I gruppi di Advanced persistent threat (APT) stanno imparando a differenziarsi l’uno dall’altro a seconda delle tecniche di attacco utilizzate e ora, proprio in base alle TTP (Tactics, Techniques and Procedures) scelte, è possibile cominciare a fare una scrematura tra coloro che scelgono un approccio High (avanzato dal punto di vista degli attacchi) o Low (che utilizza metodi di criminal hacker già comprovati).
È questa una delle conclusioni che si possono trarre da quanto emerso dal recente rapporto di Kaspersky in merito agli APT per il terzo trimestre del 2020.
Indice degli argomenti
Le differenze nelle tecniche di attacco degli APT
Alcuni gruppi stanno innovando e si stanno spingendo oltre i confini tecnici già conosciuti, mentre altri adottano un approccio più low-tech, affinando la loro messaggistica phishing attorno a esche sempre popolari come la COVID-19, le elezioni e a altri titoli.
Una sorta di evoluzione organica dell’underground del cyber crime che vede opposti i criminal hacker più “conservatori” – che rimangono “coerenti” nel tempo e cercano semplicemente di usare argomenti scottanti come la COVID-19 per invogliare le vittime a scaricare allegati dannosi – e altri gruppi che, al contrario, reinventano sé stessi e i loro set di strumenti di hacking con regolare frequenza.
Nel secondo caso si tratta spesso dell’ampiamento del proprio “portfolio” di target aggredibili (nuove piattaforme o sistemi operativi, prima considerati immuni), la continua evoluzione delle infection chain e l’utilizzo di strumenti legittimi come parte integrante dei loro attacchi.
Kaspersky porta come esempio più evidente di questo confronto High vs low il caso di due gruppi di criminal hacker in particolare: DeathStalker e MosaicRegressor.
Tecniche di attacco degli APT vecchio stampo
DeathStalker, sta avendo successo utilizzando le stesse tattiche – a partire dal 2018 – per colpire principalmente studi legali e società del settore finanziario.
L’interesse del gruppo a raccogliere informazioni commerciali sensibili fa credere che DeathStalker sia un gruppo di Cyber mercenari che offrono servizi di hacking su commissione o che agiscono come broker di informazioni negli ambienti finanziari.
DeathStalker è famoso per il suo impianto di spyware basato su PowerShell chiamato Powersing. Questo scatta periodicamente degli screenshot della macchina della vittima e li invia al server C&C (oltre a eseguire anche altri script PowerShell che vengono scaricati dal server C&C).
Questo approccio si concentra maggiormente sulla diffusione del payload tramite e-mail di phishing costruite ad hoc intorno ai titoli dei giornali o altre notizie “calde”.
Insomma, DeathStalker sembra essere ancora “contento” con i vecchi e comprovati metodi di criminal hacking.
Nonostante ciò, ci sono alcune novità introdotte dal gruppo negli ultimi mesi. Per esempio, adesso il malware si connette direttamente a un server di comando e controllo (C2) utilizzando un indirizzo IP o un nome di dominio incorporato, a differenza delle precedenti varianti in cui utilizzava almeno due dead-drop resolver (DDR) o servizi web, come forum e piattaforme di condivisione di codici, per ottenere l’indirizzo IP o il dominio C2 reale.
È anche interessante notare che nelle ultimissime campagne gli aggressori non si sono limitati a inviare solo e-mail di spear-phishing, ma hanno coinvolto attivamente le vittime attraverso molteplici e-mail, convincendole ad aprire l’esca, per aumentare le possibilità di successo del loro attacco.
Nonostante questo, DeathStalker rappresenta comunque l’esempio perfetto di un APT che si affida a un insieme di TTP relativamente basilari e a bassa tecnologia.
MosaicRegressor: la nuova generazione degli APT
Tutt’altro discorso, invece, quando prendiamo in esame l’impianto UEFI di MosaicRegressor che occupa l’estremità più tecnologicamente avanzata dello spettro APT.
All’inizio di ottobre i ricercatori di Kaspersky hanno segnalato la scoperta di “immagini di firmware UEFI canaglia”, modificate per fornire malware.
Questa scoperta faceva parte di un framework più ampio, poi soprannominato MosaicRegressor.
I componenti di MosaicRegressor facevano parte di attacchi lanciati contro diplomatici e organizzazioni non governative africane, asiatiche ed europee e risalgono alla Corea del Nord.
La UEFI o Unified Extensible Firmware Interface è un’interfaccia informatica tra il firmware e il sistema operativo di un PC che si occupa di molte funzioni di “basso livello”, compreso il caricamento del sistema operativo stesso.
Può essere utilizzata anche quando il sistema operativo è già avviato, per esempio per aggiornare il firmware.
Il bootkit del firmware UEFI che fa parte di MosaicRegressor carica il sistema operativo stesso, il che significa che il criminal hacker può modificare il sistema stesso per caricare malware che verrà eseguito solo dopo il caricamento del sistema operativo.
Bypassando così molte misure di sicurezza e assicurandosi che questo sia resistente alla reinstallazione del sistema operativo o anche alla sostituzione del disco rigido.
Conclusioni
Questo tipo di exploit è un chiaro segnale che il criminal hacking si sta espandendo anche in nuovi ambienti, possibilmente legittimi, che in passato sono stati meno esaminati o comunque controllati.
Dai malware scritti in linguaggi di programmazione meno conosciuti a quelli che operano attraverso servizi cloud legittimi.
Il tracciamento delle attività degli APT attraverso la Cyber Threat Intelligence può fornire la chiave necessaria per adattare le nostre difese ai TTP che stanno sviluppando e quindi permetterci di prepararci a reagire in tempo ai nuovi attacchi.
