I ricercatori di sicurezza informatica hanno scoperto una connessione tra il famigerato trojan di accesso remoto (RAT) DarkGate e l'operazione di criminalità informatica finanziaria con sede in Vietnam dietro l'infostealer Ducktail.
I ricercatori di WithSecure, chi ha individuato l’attività di Ducktail nel 2022, hanno avviato le indagini su DarkGate dopo aver rilevato numerosi tentativi di infezione contro organizzazioni nel Regno Unito, negli Stati Uniti e in India.
"È diventato rapidamente evidente che i documenti di adescamento e il targeting erano molto simili alle recenti campagne di infostealer Ducktail, ed è stato possibile passare attraverso i dati open source della campagna DarkGate a molti altri infostealer che molto probabilmente vengono utilizzati dallo stesso attore/gruppo ", osserva il rapporto.
I legami di DarkGate con Ducktail
DarkGate lo è malware backdoor capace di un'ampia gamma di attività dannose, tra cui il furto di informazioni, il cryptojacking e l'utilizzo di Skype, Teams e Messaggi per distribuire malware.
Il malware può rubare una varietà di dati dai dispositivi infetti, inclusi nomi utente, password, numeri di carte di credito e altre informazioni sensibili ed essere utilizzato per estrarre criptovaluta su dispositivi infetti all'insaputa o al consenso dell'utente.
Può essere utilizzato per inviare ransomware ai dispositivi infetti, crittografando i file dell’utente e richiedendo il pagamento di un riscatto per decrittografarli.
Stephen Robinson, analista senior di threat intelligence di WithSecure, spiega che, ad alto livello, la funzionalità del malware DarkGate non è cambiata rispetto al report iniziale del 2018.
"È sempre stato un coltellino svizzero, un malware multifunzionale", afferma. "Detto questo, da allora è stato più volte aggiornato e modificato dall'autore, cosa che possiamo supporre sia stata fatta per migliorare l'implementazione di quelle funzioni dannose e per stare al passo con la corsa agli armamenti nel rilevamento di AV/Malware."
Nota che le campagne di DarkGate (e gli attori dietro di esse) possono essere differenziate in base a chi prendono di mira, alle esche e ai vettori di infezione che utilizzano e alle loro azioni sul bersaglio.
"Lo specifico cluster vietnamita su cui si concentra il rapporto utilizzava lo stesso targeting, nomi di file e persino file di esca per più campagne utilizzando più ceppi di malware", afferma Robinson.
Hanno creato file di richiamo PDF utilizzando un servizio online che aggiunge i propri metadati a ciascun file creato; tali metadati hanno fornito ulteriori forti collegamenti tra le diverse campagne.
Hanno inoltre creato più file LNK dannosi sullo stesso dispositivo e non hanno cancellato i metadati, consentendo di raggruppare ulteriori attività.
La correlazione tra DarkGate e Ducktail è stata determinata da indicatori non tecnici come file di esche, modelli di targeting e metodi di consegna, raccolti in un documento di 15 pagine rapporto.
“Gli indicatori non tecnici come i file di esca e i metadati sono segnali forensi di grande impatto. I file esca, che fungono da esca per invogliare le vittime a eseguire il malware, offrono informazioni preziose sul modus operandi di un aggressore, sui suoi potenziali obiettivi e sulle sue tecniche in evoluzione”, spiega Callie Guenther, senior manager della ricerca sulle minacce informatiche presso Critical Start.
Allo stesso modo, i metadati – informazioni come “LNK Drive ID” o dettagli di servizi come Canva – possono lasciare tracce o modelli distinguibili che potrebbero persistere attraverso diversi attacchi o attori specifici.
"Questi modelli coerenti, se analizzati, possono colmare il divario tra diverse campagne, consentendo ai ricercatori di attribuirle a un autore comune, anche se l'impronta tecnica del malware è diversa", afferma.
Ngoc Bui, esperto di sicurezza informatica presso Menlo Security, afferma che è essenziale comprendere le relazioni tra le diverse famiglie di malware legate agli stessi autori delle minacce.
