Kaspersky scopre NaiveCopy, una campagna APT molto attiva che prende di mira il settore delle criptovalute

Kaspersky scopre NaiveCopy, una campagna APT molto attiva che prende di mira il settore delle criptovalute

Nel secondo trimestre del 2022, i ricercatori di Kaspersky hanno osservato che i gruppi APT (Advanced Persistent Threat) prendono sempre più di mira il settore delle criptovalute. Utilizzando come esca i contenuti relativi alla moneta virtuale e ad avvisi delle forze dell’ordine, il threat actor che si nasconde dietro a questa nuova e attivissima campagna, soprannominata “NaiveCopy”, prende di mira investitori in azioni e criptovalute in Corea del Sud

Gli attori APT cambiano continuamente le loro tattiche, affinano i loro strumenti e sviluppano nuove tecniche. Per aiutare gli utenti privati e le aziende a tenere il passo con questi cambiamenti e a rimanere informati sulle potenziali minacce da affrontare, il Global Research and Analysis Team (GReAT) di Kaspersky fornisce report trimestrali sugli sviluppi più importanti nel panorama delle APT. Questa analisi viene realizzata utilizzando le ricerche proprie di Kaspersky sulla threat intelligence e include gli aggiornamenti principali e gli incidenti informatici ritenuti più rilevanti per un pubblico più ampio.

Nel secondo trimestre del 2022, i ricercatori di Kaspersky hanno scoperto una nuova campagna molto attiva iniziata a marzo e che ha preso di mira gli investitori in azioni e criptovalute. Si tratta di un fatto insolito, considerando che la maggior parte dei gruppi APT non ha come obiettivo il guadagno economico. I cybercriminali, infatti, hanno utilizzato contenuti legati alle criptovalute e denunce delle forze dell’ordine come temi per attirare gli utenti presi di mira. Le catene di infezione prevedono l’iniezione di modelli remoti e la creazione di una macro dannosa che avvia una procedura di infezione in più fasi utilizzando Dropbox. In seguito, dopo aver segnalato le informazioni sull’host dell’obiettivo, il malware tenta di recuperare il payload della fase finale.

Leggi anche:  Zero Trust: quello che i CIO devono sapere

Fortunatamente, gli esperti di Kaspersky hanno avuto la possibilità di acquisire il payload della fase finale, composto da diversi moduli utilizzati per l’esfiltrazione di informazioni sensibili dagli obiettivi dell’attacco. Dall’analisi del payload, i ricercatori di Kaspersky hanno trovato altri sample utilizzati l’anno precedente durante un’altra campagna contro organizzazioni in Messico e Regno Unito.

Gli esperti di Kaspersky non hanno rilevato collegamenti precisi con threat actor noti, ma ritengono che ci sia una familiarità con la lingua coreana e che sia stata impiegata una tattica simile a quella utilizzata dal gruppo Konni per rubare le credenziali di accesso di un noto portale coreano. Il gruppo Konni è un threat actor attivo dalla metà del 2021, che prende di mira soprattutto le autorità diplomatiche russe.

“Recentemente in diverse occasioni, abbiamo visto i gruppi APT rivolgere la loro attenzione al settore delle criptovalute. Utilizzando varie tecniche, i threat actor non cercano solo informazioni, ma anche denaro. Si tratta di una tendenza insolita ma in aumento. Per questo motivo è necessario che le organizzazioni siano costantemente aggiornate sul recente panorama delle minacce informatiche. La Threat Intelligence è una componente essenziale che consente di anticipare in modo affidabile e tempestivo tali attacchi,” ha commentato David Emm, Principal Security Researcher del GReAT team di Kaspersky. 

Il report completo sulle tendenze APT del Q2 2022 è disponibile su Securelist.com.

Per evitare di essere presi di mira da un attacco APT da parte di threat actor noti o sconosciuti, i ricercatori Kaspersky consigliano di:

  • Fornire al team SOC l’accesso alla threat intelligence più aggiornata (TI). Kaspersky Threat Intelligence Portal offre un unico punto di accesso per la threat intelligence dell’azienda, che fornisce dati e approfondimenti sui cyberattacchi raccolti da Kaspersky in quasi 25 anni di esperienza. Inoltre, per aiutare le aziende a dotarsi di difese efficaci, Kaspersky ha annunciato l’accesso gratuito a informazioni indipendenti, continuamente aggiornate e di provenienza globale sui cyberattacchi e le minacce in corso.
  • Aggiornare il team di cybersecurity per prepararlo ad affrontare le minacce mirate più recenti con la formazione online di Kaspersky, sviluppata dagli esperti del GReAT team.
  • Utilizzare una soluzione EDR di livello aziendale come Kaspersky EDR Expert. È essenziale rilevare le minacce in uno scenario di avvisi sparsi, grazie all’unione automatica degli avvisi in incidenti, nonché analizzare e rispondere a un incidente nel modo più efficace.
  • Oltre ad adottare una protezione di base per gli endpoint, è importante implementare una soluzione di sicurezza di livello aziendale che rilevi sin dalla loro fase iniziale le minacce avanzate a livello di rete, come Kaspersky Anti Targeted Attack Platform.
  • Tenuto conto che gli attacchi mirati iniziano con tecniche di social engineering, come il phishing, è importante introdurre una formazione per accrescere la consapevolezza in materia di sicurezza informatica e insegnare competenze pratiche ai propri dipendenti, utilizzando strumenti come Kaspersky Automated Security Awareness Platform.