La tecnologia Automatic Exploit Prevention di Kaspersky Lab, integrata nella maggior parte delle soluzioni per la protezione degli endpoint dell’azienda, ha rilevato una serie di attacchi informatici mirati. Gli attacchi erano legati ad un nuovo malware che ha sfruttato una vulnerabilità zero-day, prima sconosciuta, nel sistema operativo Microsoft Windows. L’intento dei cybercriminali era quello di ottenere un accesso continuativo ai sistemi delle vittime localizzati in Medio Oriente. La vulnerabilità è stata risolta da Microsoft il 9 ottobre.

Un attacco che sfrutta una vulnerabilità zero-day è una delle più pericolose forme di cyberminaccia, proprio perché sfrutta vulnerabilità che devono ancora essere scoperte e risolte. Se scoperta dagli autori delle minacce, è possibile che una vulnerabilità zero-day venga utilizzata per la creazione di un exploit che garantirà l’accesso all’intero sistema. Questo scenario è messo in atto spesso da autori esperti negli attacchi APT ed è stato rilevato anche nel caso che segue.

L’exploit relativo a Microsoft Windows è stato distribuito alle vittime attraverso una backdoor PowerShell. È stato quindi eseguito per ottenere i privilegi necessari per essere sempre presenti sui sistemi delle vittime. Il codice del malware era di alta qualità ed è stato scritto per consentire uno sfruttamento sicuro per il maggior numero possibile di versioni di Windows.

Gli attacchi informatici hanno colpito meno di una dozzina di diverse organizzazioni in Medio Oriente nell’ultima parte dell’estate. Si sospetta che l’autore dietro l’attacco possa essere collegato al gruppo FruityArmor, in quanto una backdoor PowerShell è stata utilizzata esclusivamente da questo autore di minacce in passato. Dopo la scoperta, gli esperti di Kaspersky Lab hanno immediatamente segnalato la vulnerabilità a Microsoft.

I prodotti Kaspersky Lab hanno rilevato questo exploit in modo proattivo con le seguenti tecnologie:

  • Attraverso il motore di rilevamento comportamentale di Kaspersky Lab e attraverso i componenti di Automatic Exploit Prevention all’interno delle soluzioni di sicurezza dell’azienda.
  • Attraverso Advanced Sandboxing e il motore Antimalware all’interno della piattaforma Kaspersky Anti Targeted Attack.

Quando si tratta di vulnerabilità zero-day, è fondamentale monitorare in modo attivo lo scenario delle minacce alla ricerca di nuovi exploit. In Kaspersky Lab la nostra costante ricerca sull’intelligence delle minacce mira non solo a scoprire nuovi attacchi e a indagare gli obiettivi dei diversi autori delle cyberminacce; siamo anche impegnati a comprendere a fondo quali tecnologie malevole utilizzano questi criminali. Come emerge dalla nostra ricerca, abbiamo un livello fondamentale composto dalle nostre tecnologie di rilevamento che ci consentono di prevenire attacchi, come quello che intendeva sfruttare proprio questa vulnerabilità”, ha affermato Anton Ivanov, Security Expert di Kaspersky Lab.

Per evitare gli exploit zero-day, Kaspersky Lab consiglia di implementare le seguenti misure tecniche:

  • Evitare l’uso di software noti per essere vulnerabili o utilizzati di recente in attacchi informatici.
  • Assicurarsi che il software utilizzato nella propria azienda sia regolarmente aggiornato alle versioni più recenti. Le soluzioni di sicurezza con Vulnerability Assessment e funzionalità di gestione delle patch possono aiutare ad automatizzare questi processi.
  • Utilizzare una solida soluzione di sicurezza come Kaspersky Endpoint Security for Business dotata di funzionalità di rilevamento “Behaviour Based” per una protezione efficace contro minacce note e sconosciute, inclusi gli exploit.

Per maggiori dettagli è disponibile un blog post dedicato su Securelist.com.
Il report completo è disponibile, per gli abbonati al servizio APT Intelligence Reporting, sul sito di Kaspersky Lab.