I trend delle minacce APT del 2024

Nov 27, 2023 Approfondimenti, Attacchi, Minacce, RSS

Le minacce APT sono tra le più pericolose nel panorama attuale del cybercrimine perché  usano tecniche altamente specializzate e sono difficili da individuare. Dietro questi attacchi mirati ci sono gruppi con competenze elevate in grado di creare tool ad hoc per colpire le organizzazioni e mantenere l’accesso ai sistemi il più a lungo possibile.

Con l’obiettivo di aiutare le aziende a prepararsi contro questo tipo di minacce, il Global Research and Analysis Team di Kaspersky ha condiviso una serie di previsioni sull’evoluzione delle minacce APT nel 2024.

Nuove minacce contro i dispositivi mobile, wearable e smart

I ricercatori di Kaspersky prevedono un aumento di minacce contro i dispositivi consumer e di smart home: secondo il team la campagna Operation Triangulation che lo scorso maggio ha colpito i dispositivi iOS è stato solo il primo esempio di attacchi avanzati a danno dei device utente.

Gli attaccanti potrebbero voler compromettere non solo altri sistemi operativi, ma anche dispositivi usati nelle smart home, come telecamere o sistemi di gestione delle auto connesse.

Una caratteristica importante di questo trend emergente è che i cybercriminali cercheranno di sfruttare nuovi metodi per distribuire malware passando inosservati. I ricercatori parlano sia tecniche zero-click, ovvero dove non viene richiesta l’interazione utente, sia di metodi che prevedono l’apertura di un link inviato tramite SMS o su app di messaggistica come iMessage.

In questo scenario è essenziale proteggere i dispositivi personale e aziendali con piattaforme di XDR, SIEM e MDM che accelerano l’analisi degli alert di sicurezza e correlano gli avvisi provenienti da diverse fonti, velocizzando la risposta agli incidenti.

APT e botnet

Secondo i ricercatori di Kaspersky, è possibile che i gruppi APT rivolgano la loro attenzione alle botnet. Sfruttare una rete di dispositivi compromessi consente di oscurare il vero target degli attacchi, rendendo più difficile per i team di sicurezza individuare il colpevole, e di nascondere l’infrastruttura degli attaccanti.

I bot della rete possono essere usati come server proxy, hub intermediari per la comunicazione C2 e, in caso di configurazioni di rete errate, anche come punti di accesso all’organizzazione. Visto l’elevato numero di nuove vulnerabilità individuate quest’anno, è probabile che gli attaccanti cercheranno di sfruttarle per imbastire una rete di dispositivi compromessi utili a mantenere l’accesso a diversi sistemi.

L’uso dei rootkit non si arresterà

Nonostante l’introduzione di misure di sicurezza come Kernel Mode Code Signing, PatchGuard o Hypervisor-Protected Code Integrity, nel 2023 gli attaccanti, in particolare i gruppi APT, hanno continuato a utilizzare i rootkit superando i meccanismi di protezione del kernel.

I cybercriminali continueranno a seguire questa strada e il team di Kaspersky prevede la diffusione di tre aspetti chiave che permetteranno agli attaccanti di potenziare queste tecniche: in primo luogo, aumenterà la compravendita di certificati EV e di quelli per la firma del codice; aumenterà inoltre l’utilizzo di account sviluppatore per la firma del codice malevolo attraverso servizi come WHCP (Windows Hardware Compatibility Program); infine, aumenteranno i casi di Bring Your Own Vulnerable Device, una tecnica che consiste nell’installare driver di terze parti con vulnerabilità note.

Gli attacchi di gruppi APT state-sponsored aumenteranno

Le tensioni geopolitiche dell’anno in conclusione non si arresteranno e diventeranno anzi sempre più pesanti. Nel 2023 sono emersi molti gruppi APT che facevano gli interessi di uno specifico governo e il 2024 non sarà diverso in tal senso.

Secondo il team di Kaspersky, questa tendenza non farà che aumentare e coinvolgerà target non solo del settore governativo o della difesa, ma anche dei media e delle telecomunicazioni, con l’obiettivo di diffondere disinformazione e fare propaganda.

