Nel secondo trimestre del 2022, i ricercatori di Kaspersky hanno scoperto una nuova campagna molto attiva iniziata a marzo e che ha preso di mira gli investitori in azioni e criptovalute. Si tratta di un fatto insolito, considerando che la maggior parte dei gruppi APT non ha come obiettivo il guadagno economico.
I cybercriminali, infatti, hanno utilizzato contenuti legati alle criptovalute e denunce delle forze dell'ordine come temi per attirare gli utenti presi di mira. Le catene di infezione prevedono l'iniezione di modelli remoti e la creazione di una macro dannosa che avvia una procedura di infezione in più fasi utilizzando Dropbox. In seguito, dopo aver segnalato le informazioni sull'host dell’obiettivo, il malware tenta di recuperare il payload della fase finale.
Fortunatamente, gli esperti di Kaspersky hanno avuto la possibilità di acquisire il payload della fase finale, composto da diversi moduli utilizzati per l'esfiltrazione di informazioni sensibili dagli obiettivi dell’attacco. Dall’analisi del payload, i ricercatori di Kaspersky hanno trovato altri sample utilizzati l’anno precedente durante un'altra campagna contro organizzazioni in Messico e Regno Unito.
Gli esperti di Kaspersky non hanno rilevato collegamenti precisi con threat actor noti, ma ritengono che ci sia una familiarità con la lingua coreana e che sia stata impiegata una tattica simile a quella utilizzata dal gruppo Konni per rubare le credenziali di accesso di un noto portale coreano. Il gruppo Konni è un threat actor attivo dalla metà del 2021, che prende di mira soprattutto le autorità diplomatiche russe.
“Recentemente in diverse occasioni, abbiamo visto i gruppi APT rivolgere la loro attenzione al settore delle criptovalute. Utilizzando varie tecniche, i threat actor non cercano solo informazioni, ma anche denaro. Si tratta di una tendenza insolita ma in aumento. Per questo motivo è necessario che le organizzazioni siano costantemente aggiornate sul recente panorama delle minacce informatiche. La Threat Intelligence è una componente essenziale che consente di anticipare in modo affidabile e tempestivo tali attacchi”, ha commentato David Emm, principal security researcher del GReAT team di Kaspersky.
Per evitare di essere presi di mira da un attacco APT da parte di threat actor noti o sconosciuti, i ricercatori Kaspersky consigliano di:
Fornire al team SOC l’accesso alla threat intelligence più aggiornata (TI). Kaspersky Threat Intelligence Portal offre un unico punto di accesso per la threat intelligence dell’azienda, che fornisce dati e approfondimenti sui cyberattacchi raccolti da Kaspersky in quasi 25 anni di esperienza. Inoltre, per aiutare le aziende a dotarsi di difese efficaci, Kaspersky ha annunciato l'accesso gratuito a informazioni indipendenti, continuamente aggiornate e di provenienza globale sui cyberattacchi e le minacce in corso.