"Aiuta a creare un profilo di minaccia più completo e a identificare le tattiche e le motivazioni di questi autori di minacce", afferma Bui.
Ad esempio, se i ricercatori trovassero connessioni tra DarkGate, Ducktail, Lobshot e Redline Stealer, potrebbero essere in grado di concludere che un singolo attore o gruppo è coinvolto in più campagne, il che suggerisce un alto livello di sofisticazione.
"Potrebbe anche aiutare gli analisti a determinare se più di un gruppo di minacce sta lavorando insieme, come vediamo con le campagne e gli sforzi di ransomware", aggiunge Bui.
MaaS influisce sul panorama delle minacce informatiche
Bui sottolinea che la disponibilità di DarkGate come servizio ha implicazioni significative per il panorama della sicurezza informatica.
"Riduce la barriera d'ingresso per gli aspiranti criminali informatici che potrebbero non avere competenze tecniche", spiega Bui. “Di conseguenza, più individui o gruppi possono accedere e distribuire malware sofisticati come DarkGate, aumentando il livello di minaccia complessivo”.
Bui aggiunge che le offerte di malware-as-a-service (MaaS) forniscono ai criminali informatici un mezzo conveniente ed economico per condurre attacchi.
Per un analista della sicurezza informatica, ciò rappresenta una sfida perché deve adattarsi continuamente alle nuove minacce e considerare la possibilità che più autori di minacce utilizzino lo stesso servizio malware.
Può anche rendere un po' più difficile il tracciamento dell'autore della minaccia che utilizza il malware poiché il malware stesso potrebbe risalire allo sviluppatore e non all'autore della minaccia che utilizza il malware.
Cambio di paradigma in difesa
Guenther afferma che per comprendere meglio il panorama moderno e in continua evoluzione delle minacce informatiche, è necessario un cambio di paradigma nelle strategie di difesa.
"L'adozione di sequenze di rilevamento basate sul comportamento, nonché lo sfruttamento dell'intelligenza artificiale e del machine learning, consentono l'identificazione di comportamenti di rete anomali, superando le precedenti limitazioni dei metodi basati sulle firme", afferma.
Inoltre, la condivisione delle informazioni sulle minacce e la promozione della comunicazione sulle minacce e sulle tattiche emergenti nei settori verticali possono catalizzare il rilevamento e la mitigazione tempestivi.
"Audit regolari, che comprendono configurazioni di rete e test di penetrazione, possono portare alla luce preventivamente le vulnerabilità", aggiunge Guenther. “Inoltre, una forza lavoro ben informata, addestrata a riconoscere le minacce contemporanee e i vettori di phishing, diventa la prima linea di difesa di un’organizzazione, riducendo sostanzialmente il quoziente di rischio”.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/vulnerabilities-threats/ducktail-infostealer-darkgate-rat-linked-to-same-threat-actors
- :ha
- :È
- :non
- $ SU
- 2018
- 7
- a
- capace
- Chi siamo
- accesso
- operanti in
- Legge
- azioni
- attività
- attività
- attori
- adattare
- Aggiunge
- Dopo shavasana, sedersi in silenzio; saluti;
- contro
- AI
- consente
- anche
- sempre
- an
- analista
- Gli analisti
- analizzato
- ed
- apparente
- SONO
- braccia
- AS
- aspirante
- assumere
- At
- attacchi
- Tentativi
- audit
- autore
- disponibilità
- precedente
- esca
- barriera
- BE
- è diventato
- perché
- diventa
- stato
- comportamenti
- dietro
- essendo
- Meglio
- fra
- BRIDGE
- Costruzione
- by
- Campagna
- Responsabile Campagne
