Il cyberspionaggio è un fenomeno grave che continua a dilagare e non si arresta. I ricercatori Kaspersky, inoltre, hanno scoperto una campagna malevola in corso, inizialmente mirata a un ente governativo del Medio Oriente. Ulteriori indagini, hanno portato alla luce più di 30 campioni di dropper malware utilizzati attivamente in questa attività, che si presume possa espandersi in APAC, Europa e Nord America. Denominate DuneQuixote, le stringhe di malware includono frammenti di poesie spagnole per migliorare la loro persistenza ed eludere il rilevamento a scopo di spionaggio informatico.
La scoperta di Kaspersky su DuneQuixote
Gli esperti di Kaspersky, grazie al loro continuo monitoraggio di minacce informatiche, hanno scoperto questa campagna di cyber spionaggio, sconosciuta fino a Febbraio 2024 rivolta, come anticipato, agli enti governativi del Medio Oriente. Gli autori di DuneQuixote dell’attacco hanno spiato l’obiettivo e raccolto dati sensibili grazie all’utilizzo di strumenti sofisticati, progettati per essere nascosti e persistenti.
I dropper iniziali del malware si fingono file di installazione compromessi di uno strumento legittimo, Total Commander. All’interno di questi dropper, sono contenute alcune righe di poesie spagnole, con stringhe diverse da un campione all’altro. Questa variazione mira ad alterare la tracciabilità di ciascun campione, rendendo più difficile il rilevamento con le metodologie tradizionali.
All’interno del dropper di DuneQuixote è presente un codice dannoso progettato per scaricare payload aggiuntivi sotto forma di una backdoor denominata CR4T. Queste backdoor, sviluppate in C/C++ e GoLang, garantiscono ai criminali informatici l’accesso al computer della vittima. In particolare, la variante GoLang utilizza l’API Telegram per le comunicazioni C2, implementando i public binding dell’API Telegram di Golang.
“Le varianti di DuneQuixote dimostrano la capacità di adattamento e l’intraprendenza di questi cyber criminali. Attualmente abbiamo scoperto due impianti di questo tipo, ma sospettiamo dell’esistenza di altri“, ha commentato Sergey Lozhkin, Principal Security Researcher, Kaspersky’s GReAT (Global Research and Analysis Team).
La telemetria di Kaspersky ha identificato una vittima in Medio Oriente già a febbraio 2024. Inoltre, alla fine del 2023 si sono verificati diversi upload dello stesso malware su un servizio di scansione malware semi-pubblico, con oltre 30 invii. Altre fonti sospettate di costituire nodi di uscita della VPN sono stati localizzati in Corea del Sud, Lussemburgo, Giappone, Canada, Paesi Bassi e Stati Uniti.
I consigli di Kaspersky
Per non essere vittima di un attacco mirato come DuneQuixote, i ricercatori Kaspersky consigliano di implementare le seguenti misure:
- Fornire al team SOC l’accesso alle informazioni più recenti sulle minacce (TI). Kaspersky Threat Intelligence Portal è un unico punto di accesso per le informazioni sulle minacce aziendali, che fornisce dati e approfondimenti sui cyberattacchi raccolti da Kaspersky in oltre 20 anni.
- Formare il team di cybersecurity per affrontare le ultime minacce mirate con sessioni di training online di Kaspersky sviluppate dagli esperti di GReAT.
- Implementare soluzioni EDR come Kaspersky Endpoint Detection and Response per il rilevamento a livello endpoint, l’indagine e la risoluzione tempestiva degli incidenti.
- Oltre ad adottare una protezione essenziale degli endpoint, implementare una soluzione di sicurezza aziendale che rilevi precocemente le minacce avanzate a livello di rete, come Kaspersky Anti Targeted Attack Platform.
- Poiché molti attacchi mirati iniziano con il phishing o altre tecniche di social engineering, è necessario introdurre una sessione di formazione sulla consapevolezza della sicurezza e insegnare le competenze pratiche al team, ad esempio attraverso Kaspersky Automated Security Awareness Platform.