA (10.05%)

T1218.005

MSHTA può essere utilizzato dai criminali informatici per eseguire file JavaScript, JScript e VBScript che possono essere nascosti nei file HTA del sistema locale e in altri flussi di dati o recuperati da un sito remoto.

Excel (8.99%)

T1105

Anche senza un'installazione nativa, molti sistemi dispongono di un'applicazione per fogli di calcolo. I criminali informatici possono quindi inviare agli utenti allegati che contengono codice dannoso o script che, una volta eseguiti, possono recuperare i carichi utili da un sito remoto.

Net.exe (7.94%)

T1087 e sotto tecniche

L'utilità della riga di comando di Windows consente ai criminali informatici di eseguire operazioni di ricognizione, come l'identificazione di utenti, reti e servizi sul computer di una vittima.

Certutil (4.23%)

T1105, 1564.004 T1027

L'utilità dei comandi di Windows viene utilizzata per ottenere informazioni sulle autorità di certificazione e configurare i servizi di certificazione. Inoltre, i criminali informatici possono utilizzare certutil per ottenere strumenti e contenuti remoti, codificare e decodificare file e accedere ad altri flussi di dati.

Reg.exe (3.70%)

1003.002 1564.004

Reg.exe consente ai criminali informatici di aggiungere, modificare, eliminare ed esportare valori di registro che possono essere salvati in altri flussi di dati. Inoltre, reg.exe può essere utilizzato per esfiltrare gli identificatori da un file SAM.

Strumenti amministrativi Commenti (passa il mouse per ulteriori informazioni) (fai clic per ulteriori informazioni)

Servizi remoti (35,98%)

T1021.001 T1021.004 T1021.005

AnyDesk, ConnectWise Control, RDP, UltraVNC, PuTTY

I criminali informatici di WinSCP possono sfruttare servizi remoti, sia nativi di Windows che software di terze parti, con account validi per accedere in remoto a un computer o a un'infrastruttura, introdurre strumenti e malware o persino esfiltrare dati.

Utilità di archiviazione (6,35%)

T1560.001

7-Zip, WinRAR

I criminali informatici di WinZip possono sfruttare le utilità di archiviazione per comprimere i dati raccolti per l'esfiltrazione, nonché per decomprimere file ed eseguibili.

BITSAdmin (3.70%)

T1105 T1218 T1564.004

BITSAdmin viene in genere utilizzato per la persistenza, la pulizia degli artefatti e la chiamata di azioni aggiuntive quando viene soddisfatto un determinato criterio.

ADFind (2.65%)

T1016, T1018 T1069 e sotto tecniche, T1087 e sotto tecniche T1482

Questa utilità della riga di comando può essere utilizzata dai criminali informatici per rilevare informazioni da Active Directory, come i trust di dominio, i gruppi di autorizzazioni, i sistemi remoti e le configurazioni di rete.

PsExec (2.12%)

T1569.002

PsExec è uno strumento utilizzato per eseguire comandi e programmi su un sistema remoto.

fodhelper.exe (0.05%)

T1548.002

Fodhelper.exe è un'utilità di Windows che può essere sfruttata dai criminali informatici per eseguire file dannosi con privilegi elevati sul computer di una vittima.

Scrittura e ricerca

Alfred Alvarado

Douglas McKee

Christiaan Beek

Tim Polzer

Marc Elias

Steve Povolny

John Fokker

Thibault Seret

Tim Hux

Leandro Velasco

Max Kersten

 

Alfred Alvarado

Christiaan Beek

Marc Elias

John Fokker

Tim Hux

Max Kersten

Douglas McKee

Tim Polzer

Steve Povolny

Thibault Seret

Leandro Velasco

Risorse

Per stare al passo con l'evoluzione delle minacce e della ricerca, dai un'occhiata alle seguenti risorse del nostro team:
Centro minacce — Le attuali minacce ad alto impatto identificate dal nostro team.

Twitter: