Report Trellix Threat Labs: Aprile 2022

Lettera del nostro capo analista

Benvenuti nel nostro nuovo report sul panorama delle minacce.

Alla luce di questi primi mesi, il minimo che possiamo dire è che l'anno è iniziato alla grande. Mentre usciamo lentamente dalla pandemia, le incertezze sui recenti conflitti in Eurasia dominano la nostra vita quotidiana e le nostre conversazioni.

Innanzitutto, Trellix è un sostenitore della pace. Indipendentemente dalle parti coinvolte in qualsiasi controversia, la nostra missione è proteggere i nostri clienti e rispettare il diritto internazionale. Al momento della preparazione di questo report, stiamo continuando la nostra ricerca e mantenendo la nostra vigilanza. Ad esempio, il gruppo Lapsus$ ha attaccato grandi multinazionali, inizialmente prendendo di mira in particolare le vittime sudamericane e divulgando dati sensibili, inclusi codice sorgente e certificati.

Abbiamo osservato diversi casi di sfruttamento di questi certificati. Questi ultimi vengono, ad esempio, utilizzati per firmare file binari dannosi con l'intento di aggirare i meccanismi di protezione dei sistemi operativi e dei prodotti di sicurezza. Ulteriori informazioni su questo gruppo, le loro ultime violazioni e possibili contromisure sono disponibili qui.

L'attuale report, il secondo dal lancio della nostra nuova società, esamina anche gli eventi (cyber) che hanno fatto notizia. Dagli attacchi all'infrastruttura ucraina al malware HermeticWiper, progettato per distruggere il settore di avvio di qualsiasi macchina infetta, la sicurezza informatica è al centro delle preoccupazioni di tutti all'inizio dell'anno. Questo report ripercorre anche il quarto trimestre del 2021, segnato dalla vulnerabilità di Log4shell e dal suo impatto su centinaia di milioni di dispositivi, e molti si chiedono cosa ci riserverà l'anno in corso.

Il team di Trellix Threat Labs è da anni in prima linea nella ricerca sui ransomware. A seguito della nostra collaborazione con il settore pubblico, siamo lieti di annunciare l'arresto di diversi membri di un gruppo specializzato di ransomware e lo smantellamento delle sue attività nel dicembre 2021. I recenti post del gruppo ransomware Conti e del gruppo dietro il malware Trickbot hanno rivelato quanto siano professionali questi criminali informatici nel condurre le loro campagne. Ciò dimostra quanto abbiamo bisogno di una risposta unificata del settore pubblico e privato per contrastare questi attacchi.

Inoltre, consulta il nostro articolo del blog di Trellix Threat Labs che offre informazioni aggiornate sulle minacce, video e link al bollettino sulla sicurezza.

Questo report evidenzia anche altre minacce e attacchi prevalenti osservati.

—Christiaan Beek
Capo analista

Christiaan Beek Twitter

I Trellix Threat Labs hanno scoperto una nuova campagna sospetta del gruppo APT DarkHotel.

A marzo, Trellix ha scoperto la prima fase di una campagna dannosa che ha preso di mira gli hotel di lusso di Macao, in Cina, a partire dalla seconda metà di novembre 2021. L'attacco è iniziato con un'email di spearphishing a vari membri del team di gestione dell'hotel, ad esempio il responsabile delle risorse umane, il vice direttore e il responsabile della reception. In base alle posizioni mirate, si può dedurre che le persone interessate hanno un accesso sufficiente alla rete dell'hotel, compresi i sistemi di prenotazione. L'attacco procede come segue:

• L'email di spearphishing contiene un foglio Excel come allegato. Alla vittima viene richiesto di aprire il file e abilitare le macro dannose incorporate.
• Queste macro attivano una serie di meccanismi descritti nella sezione Analisi Tecnica e presentati nel processo di infezione spiegato di seguito.
• In primo luogo, le macro creano un'attività pianificata per eseguire la ricognizione, elencare i dati ed esfiltrarli.
• Quindi, per stabilire la comunicazione con il server C&C (Command and Control) utilizzato per esfiltrare i dati delle vittime, le macro utilizzano una tecnica LOLBAS (Living Off the Land Binaries and Scripts); in tal modo, eseguono le righe di comando di PowerShell come script attendibile.

Leggi l’articolo del blog per ulteriori informazioni sul gruppo APT DarkHotel, sull'attribuzione della minaccia, sulla campagna e sull'analisi tecnica dell'attacco.

