Leonardo: Cyber Threats Snapshot Report. I risultati degli attacchi informatici del terzo trimestre 2021

È stato pubblicato il settimo Cyber Threats Snapshot Report relativo al terzo trimestre 2021.

L’analisi dei threat actor, delle vulnerabilità e delle attività di cybercrime, condotta dal Security Operation Center di Leonardo nei mesi tra luglio e settembre, ha evidenziato tre tendenze che risultano essere molto significative :

  • l’utilizzo del codice Morse come tecnica di obfuscation
  • il phishing-as-a-service
  • gli attacchi ‘living off the land’

Nascondersi dietro il codice Morse

Tra le novità del trimestre, è stata individuata una campagna di phishing durata un anno, che ha impiegato la tecnica del codice Morse come nuovo metodo per eludere la rilevazione. Questa tecnica di obfuscation consiste nell’utilizzare l’alfabeto Morse per sostituire i caratteri latini dell’URL in modo da eludere i controlli, per poi essere decriptato una volta aggirate le protezioni. L’obiettivo finale della campagna è stato la raccolta di username, password e informazioni quali l’indirizzo IP e la geo‑localizzazione della macchina, informazioni che gli attaccanti possono sfruttare in un secondo momento come punto di appoggio iniziale per condurre successivi tentativi di intrusione.

Phising-as-a-service

Prosegue il fenomeno del cybercrime-as-a-service, e cioè la disponibilità di template di malware e di programmi malevoli pronti all’uso. A settembre, in particolare, è stata individuata una campagna di Phishing-as-a-Service (PHaaS), condotta su larga scala e denominata BulletProofLink, anche nota come Anthrax. L’operazione ha messo a disposizione oltre 100 modelli di phishing differenti che riproducono numerosi marchi e servizi noti. Gli attacchi sono stati realizzati via email con allegati costituiti da file compressi contenenti un template ad-hoc per la vittima.

Colpire senza lasciare tracce sull’hard drive

In aumento negli ultimi tre mesi anche i cosiddetti attacchi della tipologia cosiddetta ‘living off the land’. Si tratta di offensive sferrate utilizzando strumenti, interfacce e servizi legittimi e integrati nei sistemi (come PowerShell o WMI) per eseguire azioni malevole. Vengono anche detti ‘fileless’, perché non prevedono l’installazione di file malevoli sull’hard drive e sono, quindi, più difficili da riconoscere.

In particolare uno di questi attacchi registrato a settembre ha avuto come obiettivo la diffusione di un malware che colpisce i servizi finanziari e POS, attraverso un documento word allegato a una email.

Scarica il Report

Related Posts

Ultime news