Advanced Persistent Threat hacker Giacomo Lanzi

Advanced persistent threat (APT): cosa sono e come difendersi

Estimated reading time: 7 minuti

Una advanced persistent threat (APT) è un termine ampio utilizzato per descrivere una campagna di attacco in cui un intruso, o un gruppo di intrusi, stabilisce una presenza illecita e a lungo termine su una rete al fine di estrarre dati altamente sensibili. Gli obiettivi di questi assalti, che sono scelti e studiati con molta attenzione, includono tipicamente grandi imprese o reti governative. Le conseguenze di tali intrusioni sono vaste, e includono:

– Furto di proprietà intellettuale (ad esempio, segreti commerciali o brevetti)
– Compromissione di informazioni sensibili (ad esempio, dati privati di dipendenti e utenti)
– Il sabotaggio di infrastrutture organizzative critiche (ad esempio, la cancellazione di database)
– Prendere il controllo totale del sito

L’esecuzione di un assalto APT richiede più risorse di un attacco standard alle applicazioni web. Gli autori sono di solito squadre di criminali informatici esperti che hanno un sostanziale sostegno finanziario. Alcuni attacchi APT sono finanziati dal governo e utilizzati come armi di guerra informatica.

Gli attacchi più comuni, come il Remote File Inclusion (RFI), la SQL injection e il cross-site scripting (XSS), sono frequentemente utilizzati dagli autori per stabilire un punto d’appoggio in una rete mirata. Poi, Trojan e backdoor shell sono spesso utilizzati per espandere quel punto d’appoggio e creare una presenza persistente all’interno del perimetro.

Advanced Persistent Threat Laptop

Progressione delle advanced persistent threat

Un attacco APT di successo può essere suddiviso in tre fasi: 1) infiltrazione nella rete, 2) espansione della presenza dell’attaccante e 3) estrazione dei dati accumulati, il tutto senza essere rilevato.

1. Infiltrazione nella rete

Come abbiamo detto, ogni advanced persistent threat parte da un’infiltrazione. Le aziende sono tipicamente infiltrate attraverso la compromissione di una delle seguenti aree: risorse web, risorse di rete o utenti umani autorizzati. Questo si ottiene sia attraverso upload maligni o attacchi di ingegneria sociale. Sono tutte minacce affrontate regolarmente dalle grandi organizzazioni.

Gli infiltrati possono eseguire contemporaneamente un attacco DDoS contro il loro obiettivo. Questo serve sia come cortina per distrarre il personale della rete sia come mezzo per indebolire un perimetro di sicurezza, rendendo più facile la violazione.

Una volta ottenuto l’accesso iniziale, gli aggressori installano rapidamente una shell-malware backdoor che garantisce l’accesso alla rete e permette operazioni remote e furtive. Le backdoor possono anche presentarsi sotto forma di Trojan mascherati da software legittimi.

2. Espansione della presenza

Dopo che il punto d’appoggio è stabilito, gli aggressori si muovono per ampliare la loro presenza all’interno della rete e quindi “creare” la advanced persistent threat vera e proprio.

Questo comporta lo spostamento verso l’alto della gerarchia di un’organizzazione, compromettendo i membri del personale con accesso ai dati più sensibili. Così facendo, gli attaccanti sono in grado di raccogliere informazioni aziendali critiche, comprese le informazioni sulla linea di prodotti, i dati dei dipendenti e i record finanziari.

A seconda dell’obiettivo finale dell’attacco, i dati accumulati possono essere venduti a un’impresa concorrente, alterati per sabotare la linea di prodotti di un’azienda o utilizzati per abbattere un’intera organizzazione. Se il sabotaggio è il motivo, questa fase viene utilizzata per ottenere sottilmente il controllo di più funzioni critiche e manipolarle in una sequenza specifica per causare il massimo danno.

Per esempio, gli aggressori potrebbero cancellare interi database all’interno di un’azienda e poi interrompere le comunicazioni di rete al fine di prolungare il processo di recupero.

3. Estrazione dei dati

Mentre un evento APT è in corso, le informazioni rubate sono tipicamente memorizzate in un luogo sicuro all’interno della rete assaltata. Una volta che sono stati raccolti abbastanza dati, i ladri devono estrarli senza essere rilevati.

Tipicamente, vengono utilizzate tattiche di white noise per distrarre il team di sicurezza in modo che le informazioni possano essere spostate fuori. Questo potrebbe prendere la forma di un attacco DDoS, ancora una volta legando il personale di rete e/o indebolendo le difese del sito per facilitare l’estrazione.

