Il sistema avanzato di prevenzione degli exploit di Kaspersky Lab ha individuato un nuovo exploit zero day di Adobe Flash, utilizzato il 10 ottobre per un attacco da un gruppo criminale noto come BlackOasis. L'exploit viene diffuso tramite un documento di Microsoft Word e implementa FinSpy, il malware con obiettivi commerciali. Kaspersky Lab ha prontamente segnalato la vulnerabilità ad Adobe, che ha rilasciato una segnalazione.
Secondo i ricercatori di Kaspersky Lab, lo zero day CVE-2017-11292 è stato rilevato durante l’attacco. È importante che imprese e organizzazioni governative installino prima possibile l'aggiornamento di Adobe.
I ricercatori ritengono che il gruppo che si nasconde dietro questo attacco sia lo stesso responsabile dello zero day CVE-2017-8759 rilevato a settembre e sono certi che si tratti del gruppo BlackOasis, che il Global Research and Analysis Team monitora dal 2016.
L'analisi rivela che, subito dopo aver sfruttato con successo la vulnerabilità, il malware FinSpy (noto anche come FinFisher) viene installato nel computer di destinazione. FinSpy è un malware con obiettivi commerciali, tipicamente venduto a stati-nazioni e forze dell’ordine per la sorveglianza. In passato, il malware veniva utilizzato dalle forze dell’ordine a livello nazionale per la sorveglianza di obiettivi locali. BlackOasis è un'eccezione significativa perché è stato utilizzato contro una vasta gamma di obiettivi in tutto il mondo. Questo potrebbe indicare che FinSpy stia effettuando operazioni di intelligence di un Paese contro un altro. Le aziende che sviluppano software di sorveglianza come FinSpy rendono questa corsa agli armamenti possibile.
Il malware utilizzato nell'attacco è la versione più recente di FinSpy, dotata tecniche di anti-analisi utilizzate per rendere più difficile il lavoro di analisi forense.
Dopo l'installazione, il malware stabilisce un punto d'appoggio sul computer attaccato e si connette ai server di comando e controllo ubicati in Svizzera, Bulgaria e Paesi Bassi per aspettare ulteriori istruzioni e esfiltrare i dati.
Basandosi sulla valutazione di Kaspersky Lab, gli interessi di BlackOasis riguardano un'ampia gamma di personaggi coinvolti che appartengono allo scenario politico del Medio Oriente, tra cui personaggi importanti delle Nazioni Unite, blogger e attivisti dell'opposizione, nonché giornalisti corrispondenti. Sembrano inoltre interessati a settori verticali di particolare rilevanza per la regione. Nel corso del 2016, i ricercatori dell'azienda hanno osservato un forte interesse per l'Angola, dimostrato da documenti “esca” che indicavano obiettivi con presunti legami con settori quali petrolio, riciclaggio di denaro e ad altre attività. È stato osservato anche un interesse nei confronti di attivisti internazionali e gruppi di esperti.
Le vittime di BlackOasis sono state identificate in Paesi quali: Russia, Iraq, Afghanistan, Nigeria, Libia, Giordania, Tunisia, Arabia Saudita, Iran, Paesi Bassi, Bahrein, Regno Unito e Angola.
"L'attacco scoperto di recente che utilizza l’exploit zero-day è il terzo in cui viene distribuito un FinSpy attraverso un exploit di vulnerabilità zero-day. In precedenza, i gruppi criminali che hanno diffuso questo malware hanno sfruttato criticità all’interno dei prodotti Microsoft Word e Adobe. Crediamo che il numero di attacchi come quello descritto, che si basano sul software FinSpy, e che sono supportati da exploit zero-day, continuerà a crescere", ha dichiarato Anton Ivanov, the Lead Malware Analyst Kaspersky Lab.
Le soluzioni di sicurezza di Kaspersky Lab rilevano e bloccano gli exploit che utilizzano la vulnerabilità appena scoperta.
Gli esperti di Kaspersky Lab consigliano alle organizzazioni di intraprendere le seguenti azioni per proteggere i propri sistemi e i propri dati da questo tipo di minacce:
● Qualora non sia stato ancora implementato utilizzare la funzionalità killbit per il software Flash e, se possibile, disabilitarlo completamente.
● Implementare una soluzione di sicurezza avanzata e multistrato che copra tutte le reti, i sistemi e gli endpoint.
● Educare e formare il personale sulle tattiche di ingegneria sociale poiché questo metodo viene spesso utilizzato per convincere le vittime ad aprire un documento dannoso o fare clic su un collegamento infetto.
● Effettuare valutazioni di sicurezza regolari dell'infrastruttura IT dell'organizzazione.
● Utilizzare la Threat Intelligence di Kaspersky Lab che rileva attacchi informatici, incidenti o minacce e fornisce ai clienti informazioni rilevanti in tempo reale di cui non sono a conoscenza. E’ possibile richiedere maggiori informazioni a intelreports@kaspersky.com.
Per avere maggiori dettagli tecnici, inclusi indicatori di compromissione e regole YARA, è possibile leggere il blog post su Securelist.com.
Informazioni su Kaspersky Lab
Kaspersky Lab è un’azienda di sicurezza informatica a livello globale che nel 2017 celebra i suoi primi 20 anni di attività. La profonda intelligence sulle minacce e l’expertise di Kaspersky Lab si trasformano costantemente in soluzioni di sicurezza e servizi per la protezione di aziende, infrastrutture critiche, enti governativi e utenti privati di tutto il mondo. Il portfolio completo di sicurezza dell’azienda include la miglior protezione degli endpoint e numerosi servizi e soluzioni di sicurezza specializzati per combattere le sofisticate minacce digitali in continua evoluzione. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky Lab e aiutiamo 270.000 clienti aziendali a proteggere ciò che è per loro più importante. Per ulteriori informazioni: www.kaspersky.com/it
Sala Stampa di Kaspersky Lab: http://newsroom.kaspersky.eu/it/
Seguici su:
https://twitter.com/KasperskyLabIT
http://www.facebook.com/kasperskylabitalia
https://plus.google.com/+KasperskyItKL
https://www.linkedin.com/kasperskylabitalia
