DuneQuixote, la nuova minaccia del cyber-spionaggio globale

I ricercatori di Kaspersky hanno recentemente scoperto una nuova e insidiosa minaccia nel panorama del cyber-spionaggio mondiale: DuneQuixote. Questa sofisticata campagna malevola ha preso di mira inizialmente un ente governativo del Medio Oriente, ma le indagini hanno rivelato un’attività che si estende ben oltre, coinvolgendo potenzialmente anche regioni come APAC, Europa e Nord America.

Poesie spagnole per nascondere l’inganno e la backdoor CR4T

Il modus operandi di DuneQuixote è tanto astuto quanto insolito. I dropper malware utilizzati nella campagna includono frammenti di poesie spagnole, una scelta insolita finalizzata a migliorare la persistenza del malware e a eludere i sistemi di rilevamento tradizionali. Questa variazione mira ad alterare la tracciabilità di ciascun campione, rendendo più difficile il rilevamento.

All’interno dei dropper, si cela un codice dannoso progettato per scaricare payload aggiuntivi sotto forma di una backdoor denominata CR4T. Queste backdoor, sviluppate in C/C++ e GoLang, consentono ai criminali informatici di accedere al computer della vittima in modo persistente. In particolare, la variante GoLang utilizza l’API Telegram per le comunicazioni C2, sfruttando i public binding dell’API Telegram di Golang.

Sergey Lozhkin, Principal Security Researcher del team Kaspersky’s GReAT (Global Research and Analysis Team), ha commentato: “Le varianti del malware dimostrano la capacità di adattamento e l’intraprendenza di questi cyber criminali. Attualmente abbiamo scoperto due impianti di questo tipo, ma sospettiamo dell’esistenza di altri”.

Telemetria e diffusione della minaccia

La telemetria di Kaspersky ha identificato una vittima in Medio Oriente già a febbraio 2024. Inoltre, diversi upload dello stesso malware sono stati registrati alla fine del 2023 su un servizio di scansione malware semi-pubblico, con oltre 30 invii. Sospettati di costituire nodi di uscita della VPN, sono stati individuati in diverse parti del mondo, tra cui Corea del Sud, Lussemburgo, Giappone, Canada, Paesi Bassi e Stati Uniti.

Misure di sicurezza consigliate da Kaspersky

Per proteggersi da attacchi mirati come DuneQuixote, i ricercatori Kaspersky consigliano alcune misure di sicurezza fondamentali:

1. Accesso a informazioni sulle minacce: fornire al team SOC l’accesso alle informazioni più recenti sulle minacce (TI) tramite il Kaspersky Threat Intelligence Portal;
2. Formazione del team di cybersecurity: affrontare le ultime minacce mirate con sessioni di training online sviluppate dagli esperti di GReAT;
3. Implementare soluzioni EDR: utilizzare soluzioni come Kaspersky Endpoint Detection and Response per il rilevamento a livello endpoint e la risoluzione tempestiva degli incidenti;
4. Protezione avanzata degli endpoint e della rete: implementare soluzioni come Kaspersky Anti Targeted Attack Platform per rilevare precocemente le minacce avanzate a livello di rete;
5. Formazione sulla sicurezza: introdurre sessioni di formazione sulla consapevolezza della sicurezza e insegnare competenze pratiche per riconoscere e affrontare minacce come il phishing e le tecniche di social engineering.

Per ulteriori informazioni sulla campagna DuneQuixote, si consiglia di visitare il sito Securelist.com. Con una minaccia così sofisticata come DuneQuixote in circolazione, è essenziale che le organizzazioni adottino misure proattive per proteggere i propri dati e la propria infrastruttura da attacchi di cyber-spionaggio sempre più ingegnosi e pericolosi.