Advanced Persistent Threat hacker

Misure di sicurezza contro le advanced persistent threat

Un rilevamento e una protezione adeguati contro le APT richiedono un approccio multiplo da parte degli amministratori di rete, dei fornitori di sicurezza e dei singoli utenti.

Monitoraggio del traffico

Il monitoraggio del traffico in entrata e in uscita è considerato la pratica migliore per prevenire l’installazione di backdoor e bloccare l’estrazione di dati rubati. Ispezionare il traffico all’interno del perimetro aziendale di rete può anche aiutare ad avvisare il personale di sicurezza di qualsiasi comportamento insolito che può puntare ad attività dannose.

Un web application firewall (WAF) distribuito sul bordo della rete filtra il traffico verso i server web proteggendo così una delle vostre superfici di attacco più vulnerabili. Tra le altre funzioni, un WAF può aiutare ad eliminare gli attacchi a livello di applicazione, come gli attacchi RFI e SQL injection, comunemente utilizzati durante la fase di infiltrazione APT.

I servizi di monitoraggio del traffico interno, come i firewall di rete, sono l’altro lato di questa equazione. Essi possono fornire una visione granulare che mostra come gli utenti stanno interagendo all’interno della vostra rete, mentre aiutano a identificare le anomalie del traffico interno, (ad esempio, login irregolari o trasferimenti di dati insolitamente grandi). Quest’ultimo potrebbe segnalare un attacco APT in corso. È anche possibile monitorare l’accesso alle condivisioni di file o agli honeypots di sistema.

Infine, i servizi di monitoraggio del traffico in entrata potrebbero essere utili per rilevare e rimuovere le shell backdoor. Per un servizio di controllo a 360°, l’adozione del SOCaaS di SOD potrebbe fare al caso vostro.

Controllo degli accessi

Per gli attaccanti, i dipendenti dell’azienda rappresentano tipicamente il soft-spot più grande e vulnerabile nel vostro perimetro di sicurezza. Il più delle volte, questo è il motivo per cui gli utenti della vostra rete sono visti dagli intrusi come un facile gateway per infiltrarsi nelle vostre difese, mentre espandono la loro presa all’interno del vostro perimetro di sicurezza.

In questo caso, gli obiettivi probabili rientrano in una delle seguenti tre categorie:

Utenti disattenti che ignorano le politiche di sicurezza della rete e concedono inconsapevolmente l’accesso a potenziali minacce
Insider malintenzionati che abusano intenzionalmente delle loro credenziali per concedere l’accesso al criminale
Utenti compromessi i cui privilegi di accesso alla rete sono compromessi e utilizzati dagli aggressori

Lo sviluppo di controlli efficaci richiede una revisione completa di tutti i membri della vostra organizzazione, specialmente delle informazioni a cui hanno accesso. Per esempio, classificare i dati sulla need-to-know basis aiuta a bloccare la capacità di un intruso di dirottare le credenziali di accesso da un membro del personale di basso livello, usandole per accedere a materiali sensibili.

I punti chiave di accesso alla rete dovrebbero essere protetti con l’autenticazione a due fattori (2FA). Essa richiede agli utenti di utilizzare una seconda forma di verifica quando si accede alle aree sensibili (in genere un codice di accesso inviato al dispositivo mobile dell’utente). Questo impedisce ad attori non autorizzati, travestiti da utenti legittimi, di muoversi nella rete.

advanced persistent threat security

Misure ulteriori contro gli advanced persistent threat

Oltre alle già citate best practice per prevenire il verificarsi di un advanced persistent threat sulla rete aziendale, è bene intervenire su più fronti. In numerosi altri articoli abbiamo trattato quanto sia vantaggioso, per il team di sicurezza, avere un unico luogo in cui monitorare ogni punto della rete. Uno strumento eccellente per questo scopo è un SOC.

Il nostro SOCaaS offre tutte le funzionalità di un Centro Operativo di Sicurezza senza l’incombenza degli investimenti in attrezzature e personale specializzato. Inoltre, grazie alla tecnologia UEBA, non solo il nostro SOC è in grado di recuperare i log e archiviarli in modo sistematico, ma è anche attivamente coinvolto nell’individuare comportamenti sospetti degli utenti.

Queste caratteristiche sono ottime per aumentare la reattività del team di sicurezza e scongiurare anche i tentativi di advanced persistent threat ai danni della rete aziendale.

Per sapere come possiamo aiutare la vostra azienda a alzare la propria sicurezza, non esitare a contattarci, saremo lieti di rispondere a ogni domanda.

