SICUREZZA IT-Blog Axitea – Meltdown e Spectre: le prime...

INTERNAZIONALIZZAZIONE-Gruppo CDP: SIMEST sostiene all’estero le fiction della milanese...

12 gennaio 2018 Comments Off on SICUREZZA IT-Kaspersky Lab: nuova attività nociva del gruppo Turla Commerciale

SICUREZZA IT-Kaspersky Lab: nuova attività nociva del gruppo Turla

Kaspersky Lab ha rilasciato un commento sulla nuova attività del gruppo criminale di lingua russa Turla riportata dai ricercatori il 9 gennaio 2018:

  • I ricercatori di Kaspersky Lab studiano Turla da diversi anni e a marzo 2017 hanno pubblicato un report privato su questa nuova campagna, chiamata Mosquito Turla, e sulla tecnica di diffusione utilizzata.
  • Mosquito sfrutta quello che potenzialmente è un attacco Man-in-the-Middle (MitM) per distribuire l’installer di Flash Player modificato direttamente dal dominio Adobe: admdownload.adobe[.]com. La campagna ha preso principalmente di mira ambasciate e organizzazioni nell’area degli affari esteri (oltre ad alcune organizzazioni differenti) in Sud America, Medio Oriente, Nord Africa, Asia centrale e in Europa occidentale e orientale. La copertura geografica della campagna è più estesa di quanto riportato da altri.
  • I ricercatori di Kaspersky Lab hanno scoperto alcune sovrapposizioni con le precedenti attività di Turla, tra cui infrastrutture condivise e forti somiglianze tra il codiceCommanderDLL di Mosquito e il codice WhiteAtlas (un’altra famiglia del malware Turla). Sono state inoltre trovate somiglianze con un vecchio codebase di Turla conosciuto come “ComRAT”.
  • Come nel caso di altre attività di Turla, la campagna Mosquito usa certificati digitali di firma del codice appartenenti a organizzazioni inglesi inattive e Mimikatz per rubare le credenziali degli account degli utenti. Inoltre, Mosquito usa il legittimo strumento della riga di comando di WinRAR per cercare di raccogliere ed esfiltrare i dati.
  • Maggiori informazioni su Mosquito e altre attività recenti di Turla sono disponibili per gli iscritti ai servizi di intelligence sulle minacce di Kaspersky Lab. Per maggiori dettagli contattare intelreports@kaspersky.com.

“Da diversi anni seguiamo l’attività di Turla, un gruppo criminale di lingua russa innovativo e di lunga data, noto per la sua propensione alla sperimentazione di nuovi tool e tecniche. I recenti attacchi mirati dimostrano che il gruppo continua ad ampliare il proprio arsenale per attaccare le organizzazioni di tutto il mondo”, ha commentato Kurt Baumgartner, Principal Security Researcher del Global Research and Analysis Team (GReAT) di Kaspersky Lab.

Per rimanere al sicuro, Kaspersky Lab consiglia di:

  • Dotarsi di strumenti di prevenzione: le aziende e lo staff di sicurezza IT devono innanzitutto capire se possono diventare un obiettivo dei cyber criminali. I servizi di threat intelligence possono aiutarli a effettuare una valutazione approfondita.
  • Usare soluzioni di rilevamento avanzato: è necessario che le organizzazioni adottino una suite anti-malware efficace con whitelisting che le aiuterà a proteggersi da tutti i componenti identificati, compreso Mimikatz. Il monitoraggio del traffico in uscita è estremamente utile per identificare questo tipo di attività del gruppo Turla.
  • Ottenere una profonda comprensione delle minacce: le organizzazioni di ogni tipo devono comprendere e assicurarsi una protezione dagli attacchi man-in-the-middle e dal furto di credenziali e monitorare gli account per scoprire attività sospette.

Comments are closed.