Gli esperti di Kaspersky Lab stanno registrando importanti cambiamenti nelle attività della famigerata Gaza Team Cybergang, che prende attivamente di mira numerose organizzazioni commerciali e governative nei Paesi MENA (Middle East and North Africa). Il gruppo, attivo nel panorama delle minacce da diversi anni, ha migliorato il proprio arsenale nel 2017 con nuovi tool nocivi.
Dal 2012, la Gaza Team Cybergang lancia continui attacchi ad ambasciate, diplomatici e politici, oltre a organizzazioni del settore Oil & Gas e media nella regione MENA, con nuovi campioni di malware rilevati regolarmente. Nel 2015, i ricercatori di Kaspersky Lab hanno rilasciato un report sull’attività del gruppo criminale dopo aver scoperto un significativo cambiamento nelle sue operazioni nocive. In quella occasione, i criminali avevano preso di mira i responsabili IT e della risposta agli incidenti nel tentativo di ottenere l’accesso a tool di valutazione di sicurezza legittimi per ridurre notevolmente la visibilità della loro attività nei network colpiti. Nel 2017, i ricercatori di Kaspersky Lab hanno scoperto una nuova ondata di attacchi della Gaza Cybergang.
In questi nuovi attacchi, il profilo e la geografia degli obiettivi rimane invariato ma la scala delle attività del Gaza Team è aumentata. Il gruppo criminale è stato scoperto mentre cercava qualsiasi tipo di intelligence nella regione MENA, modus operandi insolito rispetto ai casi precedenti. Inoltre, cosa ancora più importante, i tool di attacco sono diventati più sofisticati: il gruppo ha sviluppato documenti di spearphishing attuali e di carattere geopolitico usati per diffondere il malware e ha usato exploit per una vulnerabilità relativamente recente di Microsoft Access, CVE 2017-0199, e non si esclude persino uno spyware per Android.
I cyber criminali conducono le proprie attività nocive inviando email con falsi documenti Office contenenti diversi RAT (Remote Access Trojan) o URL che conducono a pagine nocive. Una volta eseguiti, la vittima viene infettata dal malware che consente agli hacker di raccogliere file e screenshot e spiare i tasti digitati sui dispositivi della vittima. Nel caso in cui venga rilevato il download iniziale del malware, il downloader prova a installare altri file nel tentativo di evitare il rilevamento.
L’indagine di Kaspersky Lab suggerisce la possibilità che il gruppo utilizzi anche un malware mobile: alcuni nomi di file scoperti durante l’analisi dell’attività del Gaza Team sembrano essere infatti legati a un Trojan per Android. Questo sviluppo delle tecniche di attacco ha permesso al Gaza Team di bypassare le soluzioni di sicurezza e manipolare il sistema delle vittime per periodi di tempo prolungati.
“La continua attività del Gaza Team, che abbiamo studiato per molti anni, dimostra che la situazione nella regione MENA è lontana dall’essere sicura per quanto riguarda il cyber spionaggio. In seguito a significativi miglioramenti delle tecniche del gruppo, ci aspettiamo che in futuro la quantità e la qualità degli attacchi della Gaza Cybergang si intensificheranno. Organizzazioni e singoli utenti che rientrano tra gli obiettivi del gruppo dovrebbero fare maggiore attenzione online”, ha commentato David Emm, Security Expert di Kaspersky Lab.
Le soluzioni Kaspersky Lab rilevano e bloccano con successo gli attacchi condotti usando queste tecniche.
Per evitare di essere colpiti da questi attacchi, i ricercatori di Kaspersky Lab consigliano di implementare le seguenti misure di protezione:
• Formare i dipendenti affinché siano in grado di distinguere le email di spearphishing e i link di phishing da email e link legittimi;
• Dotarsi di una soluzione di sicurezza endpoint aziendale affidabile insieme a una protezione specializzata dalle minacce avanzate, come la piattaforma Kaspersky Anti Targeted Attack, che è in grado di scoprire gli attacchi analizzando le anomalie nel network;
• Garantire allo staff di sicurezza l’accesso agli ultimi dati di threat intelligence, che offrono utili tool per la ricerca e la prevenzione degli attacchi mirati, come gli Indicatori di Compromissione (IOC) e le YARA rule.
Per maggiori informazioni sulla campagna della Gaza Cybergang è possibile leggere il blogpost su Securelist.com
.jpg)
