Cyber crime, preso di mira il Medio Oriente con un falso tool di sicurezza

In una recente campagna di minacce informatiche, attori malevoli hanno preso di mira organizzazioni nel Medio Oriente utilizzando un malware sofisticato camuffato da strumento Palo Alto GlobalProtect.

Palo Alto GlobalProtect

Soluzione di sicurezza legittima offerta da Palo Alto Networks che fornisce un accesso VPN sicuro con supporto di autenticazione multifattoriale

Il metodo esatto di distribuzione di questo malware non è ancora chiaro, ma si sospetta che faccia parte di un attacco di phishing che inganna le vittime facendole credere di installare un agente GlobalProtect legittimo.

Questa campagna, scoperta dai ricercatori di Trend Micro, evidenzia la crescente complessità e persistenza delle minacce informatiche nella regione.

Fonte Trend Micro

Dettagli della campagna

Il malware impiega una routine di infezione in cui viene distribuito un loader che prepara il terreno per l’infezione principale (setup.exe).

Fonte Trend Micro

Questo loader scarica ed esegue il payload principale (Main backdoor) insieme al file di configurazione RTime.conf, che è progettato per stabilire un’infrastruttura C2 (94.131.108.78). Questa infrastruttura permette agli attaccanti di mantenere un accesso a lungo termine ai sistemi compromessi, facilitando il furto di dati sensibili e altre attività malevole. Inoltre, il malware utilizza il progetto Interactsh per scopi di beaconing comunicando con nomi host specifici per segnalare l’avanzamento dell’infezione e raccogliere informazioni sulle vittime.

Scritto in C#, il malware vanta una serie di capacità, tra cui la capacità di eseguire comandi PowerShell remoti, scaricare ed eseguire payload aggiuntivi ed esfiltrare file specifici dalla macchina infetta.

Tecniche di evasione

Una delle caratteristiche più preoccupanti di questo malware è la sua capacità di eludere i sistemi di sicurezza. Utilizza tecniche avanzate di offuscamento e crittografia per nascondere le sue attività. Inoltre, il malware è in grado di rilevare ambienti di analisi e sandbox, interrompendo la sua esecuzione per evitare di essere scoperto dai ricercatori di sicurezza.

Raccomandazioni per la Sicurezza

Gli attori di minacce sembrano essere particolarmente interessati a organizzazioni governative e infrastrutture critiche nel Medio Oriente. Questo tipo di attacco può avere gravi implicazioni per la sicurezza nazionale e la stabilità economica della regione. La capacità di mantenere un accesso prolungato ai sistemi compromessi permette agli attaccanti di esfiltrare dati sensibili, compromettere operazioni critiche e potenzialmente lanciare ulteriori attacchi.

Per proteggersi da questo tipo di minacce, Trend Micro raccomanda alle organizzazioni di adottare una strategia di sicurezza multilivello. Questo include l’implementazione di soluzioni di sicurezza avanzate, la formazione del personale sulla consapevolezza delle minacce informatiche e la conduzione di regolari valutazioni di sicurezza. È inoltre fondamentale mantenere aggiornati tutti i sistemi e applicazioni per ridurre il rischio di vulnerabilità sfruttabili.

La scoperta di questa campagna malware sottolinea l’importanza di essere proattivi nella protezione delle infrastrutture digitali. Con l’evoluzione continua delle tecniche di attacco, è essenziale che le organizzazioni adottino misure di sicurezza avanzate e mantengano una consapevolezza costante delle minacce emergenti.

Su Salvatore Lombardo 335 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.