APT Cloud Atlas è un malware polimorfo individuato per la prima volta nel 2014 ed utilizzato in una serie di attacchi mirati contro aziende in Europa, America del Nord e Asia.
In questo articolo analizzeremo caratteristiche e funzionamento di un malware APT, concentrandoci sulla definizione di polimorfismo in ambito malware e su come difendersi dalla minaccia.
- APT (Advanced Persistent Threat): di cosa si tratta
- Cos’è il malware APT Cloud Atlas
- APT Cloud Atlas: il processo di infezione
- Come difendersi
- Conclusioni
APT (Advanced Persistent Threat): di cosa si tratta
Un Advanced Persistent Threat (APT) è un tipo di minaccia informatica sofisticata che coinvolge attacchi prolungati e mirati da parte di aggressori altamente qualificati.
Le APT sono caratterizzate da una combinazione di:
- metodi avanzati
- persistenza
- obiettivi specifici
Gli attaccanti APT cercano di:
- infiltrarsi nei sistemi informatici di un’organizzazione
- rimanere silenti per un lungo periodo di tempo, al fine di ottenere accesso non autorizzato a informazioni sensibili o compromettere le infrastrutture informatiche.
Queste minacce possono comportare attacchi mirati come:
- il phishing
- il malware personalizzato
- l’utilizzo di vulnerabilità zero-day
Per rilevare e mitigare le minacce APT in modo efficace e proteggere i propri asset digitali, sono stati messe a punto vere e proprie strategie di sicurezza avanzate note con il nome di Advanced Threat Protection (ATP), di cui parleremo più avanti.
Cos’è il malware APT Cloud Atlas
Il malware APT Cloud Atlas, conosciuto anche come Inception, è un malware altamente sofisticato sviluppato da un gruppo di hacker omonimo, specializzato in attività di cyberspionaggio.
E’ progettato per rubare informazioni da obiettivi selezionati, tra cui: organizzazioni governative o enti privati, con una predilezione per il settore finanziario, aerospaziale e religioso.
Rilevato per la prima volta nel 2014, pare che la sua cyber kill chain sia rimasta pressoché invariata dal 2018.
Viene definito polimorfo poiché in grado di modificarsi continuamente per evitare la rilevazione e la rimozione da parte degli antivirus.
In altre parole, APT Cloud Atlas è in grado di mutare la sua struttura e il suo codice ogni volta che infetta un nuovo sistema, rendendosi così molto difficile da individuare e neutralizzare.
APT Cloud Atlas: il processo di infezione
Il processo di infezione inizia con un’email di spear phishing, contenente un allegato infetto.
A differenza delle prime versioni, in cui veniva avviata l’esecuzione di PowerShower (una backdoor basata su PowerShell) nella catena di attacco più recente si fa leva su due ulteriori moduli malevoli:
- una componente HTML dannosa
- un modulo VBShower
Sono questi i veri e propri componenti polimorfi di APT Cloud Atlas.
Nella pratica, è proprio l’applicazione HTML a innescare VBShower, a sua volta deputato a:
- cancellare ogni traccia della presenza del malware sul dispositivo
- comunicare col sistema di comando e controllo dell’hacker
Soltanto a questo punto, e a seconda del comando ricevuto dall’aggressore, verrà avviato o meno lo scaricamento di PowerShower.
Insomma: APT Cloud Atlas utilizza un’architettura modulare che consente ai cyber criminali di personalizzare le funzionalità del malware a seconda delle esigenze d’attacco.
Nello specifico, il malware è in grado di:
- raccogliere informazioni sul sistema al quale ha avuto accesso, tra cui il nome utente, l’indirizzo IP e il sistema operativo
- effettuare il login
- estrarre i file .txt .pdf .xls .doc da un server di comando e controllo e trasferirle a un server remoto controllato dagli aggressori.
Questo malware include anche una funzione di keylogging, che consente agli aggressori di registrare le sequenze di digitazione dell’utente, inclusi nomi utente, password e informazioni di accesso a diversi servizi.
Tuttavia, questa funzione sembra essere utilizzata solo in fasi successive dell’attacco, quando gli aggressori cercano di ottenere un accesso remoto più completo ai sistemi della vittima.
Inoltre, APT Cloud Atlas è stato visto utilizzare una serie di tecniche evasive, tra cui:
- l’uso di molteplici domini di comando e controllo
- la crittografia del traffico di rete
- l’uso di server proxy per nascondere l’origine dell’attacco
Come difendersi
Come accennavamo, le misure di mitigazione di un Advanced Persistent Threat adottano i modelli di difesa Advanced Threat Protection (ATP), che utilizzano una combinazione di tecnologie e strategie di sicurezza avanzate.
Ecco come l’ATP affronta le APT:
- Rilevamento comportamentale: l’ATP utilizza algoritmi avanzati per monitorare il comportamento dei file, dei processi e del traffico di rete. Rileva attività sospette o anomale che potrebbero indicare la presenza di un’APT
- Analisi dei pattern: l’ ATP analizza i modelli di attacco noti e gli indicatori di compromissione (IOC) per identificare segni di APT. Utilizza informazioni di threat intelligence per confrontare le attività rilevate con i modelli noti di APT
- Rilevamento di malware avanzato: tecniche sofisticate, come l’analisi dinamica e statica dei file, aiutano a identificare e rilevare il malware avanzato utilizzato nelle APT. Ciò include l’utilizzo di sandbox per eseguire file in un ambiente controllato e rilevare il comportamento malevolo
- Analisi dei flussi di rete: l’ Advanced Threat Protection monitora e analizza il traffico di rete in tempo reale per individuare comportamenti anomali, comunicazioni non autorizzate o attività sospette che potrebbero essere indicative di un’APT
- Incident response automatizzato: L’ATP può attivare risposte automatiche agli attacchi, come l’isolamento dei dispositivi compromessi, la quarantena dei file infetti o il blocco delle comunicazioni con i server C2 (Command and Control).
- Analisi forense: L’ATP registra e analizza i dati di sicurezza per fornire informazioni dettagliate sull’attacco. Questo aiuta a comprendere la portata dell’attacco e a prendere misure per mitigare i danni e prevenire futuri attacchi.
L’obiettivo dell’ATP è quello di:
- rilevare le APT in modo tempestivo
- bloccarle
- fornire una risposta rapida per ridurre al minimo i danni
Conclusioni
In generale, il malware APT Cloud Atlas rappresenta una minaccia significativa per le organizzazioni di tutto il mondo, in particolare per quelle nei settori governativi, finanziari e militari.
Per proteggersi contro questo tipo di attacco, le organizzazioni dovrebbero prestare particolare attenzione alle attività sospette sulla loro rete e implementare misure di sicurezza avanzate offerte dalle soluzioni di Advanced Threat Protection.
- Autore articolo
- Gli ultimi articoli
Nata a Taranto nel 1996 e diplomata in “Amministrazione finanza e marketing articolazione relazioni internazionali”. Ho seguito svariati corsi di formazione e ho avuto diverse esperienze lavorative nel mondo del marketing online e della comunicazione. Ad oggi sono scrittrice e mi occupo, oltre che dei social media, anche di seo, web/graphic design e fotografia.