- Materiale
- capace
- carta
- catalizzare
- Challenge
- cambiato
- Cluster
- Uncommon
- Comunicazione
- comprendere
- globale
- concludere
- Segui il codice di Condotta
- veloce
- Connessioni
- consenso
- Prendere in considerazione
- coerente
- musica
- continuamente
- Comodo
- Correlazione
- costo effettivo
- creato
- credito
- carta di credito
- critico
- criptovaluta
- Cryptojacking
- Cyber
- cybercrime
- i criminali informatici
- Cybersecurity
- dati
- decrypt
- Difesa
- consegnare
- consegna
- esigente
- schierare
- dettagli
- rivelazione
- Determinare
- determinato
- Costruttori
- dispositivo
- dispositivi
- DID
- diverso
- diversificato
- difficile
- distribuire
- documenti
- guidare
- ogni
- Presto
- sforzi
- abbracciando
- consentendo
- che comprende
- iscrizione
- essential
- Anche
- evoluzione
- esempio
- esecuzione
- esperto
- competenza
- Spiega
- famiglie
- Compila il
- File
- finanziario
- Trovare
- Nome
- si concentra
- Orma
- Nel
- Legale
- promozione
- da
- funzionalità
- funzioni
- ulteriormente
- divario
- ha dato
- Gruppo
- Gruppo
- Avere
- he
- Aiuto
- aiuta
- Alta
- vivamente
- HTTPS
- ID
- Identificazione
- identificazione
- if
- di forte impatto
- impatti
- implementazione
- implicazioni
- competenze
- in
- Compreso
- crescente
- India
- individui
- industria
- informazioni
- inizialmente
- intuizioni
- Intelligence
- ai miglioramenti
- inestimabile
- indagine
- coinvolto
- IT
- SUO
- stessa
- jpg
- mantenere
- conoscenze
- Dipingere
- paesaggio
- Lasciare
- Livello
- leveraging
- piace
- probabile
- limiti
- linea
- connesso
- Collegamento
- piccolo
- make
- il malware
- Malware come servizio (MaaS)
- direttore
- Maggio..
- si intende
- messaggi
- Metadati
- metodi
- forza
- attenuazione
- ML
- moderno
- modificato
- Modus
- Scopri di più
- Inoltre
- motivazioni
- multiplo
- devono obbligatoriamente:
- nomi
- Rete
- New
- noto
- Note
- famigerato
- numeri
- of
- offrire
- offerte
- on
- ONE
- online
- aprire
- open source
- operazione
- or
- organizzazione
- organizzazioni
- Altro
- su
- complessivo
- proprio
- paradigma
- Le password
- modelli
- Pagamento
- penetrazione
- phishing
- Perno
- Platone
- Platone Data Intelligence
- PlatoneDati
- punti
- pone
- possibilità
- possibile
- potenziale
- precedente
- Profilo
- fornire
- Gara
- gamma
- Ransom
- ransomware
- rapidamente
- RAT
- recente
- riconoscendo
- riducendo
- Basic
- Relazioni
- a distanza
- accesso remoto
- RIPETUTAMENTE
- rapporto
- Reportistica
- riparazioni
- ricercatori
- colpevole
- Rischio
- s
- Suddetto
- stesso
- dice
- problemi di
- vedere
- anziano
- delicata
- servizio
- Servizi
- lei
- spostamento
- significativa
- simile
- da
- singolo
- Skype
- sofisticato
- raffinatezza
- Fonte
- specifico
- inizia a
- iniziato
- Stefano
- Tensioni
- strategie
- forte
- sostanzialmente
- tale
- suggerisce
- superando
- tattica
- Target
- mira
- obiettivi
- le squadre
- Consulenza
- tecniche
- test
- di
- che
- I
- Regno Unito
- loro
- Li
- poi
- Strumenti Bowman per analizzare le seguenti finiture:
- di
- questo
- quelli
- minaccia
- attori della minaccia
- minacce
- Attraverso
- Cravatte
- a
- insieme
- Tracking
- allenato
- Trojan
- Uk
- scoperto
- e una comprensione reciproca
- aggiornato
- us
- utilizzato
- Utente
- utilizzando
- varietà
- verticali
- molto
- vittime
- vietnamita
- vulnerabilità
- Prima
- we
- WELL
- sono stati
- quando
- quale
- OMS
- largo
- Vasta gamma
- Pulire
- con
- senza
- Forza lavoro
- lavoro
- zefiro