Italy News Agency

All'inizio di settembre 2022, sono state identificate nuove campioni di software dannoso associati al cluster MATA precedentemente collegato al gruppo Lazarus. Questa campagna, che ha preso di mira oltre una dozzina di aziende dell'Europa dell'Est, è durata dall'agosto 2022 a maggio 2023. Gli attaccanti hanno utilizzato e-mail di spear-phishing sfruttando la vulnerabilità CVE-2021-26411 e hanno scaricato file eseguibili dannosi per Windows tramite browser web.

La catena di infezione di MATA aveva una struttura complessa che integrava installer, principali trojan e furto di identità con rootkit e processi di autenticazione sensibili. Gli indirizzi IP interni utilizzati come server di Comando e Controllo (C&C) hanno rivelato una scoperta significativa, ovvero che gli attaccanti avevano integrato i propri sistemi di controllo e infiltrazione nell'infrastruttura delle vittime. Kaspersky ha prontamente avvertito le organizzazioni interessate, consentendo una rapida risposta.

Un attacco iniziato con un'e-mail di spear-phishing per il furto di identità in una fabbrica ha infiltrato la rete mettendo a rischio il controller di dominio principale dell'azienda. Gli attaccanti hanno quindi sfruttato le vulnerabilità di sicurezza e i rootkit per ottenere il controllo delle postazioni di lavoro e dei server. In particolare, hanno violato i pannelli delle soluzioni di sicurezza per raccogliere informazioni e distribuire software dannosi in sistemi al di fuori delle organizzazioni controllate e dell'infrastruttura del dominio aziendale.

Vyacheslav Kopeytsev, Ricercatore Senior per la Sicurezza in Kaspersky ICS CERT, ha dichiarato: "Proteggere il settore industriale dagli attacchi mirati richiede un approccio vigile che combini pratiche di sicurezza informatica comprovate con un pensiero proattivo. I nostri esperti in Kaspersky seguono l'evoluzione delle APT e anticipano le loro mosse per individuare nuove tattiche e strumenti. Il nostro impegno nella ricerca sulla sicurezza informatica deriva dalla nostra promessa di fornire alle organizzazioni informazioni critiche sulle minacce informatiche in costante evoluzione. Essere informati e attuare le ultime misure di sicurezza consente alle aziende di rafforzare le loro difese contro tali attaccanti e proteggere le reti e i sistemi".

Gli esperti di Kaspersky raccomandano di adottare le seguenti misure per evitare di diventare un obiettivo di attacchi mirati, che siano da attori delle minacce noti o sconosciuti:

''Assicurarsi che il proprio team SOC abbia accesso alle ultime informazioni sulle minacce. Kaspersky Threat Intelligence fornisce un punto di accesso comune alle informazioni sulle minacce che includono dati e conoscenze su attacchi informatici raccolti da Kaspersky da oltre 20 anni. Rafforzare il proprio team di sicurezza informatica con la formazione online di Kaspersky sviluppata dagli esperti di GReAT per combattere le ultime minacce mirate. Soluzioni speciali come Kaspersky Industrial CyberSecurity possono servire come preziosa risorsa per la valutazione continua delle vulnerabilità e la triage nel processo efficace di gestione delle vulnerabilità. Utilizzare soluzioni EDR come Kaspersky Endpoint Detection and Response per la rilevazione, l'indagine e la tempestiva correzione degli incidenti a livello dei terminali. Oltre alla protezione di base dei terminali, implementare una soluzione di sicurezza aziendale di alto livello che rilevi tempestivamente le minacce avanzate a livello di rete, come la Piattaforma Antitargeted Attack di Kaspersky. Poiché molti attacchi mirati iniziano con il phishing o altre tecniche di ingegneria sociale, formare il proprio team sulla consapevolezza della sicurezza e sviluppare abilità pratiche. Ciò può essere fatto, ad esempio, attraverso la Piattaforma di Consapevolezza Automatica della Sicurezza di Kaspersky. Raccomandiamo di seguire corsi di formazione specializzati come la Digital Forensics e Incident Response nel campo ICS di Kaspersky ICS CERT per assicurarsi che il proprio team, gli strumenti e i processi siano pronti per una sofisticata risposta agli incidenti nella propria struttura''.

Kaspersky parteciperà al Security Analyst Summit (SAS) 2023, che si terrà dal 25 al 28 ottobre a Phuket, in Thailandia, per esplorare a fondo il futuro della sicurezza informatica.

Il summit riunirà i principali ricercatori nella lotta al malware, le agenzie globali di applicazione della legge, i team di risposta agli incidenti informatici e i dirigenti di alto livello del settore finanziario, della tecnologia, della sanità, dell'istruzione e del settore pubblico di tutto il mondo.