Gli attori delle minacce hanno sviluppato una versione con backdoor del legittimo strumento di scansione della rete Advanced IP Scanner: ribattezzato AdvancedIPSpyware, il tool ha già infettato più di 80 organizzazioni in tutto il mondo.
Indice degli argomenti
Come funziona AdvancedIPSpyware
La scoperta del nuovo malware è stata fatta dal team di ricerca di Kaspersky, che alcuni giorni fa ne ha pubblicato il report. Il tool legittimo Advanced IP Scanner viene solitamente utilizzato dagli amministratori di rete per monitorare la rete di un’organizzazione. Tuttavia, gli attori delle minacce hanno creato una versione dannosa di questo strumento contenente una backdoor nascosta che può essere utilizzata per condurre operazioni criminali ai danni delle organizzazioni che lo utilizzano.
Questo software malevolo è stato ospitato su due siti Web creati utilizzando nomi di dominio decisamente confondibili, con errori di battitura nell’URL rispetto all’originale, identici al dominio legittimo che ospita Advanced IP Scanner. Una tecnica criminale che riconosciamo tipicamente nel phishing, ma che stavolta è stato implementato per diffondere tale malware.
Il file binario con backdoor è stato inoltre firmato con un certificato autentico, che sembra molto probabilmente rubato da un fornitore ufficiale del software che è stato preso di mira, oppure realizzato tramite l’azione complice di un insider. Poiché lo strumento originale utilizza l’anonimizzazione, è difficile individuare le organizzazioni che utilizzano la versione infetta di questo strumento.
Architettura modulare
AdvancedIPSpyware è stato sviluppato con un’architettura modulare, che è un modello di sviluppo tipicamente utilizzato dai criminali stati-nazione (gruppi cyber sovvenzionati da Stati o governi). Tuttavia, la selezione delle organizzazioni prese di mira indica che questa campagna di malware non è motivata politicamente. Il software compromesso si compone di tre moduli:
- Modulo principale: il modulo principale che aggiorna o elimina il malware o crea nuove istanze di se stesso.
- Modulo di esecuzione dei comandi: questo modulo comprende funzionalità relative allo spyware, inclusa la raccolta di informazioni, l’esecuzione dei comandi e altro.
- Modulo di comunicazione di rete: questa parte gestisce le funzionalità relative alla rete, come l’invio di messaggi heartbeat.
“L’e-mail è il metodo di infezione più comune utilizzato sia dai criminali informatici che dai governi”, commenta Jornt van der Wiel, ricercatore di sicurezza nel Global Research & Analysis Team (GReAT) di Kaspersky. “Abbiamo esaminato le tecniche meno comuni utilizzate dai criminali informatici: entrambe sono ben note e finora non sono state esposte. Vale a dire, AdvancedIPSyware è caratterizzato dalla sua architettura insolita, dall’uso di uno strumento legittimo e da una copia quasi identica del sito Web legittimo”.
Difese contro lo spyware in azienda
Il malware che sfrutta backdoor con un certificato firmato valido è un incidente raro ma potenziale e già noto in passato. Inoltre, l’uso dell’architettura modulare in AdvancedIPSpyware indica ulteriormente che gli sviluppatori di malware innovano continuamente tattiche per coprire nuovi ambiti.
Oltre che evitare il download di applicativi software da utilizzare in produzione, da fonti non verificabili e poco note, verificandone bene anche l’indirizzo benché possa essere molto simile all’originale, come per altri attacchi malware, Kaspersky anche in questo caso consiglia alcune buone pratiche per la propria organizzazione, tra le quali si evidenzia particolare attenzione nei confronti della tecnologia di servizi desktop remoto (RDP), da utilizzare solo se strettamente necessari e con password forti.
Ma anche aggiornare costantemente i propri prodotti interni all’organizzazione applicando le patch necessarie tempo per tempo rilasciate.
Così come aumentare la consapevolezza sulle nuove tecniche scoperte mediante la formazione del fattore umano impiegato nell’organizzazione.