I gruppi APT potrebbero colpire i dispositivi dei singoli individui per ottenere accesso alla rete dell’organizzazione, sfruttare i droni per localizzare obiettivi specifici e usare malware ad hoc per intercettare le comunicazioni.

Attacchi alla supply chain

I gruppi APT tenderanno a raggiungere i propri obiettivi sfruttando la rete di fornitori delle organizzazioni, di fatto rendendo la supply chain un gateway perfetto per accedere alle infrastrutture target.

Nel 2023 gli attacchi alla catena di approvvigionamento sono diventati molto popolari tra gli attaccanti, e così il 2024 potrebbe inaugurare una nuova fase di attività volte a colpire intere reti di fornitori e clienti.

I cybercriminali potrebbero approfittare della diffusione dei tool open-source per colpire gli sviluppatori, e al contempo sul dark web emergeranno nuovi pacchetti per compromettere i prodotti dei vendor più famosi. Per i gruppi APT ci sarà un’ampia scelta di strumenti per colpire potenziali vittime e ciò porterà l’efficienza degli attacchi alla supply chain a un livello del tutto nuovo e molto pericoloso.

Lo spear phishing tramite l’IA

I tool strumenti di intelligenza artificiale generativa sono ormai facilmente accessibili e il cybercrimine ha cominciato già da un po’ a sviluppare i propri chatbot per velocizzare la creazione di malware.

L’emergere di questi strumenti faciliterà la produzione di massa di messaggi di spear-phishing, i quali spesso costituiscono la fase iniziale degli attacchi APT. Non solo i gruppi cybercriminali riescono a creare rapidamente messaggi persuasivi e ben scritti, ma sono anche in grado di generare documenti che imitano lo stile di persone specifiche, come un partner commerciale o un collega della vittima.

I ricercatori di Kaspersky prevedono che gli aggressori svilupperanno nuovi metodi per automatizzare lo spionaggio dei loro obiettivi e perfezioneranno i tool che hanno a disposizione. I nuovi strumenti consentiranno di raccogliere automaticamente informazioni sulla vita online del target, come i post o i commenti sui social, e in generale qualsiasi contenuto associato all’identità della vittima.

I gruppi “hack for hire”

I gruppi di hacker a pagamento (hack-for-hire) si sono specializzati nell’ottenere l’accesso ai sistemi e sottrarre dati di dati. Negli ultimi tempi sono emersi gruppi che, invece di agire come un APT tradizionale, offrono servizi di hacking e agiscono di fatto come un broker di informazioni.

I servizi di questi cybercriminali non si limitano allo spionaggio informatico, ma comprendono anche quello commerciale: possono raccogliere dati sui competitor, come operazioni di acquisizione, piani di espansione, dati finanziari e informazioni sui clienti.

Poiché l’approccio sta prendendo sempre più piede, il team di Kaspersky prevede che alcuni gruppi APT espanderanno le loro operazioni in questa direzione per aumentare le proprie entrate e sostenere le altre attività.

I gruppi APT sfrutteranno le vulnerabilità delle soluzioni MFT

I sistemi di Managed File Transfer (MFT) sono progettati per trasferire in modo sicuro i dati sensibili tra le organizzazioni. Visto il loro ruolo centrale nel trasferire informazioni riservate, e visti soprattutto gli incidenti di sicurezza che hanno coinvolto sistemi come MOVEit e GoAnywhere, è molto probabile che i gruppi APT sfrutteranno i bug di queste soluzioni per ottenere i dati di interesse.

Le vulnerabilità degli MFT sono un vettore di attacco molto interessante per gli attaccanti per accedere ai sistemi e ottenere persistenza. Viste le conseguenze degli incidenti del 2023, i ricercatori di Kaspersky spingono sull’importanza di effettuare revisioni complete di queste soluzioni e mitigare i bug principali.

In generale, dal momento che il panorama delle minacce non farà che peggiorare, è opportuno implementare sistemi solidi per la prevenzione di perdite di dati, crittografare i dati sensibili e soprattutto promuovere la diffusione di una cultura aziendale improntata alla sicurezza informatica.

• APT, botnet, persistenza, Rootkit, Spear Phishing, supply chain, wearables