I Trellix Threat Labs identificano la compromissione della Presidenza del Consiglio dei Ministri

A gennaio, il nostro team ha annunciato di aver individuato una campagna di spionaggio informatico in più fasi che ha preso di mira alti funzionari responsabili della politica di sicurezza nazionale e operatori dell'industria della difesa in Asia occidentale. Trellix si è preoccupata di informare preventivamente le vittime e ha fornito loro tutte le informazioni necessarie per eliminare tutti i componenti dannosi noti dai loro ambienti.

L'analisi del flusso complessivo dell'attacco ha rivelato che l'attacco è iniziato con l'esecuzione di un file Excel contenente un exploit per la vulnerabilità dell'esecuzione di codice in modalità remota in MSHTML (CVE-2021-40444). Viene impiegato per eseguire un file DLL dannoso utilizzato come downloader per il malware di attacco della terza fase, che chiamiamo Graphite. Graphite è un esempio di malware scoperto di recente. Basato su uno stager di OneDrive Empire, utilizza gli account OneDrive come server di comando e controllo (C&C) tramite l'API Microsoft Graph.

Le fasi finali di questo attacco multi-fase (associato a nostro avviso con un'operazione APT) includono l'esecuzione di diversi stager Empire. La loro missione è scaricare un agente Empire sui computer delle vittime e fare in modo che il server C&C prenda il controllo remoto dei sistemi.

Il diagramma seguente mostra l'andamento generale di questo attacco.

Leggi l’articolo del blog per un'analisi più approfondita, comprese le diverse fasi, l'infrastruttura e l'attribuzione.

Metodologia

I sistemi di back-end Trellix forniscono i dati di telemetria che utilizziamo per preparare i nostri report trimestrali sul panorama delle minacce. Combiniamo i nostri dati di telemetria con quelli di varie fonti di dati pubbliche, nonché le nostre indagini sulle minacce prevalenti come ransomware, campagne di gruppi statali, ecc.

Per telemetria intendiamo i dati relativi ai rilevamenti, non alle infezioni. Si tratta di rilevamenti di file, URL, indirizzi IP o altri indicatori da parte di uno dei nostri prodotti che ci vengono poi segnalati.

La riservatezza delle informazioni dei nostri clienti è essenziale. È anche importante quando si tratta di dati di telemetria e mappatura dei settori e dei paesi dei nostri clienti. Poiché la nostra base di clienti varia in base al paese, le cifre possono indicare aumenti che possono essere spiegati da altri fattori, che richiedono un'ulteriore analisi. Il settore delle telecomunicazioni, ad esempio, mostra ancora punteggi elevati. Ciò non significa necessariamente che questo settore sia altamente mirato. Il settore delle telecomunicazioni include anche ISP che possiedono uno spazio di indirizzi IP che viene venduto alle aziende. Cosa significa? Gli invii provenienti dallo spazio degli indirizzi IP dell'ISP sono attribuiti al settore delle telecomunicazioni, ma in realtà possono provenire dai suoi clienti, che operano in un altro settore.

Ransomware

Durante l'ultimo trimestre 2021, il panorama dei ransomware si è evoluto. Invece degli attacchi descritti nel nostro report precedente, i gruppi di ransomware hanno dovuto trovare una nuova base sotterranea e le forze dell'ordine hanno iniziato a smantellare diversi gruppi noti. Uno di questi, REvil/Sodinokibi, era ancora tra le migliori famiglie di ransomware nel terzo trimestre. Ma REvil alla fine è scomparso dopo una rimozione coordinata delle sue infrastrutture, dissensi interni e l'arresto di diversi membri. Trellix è orgogliosa di aver partecipato alle indagini di REvil eseguendo l'analisi del malware, individuando l'infrastruttura principale e identificando diversi sospetti.

Lockbit, Cuba e Conti ransomware hanno occupato i primi tre posti nel quarto trimestre del 2021. Riteniamo che i restanti membri del gruppo REvil abbiano trovato un nuovo rifugio con queste famiglie di ransomware.

Nel momento in cui abbiamo appena finito di preparare questo report, il panorama è cambiato di nuovo. Conti, che è diventata una delle più grandi famiglie di ransomware, ha visto migliaia di conversazioni interne pubblicate su Internet, mettendo a nudo il loro funzionamento interno. Abbiamo soprannominato queste fughe di notizie "Panama Papers of Ransomware" e le tratteremo in modo più dettagliato nel nostro prossimo report trimestrale.

Per aiutare le aziende a comprendere e proteggersi meglio dagli attacchi ransomware nel panorama delle minacce odierno, il nostro team Threat Labs presenta le proprie osservazioni e i risultati delle ricerche sulla prevalenza di un'ampia gamma di ransomware, comprese le famiglie, le tecniche, i paesi, i settori e i vettori interessati dal quarto trimestre del 2021.