{"id":3116,"date":"2021-08-30T13:07:04","date_gmt":"2021-08-30T11:07:04","guid":{"rendered":"https:\/\/fortgale.com\/news\/?p=3116"},"modified":"2023-09-16T11:05:49","modified_gmt":"2023-09-16T11:05:49","slug":"software-atera-come-backdoor-durante-cyber-attack","status":"publish","type":"post","link":"https:\/\/fortgale.com\/blog\/uncategorized-it\/software-atera-come-backdoor-durante-cyber-attack\/","title":{"rendered":"Software Atera come Backdoor durante Cyber-Attack"},"content":{"rendered":"\n

Il software Atera<\/a> \u00e8 utilizzato per il controllo remoto dei sistemi e per il loro monitoraggio da una singola console. Di recente il team di AdvIntel<\/a> ha identificato l’utilizzo dell’agente Atera come backdoor <\/strong>dei sistemi durante compromissioni da Ransomware Conti<\/strong> e del gruppo criminale Wizard Spider, <\/strong>questo ha permesso ai criminali di eludere i controlli di sicurezza pi\u00f9 stringenti.<\/p>\n\n\n\n

Wizard Spider e il Ransomware Conti<\/h2>\n\n\n\n

WIZARD SPIDER<\/strong> \u00e8 un gruppo criminale focalizzato sullo sviluppo e  distribuzione di un sofisticato arsenale di strumenti che permettono di eseguire operazioni di vario genere. Il gruppo \u00e8 stato identificato nel settembre 2016 con il loro Banking Trojan<\/strong> conosciuto con il nome di TrickBot<\/strong>. Le loro operazioni sono mutate in maniera significativa quando nell’agosto 2018 hanno cominciato ad effettuare attacchi Ransomware usando i malware Ryuk<\/strong> e Conti<\/strong>.<\/p>\n\n\n\n

Conti<\/strong> \u00e8 un ransomware multi-thread and altamente efficiente utilizzato in operazioni contro aziende di grandi dimensioni. Il nome del ransomware deriva dall’estensione aggiunta ai file cifrati (.CONTI<\/strong>) e dal nome del file contenente la nota di riscatto (CONTI_README.txt<\/strong>). Il ransomware cifra i file utilizzando una combinazione degli algoritmi di cifratura AES-256<\/strong> E RSA-4096<\/strong> usando le API di Windows CryptoAPI<\/strong>.<\/p>\n\n\n\n

Atera come Backdoor<\/h2>\n\n\n\n

A seguito del deploy di un beacon CobaltStrike<\/strong> sono state osservate due modalit\u00e0 di azione:<\/p>\n\n\n\n

La prima consiste nrll’esecuzione di un comando per il download e l’esecuzione dell’installer MSI dell’agente Atera tramite le API ufficiali. Per il download e l’installazione della versione di prova del software viene fornito un indirizzo email registrato dall’attaccante. Sono stati identificati indirizzi Protonmail<\/strong> e Outlook<\/strong>.<\/p>\n\n\n\n

\"\"<\/figure><\/div>\n\n\n\n

La seconda modalit\u00e0 invece, prevede il caricamento dell’installer dell’agente esportato dalla console di gestione di Atera tramite il comando upload<\/strong> di CobaltStrike e la successiva installazione.<\/p>\n\n\n\n

\"\"<\/figure><\/div>\n\n\n\n

Attraverso l’agente di Atera \u00e8 possibile lanciare comandi usando la console dedicata. Inoltre, Atera supporta l’integrazione di diversi software di controllo remoto, come TeamViewer<\/strong>, AnyDesk<\/strong>, Slashtop<\/strong> e ScreenConnect<\/strong>.<\/p>\n\n\n\n

L’utilizzo di un software legittimo per il controllo remoto fa si che le azioni degli attaccanti non vengano segnalate dai sistemi di protezione presenti nelle macchine. Diventa quindi pi\u00f9 complessa l’identificazione di una presenza malevola in un sistema.<\/p>\n\n\n\n

L’unica soluzione applicabile \u00e8 quella di utilizzare delle blacklist<\/strong> per bloccare l’utilizzo di software di controllo remoto non contemplati nelle policy aziendali e di monitorare i software gi\u00e0 presenti nelle infrastrutture al fine di identificare attivit\u00e0 anomale.<\/p>\n","protected":false},"excerpt":{"rendered":"

Wizard Spider e il Ransomware Conti Atera come Backdoor<\/p>\n","protected":false},"author":1,"featured_media":3126,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[954],"tags":[1673,1675,1443,1677,1679],"class_list":["post-3116","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized-it","tag-anydesk-it","tag-atera-it","tag-ransomware-it","tag-teamviewer-it","tag-wizard-spider-it"],"_links":{"self":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/3116","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/comments?post=3116"}],"version-history":[{"count":2,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/3116\/revisions"}],"predecessor-version":[{"id":6942,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/3116\/revisions\/6942"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/media?parent=3116"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/categories?post=3116"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/tags?post=3116"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}