Il team di Kaspersky è stato in grado di analizzare diversi campioni, quasi identici, del Trojan “Milum“, il cui codice non presenta alcuna somiglianza con le campagne malevole già note.
Tutti questi campioni sono in grado di gestire i dispositivi a distanza, permettendo dunque a un attaccante di colpire il sistema e prenderne il controllo da qualsiasi luogo. In particolare, il Trojan è in grado di: scaricare ed eseguire i comandi dati dall’amministratore; acquisire diverse informazioni dal dispositivo attaccato e inviarle al server di comando e controllo; aggiornarsi automaticamente a una nuova versione.
Il Trojan “Milum” è stato rilevato per la prima volta dal GReAT team di Kaspersky nell’agosto del 2019. L’analisi del codice del malware ha permesso di stabilire che la data di creazione dei primi tre campioni risalisse a marzo 2019.
In base alle informazioni ricavate dalla telemetria attualmente disponibile, i ricercatori di Kaspersky ritengono che la maggior parte degli obiettivi di questa campagna si trovi in Medio Oriente, e che sia tuttora in corso. Restano ancora molti punti da chiarire su questa campagna, tra cui l’esatto meccanismo di diffusione di Milum.
«Questa campagna è ancora in fare di sviluppo; oltre ai tre campioni iniziali, abbiamo già rilevato nuovi campioni malevoli. Non possiamo ancora stabilire con certezza quali saranno le conseguenze di un potenziamento di WildPressure, ma continueremo a monitorare la sua evoluzione» ha dichiarato Denis Legezo, Senior Security Researcher.
Per evitare di essere presi di mira da un attacco mirato, gli esperti di Kaspersky raccomandano di: aggiornare regolarmente tutti i software utilizzati in azienda, in particolare ogni volta che viene rilasciata una nuova patch di sicurezza. I prodotti di sicurezza con funzionalità di Vulnerability Assessment e Patch Management possono aiutare ad automatizzare questi processi.
Importante è scegliere una soluzione di sicurezza di qualità comprovata come Kaspersky Endpoint Security, dotata di funzionalità di rilevamento basate sul comportamento che garantisce una protezione efficace contro le minacce note e sconosciute, inclusi gli exploit.
Oltre ad adottare le misure necessarie per la protezione degli endpoint, è importante implementare una soluzione di sicurezza di livello aziendale in grado di rilevare, sin dalla fase iniziale, le minacce avanzate a livello di rete, come Kaspersky Anti Targeted Attack Platform.
Bene inoltre accertarsi che il personale acquisisca le nozioni base di cyber-hygiene, poiché molti attacchi mirati vengono veicolati tramite phishing o altre tecniche di ingegneria sociale. Così come assicurarsi che il team di sicurezza abbia accesso alle più recenti informazioni sulle minacce informatiche. Kaspersky APT Intelligence Reporting mette a disposizione dei clienti i report privati sugli sviluppi più recenti nel panorama delle minacce.