Gruparea Charming Kitten declanșează o nouă campanie de malware personalizat numită BellaCiao

Specialiștii în securitate cibernetică de la Bitdefender au descoperit o nouă campanie de malware activă numită BellaCiao care vizează organizații din SUA, Europa, Israel, Turcia și India.

Charming Kitten cunoscută și drept Mint Sandstorm sau APT35/42 este o grupare de criminalitate informatică susținută de către Iran care se află pe radarul specialiștilor IT încă din 2014. De-a lungul timpului, campaniile sale au vizat dizidenți politici, activiști, jurnaliști și persoane care protestau împotriva regimurilor opresive, fiind renumită pentru metodele sale complexe de atac - de la inginerie socială și spear phishing la impersonări.  

Acest nou tip de malware, BellaCiao, este extrem de sofisticat și personalizat pentru fiecare țintă, întrucât folosește o linie de comunicare unică cu o infrastructură de comandă și control (C2). Din datele analizate de specialiștii Bitdefender care au vizat o anumită victimă, au rezultat informații codificate, cum ar fi numele companiei, subdomenii special concepute sau o adresă IP publică asociată. Odată ce un sistem este infectat, BellaCiao va disimula un proces legitim nedetectat și va aștepta instrucțiuni din partea atacatorilor.  

Noutatea acestui atac o reprezintă tocmai modul în care primește instrucțiuni de la serverul C2 al atacatorilor. Serverul DNS controlat de către atacator trimite instrucțiuni rău intenționate, codificate prin intermediul unei adrese IP care imită adresa IP reală a țintei. Rezultatul este instalarea și implementarea de noi programe de malware prin intermediul acestor instrucțiuni codificate, fără o descărcare propriu-zisă.  

BellaCiao este un backdoor și dropper cu misiunea de a realiza execuții de cod de la distanță a sistemelor infectate pentru a implementa alte programe de malware în scopuri de spionaj, furt de date, ransomware și extorsiune.  

Recomandări pentru organizații: 

·        Apărarea împotriva noilor atacuri cum este BellaCiao trebuie să includă o arhitectură de apărare în mai multe straturi care să încorporeze capabilități de prevenire, detecție și răspuns la amenințări. 

·        Un alt pas este reducerea suprafeței de atac, ceea ce implică limitarea numărului de puncte de intrare pe care atacatorii le pot folosi pentru a obține acces la sistemele victimelor și remedierea promptă a vulnerabilităților nou descoperite. 

·        La fel de importantă este implementarea unor controale automate de protecție care pot detecta și bloca majoritatea incidentelor de securitate înainte ca acestea să provoace vreun prejudiciu. Instalarea unor servicii de reputație a adresei IP și a unor filtre de amenințări URL reprezintă una dintre cele mai eficiente metode de a opri vulnerabilitățile automate.