Un nuovo report pubblicato dai Laboratori di F-Secure ha rivelato un infostealer usato per attaccare parti coinvolte nella disputa in atto sui confini nel mar cinese meridionale. Si sospetta che il Trojan di accesso remoto (RAT) – soprannominato NanHaiShu – sia di origine cinese, e che sia stato usato nelle email di spear pishing indirizzate verso le parti coinvolte nella disputa sul mar cinese meridionale. I bersagli indicati nel report includono due organizzazioni governative e uno studio legale che rappresenta una delle due parti.
Gli attacchi informatici sono oggi alla base di operazioni di intelligence in tutto il mondo. E mentre a molte aziende gli attacchi politici come questi e altri attacchi di alto profilo possono sembrare ‘troppo grandi’ per preoccuparsene, gli attaccanti contano proprio su questa convinzione per pianificare i loro attacchi.
“C’è qualcuno dietro ogni attacco informatico, e gli attaccanti studiano cosa funziona in attacchi che hanno avuto successo per poi replicarlo in altri attacchi,” spiega Erka Koivunen, F-Secure Cyber Security Advisor. “Questa è la tua ultima opportunità per imparare dagli incidenti occorsi ad altre persone, poiché potresti essere il prossimo bersaglio dello stesso tipo di attacco. Imparare a conoscere le differenti tecniche dietro a incidenti di sicurezza è il modo migliore per decidere dove investire risorse per la tua difesa.”
Ecco perché l’intelligence delle minacce ha un valore inestimabile per costruire una difesa contro attaccanti che cercano di utilizzare backdoor, infostealer, e altri tipi di attacchi focalizzati a rubare i tuoi dati. In una parola, devi proteggerti contro criminali informatici o sabotatori digitali, ma è arduo se non sai come questi delinquenti conducono il loro business.
Puoi scaricare il documento di F-Secure sull’intelligence delle minacce per imparare di più su tattiche, tecniche e procedure associate agli attacchi NanHaiShu, e ottenere istruzioni su come rafforzare i tuoi sistemi contro questo tipo di attacchi. Ecco alcuni dei punti chiave contenuti nel brief.
1. Gli attaccanti sanno dove colpire
Gli attaccanti che hanno usato NanHaiShu sapevano dove colpire i loro bersagli. Non solo sono stati in grado di forgiare email di spear pishing efficaci per adescare le loro vittime e indurle ad aprire allegati malevoli, ma il malware è stato progettato per essere efficace su bersagli che usavano – si dice nel report – “una configurazione non predefinita in Microsoft Office.” Quindi questi attaccanti hanno fatto attività di ricognizione per essere certi che le configurazioni non predefinite che avrebbero usato funzionassero contro i loro bersagli.
Questo dovrebbe far capire alle aziende che è tempo di mettere al sicuro i loro dati prima che gli attaccanti li trovino.
Il codice malevolo di NanHaiShu è stato progettato per funzionare come una macro in Microsoft Office. Macro malevole come queste sono diventate sempre più popolari di recente: ecco pecrché le aziende che stanno usando Microsoft Office dovrebbero disabilitare le macro di default (il report contiene informazioni su come fare). Gli utenti in un’azienda non dovrebbero avere la possibilità di usare macro non autorizzate. Se la tua azienda non è in grado di farlo, stai lasciando un ‘buco’ nelle tue difese informatiche che oggi viene preso di mira in molti attacchi informatici. Il report viene in aiuto anche in questo caso, includendo alcuni suggerimenti su come puoi ridurre i rischi associati a macro in funzione.
2. Gli attaccanti sanno come usare le notizie
I ricercatori hanno collegato l’uso di NanHaiShu con eventi avvenuti nel corso del 2015. Gli eventi che hanno influenzato l’uso di NanHaiShu riguardavano sviluppi della disputa sul mar cinese meridionale: allo stesso modo autori di altre minacce hanno cavalcato altri tipi di notizie. Per esempio, questo video mostra come il gruppo di cyber spionaggio The Dukes abbia usato eventi che avevano a che fare con la crisi ucraina per creare email di spear pishing (tra l’altro, il processo nel video è molto simile a come appare un attacco NanHaiShu).
Ancora una volta stiamo notando attaccanti che fanno un lavoro di ricognizione per arrivare a capire come ingannare le persone e portarle ad attivare macro malevole. Gli attaccanti conoscono il tuo gergo aziendale, sanno con chi tratti, sanno quali argomenti e quali problematiche di business ti interessano, e sanno quando sei pronto ad abbassare le tue difese per condurre un business.
E in questo post, così come nel nostro più recente Threat Report, si è discusso di come gli attaccanti siano abili nel creare e distribuire exploit entro 24 ore prima che nuove vulnerabilità vengano rilevate. Quindi puoi capire come le minacce odierne siano correlate all’attualità, sia che si tratti di notizie di tecnologia o sviluppi politici.
Di conseguenza, le aziende dovrebbero porre i propri dipendenti a conoscenza di come le notizie e gli eventi attuali possono avere implicazioni sulla sicurezza per le loro organizzazioni.
3. Gli attaccanti possono nascondersi in bella vista
Un’altra tecnica usata dagli attaccanti dietro NanHaiShu (così come per molte altre minacce) è nascondere il loro traffico malevolo in servizi legittimi. Più nello specifico, NanHaiShu usa fornitori di DNS dinamico per instradare il traffico in Internet. E non sono soli nell’usare questo tipo di risorse. Nel 2014, i legali di Microsoft hanno confermato che oltre 245 differenti tipi di malware stavano usando un fornitore di DNS dinamico per traffico di rete malevolo.
Questo approccio non solo aiuta gli autori delle minacce a far sì che non vengano rilevate, ma le rende anche più difficili da sconfiggere per le autorità. Il tentativo di Microsoft di eliminare 2 famiglie di malware nel 2014 attraverso il loro fornitore di DNS dinamico ha colpito milioni di server legittimi.
La soluzione per le aziende è usare un sistema di intrusione/rilevazione per flaggare o verificare il traffico DNS dinamico. Dovresti anche implementare un sistema o un servizio gestito che ti permetta di loggare azioni potenzialmente pericolose come il download di file, lanci di file e comportamenti insoliti. In questo modo puoi continuare a usare tali servizi per scopi legittimi mentre monitori attività sospette.
Infine, le aziende dovrebbero anche seguire le “best practices‘ elencate nel report per accertarsi di essere preparati per NanHaiShu e altre minacce online.
Articolo tratto da “NanHaiShu: threat intelligence brief on intelligence gathering attacks” di Adam Pilkey, Content Editor Corporate Communications F-Secure Corporation.
Categorie