Attenzione a “Cozy Duke”, la minaccia collegata a MiniDuke

Il Global Research and Analysis Team di Kaspersky Lab ha pubblicato un report relativo ad una nuova campagna di cyber spionaggio avanzato che utilizza un malware per colpire organizzazioni di alto profilo: Cozy Duke.
La lista degli obiettivi a cui mirano gli attacchi include organizzazioni governative ed enti commerciali in Germania, Corea del Sud e Uzbekistan, mentre tra quelli individuati negli Stati Uniti potrebbero essere incluse la Casa Bianca e il Dipartimento di Stato. La strategia di puntare a vittime di alto profilo non è l’unico dato allarmante. Il gruppo utilizza infatti tecniche di crittografia e anti-rilevamento tra cui un codice che rileva la presenza di alcuni tra i più noti prodotti di sicurezza nel tentativo di eluderli: Kaspersky Lab, Sophos, DrWeb, Avira, Crystal e Comodo Dragon.
Gli esperti di sicurezza di Kaspersky Lab hanno scoperto alcune similitudini strutturali che collegano questo toolset con note campagne di cyber spionaggio: MiniDuke, CosmicDuke e OnionDuke e credono che queste operazioni vengono gestite da criminali di lingua russa.
Il gruppo di criminali CozyDuke per raggiungere il proprio target spesso utilizza email di spear phishing: messaggi contenenti un link a un sito web compromesso – talvolta si tratta di siti legittimi di alto profilo come ‘diplomacy.pl’ – che ospita un archivio ZIP contenente un malware. Il gruppo è anche noto come come CozyBear, CozyCar o “Office Monkeys”, in onore dei video utilizzati come esca. Infatti alcune delle mail inviate contenevano video flash falsi con file eseguibili dannosi inviati come allegati dei messaggi di posta.

Consigli per gli utenti
– Non aprite allegati e link inviati da utenti che non conoscete
– Effettuate una scansione regolare del vostro PC utilizzando una soluzione antimalware avanzata
– Diffidate da ZIP che contengono file SFX
– Se non siete sicuri della sicurezza dell’allegato provate ad aprirlo in una sandbox
– Accertatevi che il sistema operativo installato sia aggiornato e che abbia tutte le patch installate
– Aggiornate tutte le applicazioni di terze parti come Microsoft Office, Java, Adobe Flash Player e Adobe Reader
Per avere maggiori informazioni sull’operazione “CozyDuke” è possibile leggere il blog post su Securelist.com.
Cecilia Cantadore