Attacchi informatici in Ucraina: obiettivi e strategie
Le organizzazioni in Ucraina sono state recentemente bersaglio di attacchi informatici da parte di attori di origine russa, con l’intento di sottrarre dati sensibili e mantenere un accesso persistente alle reti compromesse. Un nuovo rapporto di Symantec e Carbon Black Threat Hunter Team ha rivelato che una grande organizzazione di servizi aziendali è stata presa di mira per due mesi, mentre un ente governativo locale è stato attaccato per una settimana.
Tattiche di attacco: living-off-the-land e strumenti a doppio uso
Gli attacchi hanno sfruttato principalmente le tattiche di living-off-the-land (LotL) e strumenti a doppio uso, utilizzando un malware minimo per ridurre le impronte digitali e rimanere inosservati per lunghi periodi. Gli aggressori hanno ottenuto l’accesso all’organizzazione di servizi aziendali distribuendo shell web sui server pubblici, probabilmente sfruttando vulnerabilità non corrette.
Strumenti utilizzati: LocalOlive e altri
Uno dei shell web utilizzati nell’attacco era LocalOlive, precedentemente segnalato da Microsoft come utilizzato da un sottogruppo della squadra Sandworm legata alla Russia. LocalOlive è progettato per facilitare la consegna di carichi utili come Chisel, Plink e rsockstun, ed è stato utilizzato almeno dalla fine del 2021.
Attività dannose e tecniche di evasione
I primi segni di attività dannosa risalgono al 27 giugno 2024, con gli aggressori che hanno sfruttato il punto di appoggio per lanciare un shell web e condurre una ricognizione. È stato scoperto che gli attori della minaccia eseguivano comandi PowerShell per escludere i download della macchina dalle scansioni di Microsoft Defender Antivirus e impostavano un’attività pianificata per eseguire un dump di memoria ogni 30 minuti.
Azioni successive degli aggressori
Nelle settimane successive, gli aggressori hanno compiuto una serie di azioni, tra cui salvare una copia dell’alveare di registro in un file chiamato 1.log. Queste azioni dimostrano la sofisticazione e la determinazione degli attori della minaccia nel mantenere l’accesso alle reti compromesse e sottrarre dati sensibili.
Considerazioni finali
Gli attacchi informatici in Ucraina evidenziano la crescente sofisticazione delle minacce cibernetiche e l’importanza di una difesa robusta e proattiva. Le tattiche di living-off-the-land e l’uso di strumenti a doppio uso rappresentano una sfida significativa per le organizzazioni, che devono adottare misure di sicurezza avanzate per proteggere le loro reti. La collaborazione tra aziende di sicurezza informatica e la condivisione di informazioni sono essenziali per contrastare efficacemente queste minacce e proteggere i dati sensibili.
Fonte: The Hackers News
Ricevi le ultime attualità sul mondo tech!