I ricercatori di Kaspersky fanno sapere di avere rilevato un’ondata di attacchi mirati a imprese del settore militare-industriale e a istituzioni pubbliche in diversi Paesi dell’Europa orientale e in Afghanistan.
I criminali informatici sono riusciti a prendere il controllo dell’intera infrastruttura IT delle vittime, a scopo di spionaggio industriale.
A gennaio 2022, i ricercatori riferiscono di avere assistito a diversi attacchi avanzati rivolti a imprese militari e organizzazioni pubbliche, il cui obiettivo principale era accedere alle informazioni private delle aziende e ottenere il controllo dei sistemi IT. Il malware utilizzato dagli attaccanti è simile a quello distribuito da TA428 APT, un gruppo APT di lingua cinese.
Gli attaccanti si infiltrano nelle reti aziendali inviando e-mail di phishing accuratamente elaborate, alcune delle quali contengono informazioni specifiche sull’organizzazione che non sono state rese pubbliche al momento dell’invio delle e-mail. Ciò indica come gli attaccanti preparino gli attacchi con cura selezionando i loro obiettivi in anticipo. Le e-mail di phishing includono un documento Microsoft Word con codice dannoso per sfruttare una vulnerabilità che consente agli attaccanti di eseguire un codice arbitrario senza alcuna attività aggiuntiva. La vulnerabilità è presente nelle versioni obsolete di Microsoft Equation Editor, un componente di Microsoft Office.
Gli attacker hanno utilizzato contemporaneamente sei diverse backdoor, per creare ulteriori canali di comunicazione con i sistemi infetti in caso di rilevamento e rimozione di uno dei programmi dannosi da parte di una soluzione di sicurezza. Queste backdoor forniscono ampie funzionalità per controllare i sistemi infetti e raccogliere dati riservati.
La fase finale dell’attacco prevede il trasferimento del controller di dominio e il controllo completo di tutte le workstation e i server dell’organizzazione. Inoltre, in uno dei casi, gli autori dell’attacco sono riusciti a prendere il sopravvento sul centro di controllo delle soluzioni di Cybersecurity. Dopo aver ottenuto i privilegi di amministratore di dominio e l’accesso all’Active Directory, gli attaccanti hanno eseguito la procedura di attacco “golden ticket” per impersonare gli account utente arbitrari dell’organizzazione e cercare documenti e altri file contenenti dati sensibili ed esfiltrarli nei server degli attaccanti ospitati in diversi Paesi.
Per tutte le notizie sulla sicurezza informatica vi rimandiamo a questa sezione del nostro sito.