Contattaci

Useful links:

Link utili:

Condividi


RSS

RSS feed

Piu’ articoli…

Categorie …

Tags

Acronis Acronis Active Protection Acronis backup Acronis Cloud Backup Acronis Cyber Cloud BaaS Backup Backup as a Service Cloud Conference cloud server cyber security cyber threat Cyber Threat Hunter Dati aziendali EDR GDPR Machine Learning Monitoraggio infrastruttura ICT Next Generation SIEM nextgen siem Nuovo Regolamento Europeo Privacy owncloud pentest Phishing Plesk privacy Ransomware Regolamento Europeo per la Protezione dei Dati server virtuale servizi cloud sicurezza sicurezza web siem Smart Working SOAR SOCaaS SOCaaS[EDR] template Threat intelligence UEBA VDS Virtual Machine vps vulnerability assessment Zabbix

RSS Feed sconosciuto

RSS Feed sconosciuto

RSS Full Disclosure

  • SEC Consult SA-20250604-0 :: Local Privilege Escalation and Default Credentials in INDAMED - MEDICAL OFFICE (Medical practice management) Demo version Giugno 10, 2025
    Posted by SEC Consult Vulnerability Lab via Fulldisclosure on Jun 09SEC Consult Vulnerability Lab Security Advisory < 20250604-0 > ======================================================================= title: Local Privilege Escalation and Default Credentials product: INDAMED - MEDICAL OFFICE (Medical practice management) Demo version vulnerable version: Revision 18544 (II/2024) fixed version: Q2/2025 (Privilege Escalation, Default Password)...
  • Full Disclosure: CVE-2025-31200 & CVE-2025-31201 – 0-Click iMessage Chain → Secure Enclave Key Theft, Wormable RCE, Crypto Theft Giugno 10, 2025
    Posted by josephgoyd via Fulldisclosure on Jun 09Hello Full Disclosure, This is a strategic public disclosure of a zero-click iMessage exploit chain that was discovered live on iOS 18.2 and remained unpatched through iOS 18.4. It enabled Secure Enclave key theft, wormable remote code execution, and undetectable crypto wallet exfiltration. Despite responsible disclosure, the research […]
  • Defense in depth -- the Microsoft way (part 89): user group policies don't deserve tamper protection Giugno 3, 2025
    Posted by Stefan Kanthak on Jun 03Hi @ll, user group policies are stored in DACL-protected registry keys [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies] respectively [HKEY_CURRENT_USER\Software\Policies] and below, where only the SYSTEM account and members of the "Administrators" user group are granted write access. At logon the user&apos;s registry hive "%USERPROFILE%\ntuser.dat" is loaded with exclusive (read, write and...
  • CVE-2025-45542: Time-Based Blind SQL Injection in CloudClassroom PHP Project v1.0 Giugno 3, 2025
    Posted by Sanjay Singh on Jun 03Hello Full Disclosure list, I am sharing details of a newly assigned CVE affecting an open-source educational software project: ------------------------------------------------------------------------ CVE-2025-45542: Time-Based Blind SQL Injection in CloudClassroom PHP Project v1.0 ------------------------------------------------------------------------ Product: CloudClassroom PHP Project Vendor:...
  • ERPNext v15.53.1 Stored XSS in bio Field Allows Arbitrary Script Execution in Profile Page Giugno 3, 2025
    Posted by Ron E on Jun 03An authenticated attacker can inject JavaScript into the bio field of their user profile. When the profile is viewed by another user, the injected script executes. *Proof of Concept:* POST /api/method/frappe.desk.page.user_profile.user_profile.update_profile_info HTTP/2 Host: --host-- profile_info={"bio":"\">"}
  • ERPNext v15.53.1 Stored XSS in user_image Field Allows Script Execution via Injected Image Path Giugno 3, 2025
    Posted by Ron E on Jun 03An authenticated user can inject malicious JavaScript into the user_image field of the profile page using an XSS payload within the file path or HTML context. This field is rendered without sufficient sanitization, allowing stored script execution in the context of other authenticated users. *Proof of Concept:*POST /api/method/frappe.desk.page.user_profile.user_profile.update_profile_info HTTP/2 […]
  • Local information disclosure in apport and systemd-coredump Giugno 3, 2025
    Posted by Qualys Security Advisory via Fulldisclosure on Jun 03Qualys Security Advisory Local information disclosure in apport and systemd-coredump (CVE-2025-5054 and CVE-2025-4598) ======================================================================== Contents ======================================================================== Summary Mitigation Local information disclosure in apport (CVE-2025-5054) - Background - Analysis - Proof of concept Local information disclosure in systemd-coredump...
  • Stored XSS via File Upload - adaptcmsv3.0.3 Giugno 3, 2025
    Posted by Andrey Stoykov on Jun 03# Exploit Title: Stored XSS via File Upload - adaptcmsv3.0.3 # Date: 06/2025 # Exploit Author: Andrey Stoykov # Version: 3.0.3 # Tested on: Debian 12 # Blog: https://msecureltd.blogspot.com/ Stored XSS via File Upload #1: Steps to Reproduce: 1. Login with low privilege user and visit "Profile" > "Edit […]
  • IDOR "Change Password" Functionality - adaptcmsv3.0.3 Giugno 3, 2025
    Posted by Andrey Stoykov on Jun 03# Exploit Title: IDOR "Change Password" Functionality - adaptcmsv3.0.3 # Date: 06/2025 # Exploit Author: Andrey Stoykov # Version: 3.0.3 # Tested on: Debian 12 # Blog: https://msecureltd.blogspot.com/ IDOR "Change Password" Functionality #1: Steps to Reproduce: 1. Login as user with low privilege and visit profile page 2. Select […]
  • Stored XSS "Send Message" Functionality - adaptcmsv3.0.3 Giugno 3, 2025
    Posted by Andrey Stoykov on Jun 03# Exploit Title: Stored XSS "Send Message" Functionality - adaptcmsv3.0.3 # Date: 06/2025 # Exploit Author: Andrey Stoykov # Version: 3.0.3 # Tested on: Debian 12 # Blog: https://msecureltd.blogspot.com/ Stored XSS "Send Message" Functionality #1: Steps to Reproduce: 1. Login as normal user and visit "Profile" > "Message" > […]

