L’agenzia CISA (Cybersecurity and Infrastructure Security Agency) del DHS (Department of Homeland Security) ha reso noto delle informazioni riguardo una famiglia di malware conosciuta come SlothfulMedia, attribuendola a un sofisticato threat actor. Kaspersky aveva già indagato su questa attività da giugno 2018 denominando il responsabile IAmTheKing e ha individuato il legame tra i due attori. I ricercatori hanno stabilito che il gruppo potrebbe essere supportato da un governo e avere come obiettivo primario quello di raccogliere informazioni da soggetti di alto profilo, principalmente in Russia.
“Le informazioni su questa serie di attività sono state rese note solo di recente, ma IAmTheKing è operativo da diversi anni. L’autore possiede un toolset in continua evoluzione e ha un’ottima conoscenza delle metodologie tradizionali di penetration testing e di Powershell, uno strumento di task automation e di gestione della configurazione.
Negli ultimi due anni, i ricercatori di Kaspersky hanno individuato tre famiglie di malware sviluppate dallo stesso threat actor, che hanno rinominato KingOfHearts, QueenOfHearts e QueenOfClubs. Il DHS CISA ha invece definito questa famiglia con il nome di SlothfulMedia. Tutte e tre le famiglie di malware sono backdoor, ovvero programmi che forniscono accesso remoto al dispositivo infetto. Il set di strumenti utilizzati dal threat actor comprende inoltre anche un vasto arsenale di script Powershell, un dropper JackOfHearts e una utility di screenshot.
Avvalendosi prevalentemente di tecniche di spear phishing, gli attaccanti hanno infettato i dispositivi delle vittime utilizzando dei malware e hanno poi sfruttato noti programmi per i test di sicurezza per compromettere altre unità del network.
Fino a poco tempo fa, IAmTheKing si era focalizzato unicamente sulla raccolta di informazioni che riguardavano soggetti russi di alto profilo. Tra le vittime del threat actor figuravano enti governativi e industrie della difesa, agenzie pubbliche per lo sviluppo, università e aziende del settore energetico. Tuttavia, nel 2020, Kaspersky ha rivelato rari casi di incidenti legati a IAmTheKing nei Paesi dell’Asia centrale e dell’Europa dell’Est. Il CISA del DHS ha anche segnalato attività in Ucraina e in Malesia. Rimane ancora da verificare se il cambiamento delle aree colpite indichi che l’autore stia modificando la sua strategia o che il suo toolset venga ora utilizzato da altri attori”.
IAmTheKing è operativo già da diversi anni e svolge un’attività molto peculiare, mentre il suo toolset, seppure piuttosto sviluppato, non può essere considerato un prodotto tecnicamente eccellente. In seguito all’annuncio ufficiale relativo a questa minaccia, sempre più organizzazioni ne esamineranno ora il toolset. Pertanto, per favorire la cooperazione tra le community e aiutare altri specialisti della sicurezza informatica a sviluppare delle soluzioni di difesa contro questo threat actor, abbiamo voluto mettere a disposizione i dati che abbiamo raccolto finora. Tuttavia, ora che le informazioni su IAmTheKing sono di dominio pubblico, questo threat actor potrebbe tentare di adeguarsi aggiornando ulteriormente il suo toolset. Continueremo a indagare su questo threat actor e a condividere le informazioni sulla sua attività con i nostri utenti”, ha comunicato Ivan Kwiatkowski, senior security researcher del Kaspersky’s Global Research and Analysis Team.