Customers

Newsletter

{subscription_form_2}
Prodotti e Soluzioni
Collaborazioni
Modelli Cloud
News
Recensioni Google
Secure Online Desktop s.r.l.
4.9
Basato su 37 recensioni
powered by Google
votaci su
Omid Fazeli
06:59 20 Apr 18
They have a lot of solutions for any kind of business. Lower prices than many others. The support service is always active and efficient.
Guarda tutte le recensioni
Facebook
Secure Online Desktop s.r.l.
Secure Online Desktop s.r.l.
5.0
Basato su 12 recensioni
powered by Facebook
votaci su
Paolo Raimondi
Paolo Raimondi
11:06 21 Apr 18
La Polimatica Progetti Srl, azienda di... cui sono titolare, collabora con soddisfazione da alcuni anni con Secure Online Desktop. L'Azienda è costituita da professionisti seri e competenti. Insieme a loro abbiamo costruito un sistema organizzato di soluzioni ICT, servizi e attività di consulenza per la compliance alla normativa in materia di protezione dei dati personali (GDPR).leggi di più
Ilaria Miglietta
Ilaria Miglietta
04:16 21 Apr 18
Servizi affidabili e di semplice... utilizzo. I loro tecnici molto attenti alle esigenze del cliente, continuate cosìleggi di più
Francesca Marastoni
Francesca Marastoni
11:41 20 Apr 18
Excellent service company with... wonderful stuff. Highly recommended.

Ottima azienda, servizi molto utili, staff qualificato e competente. Raccomandata!leggi di più
Alessio Liga
Alessio Liga
08:25 20 Apr 18
Servizi di alto livello, competenti e... disponibili a accettare nuove sfide per sviluppare business
Ottimo supportoleggi di più
Matteo Revelli
Matteo Revelli
22:39 19 Apr 18
Ottima azienda, offre servizi di alta... qualità con personale competente e disponibile.leggi di più
Lorenzo Munari
Lorenzo Munari
16:25 19 Apr 18
Azienda molto seria e... affidabile.

E' un piacere poter collaborare con realtà di questo tipoleggi di più
Francisco Amadi
Francisco Amadi
10:41 19 Apr 18
Ho avuto il piacere di collaborare con... loro e spero vivamente che succeda di nuovo. Competenti, professionali, precisi e cordiali!leggi di più
Davide Michelotto
Davide Michelotto
07:42 19 Apr 18
Ottimo servizio, seri professionisti al... timone della società e celerità nei tempi di risposta, oltre ogni aspettativa.leggi di più
Gabriele Petralia
Gabriele Petralia
12:28 18 Apr 18
Luca Prati
Luca Prati
10:12 18 Apr 18
Azienda eccellente, consulenza... customizzata e puntuale.
Un ottimo fornitore.
Io personalmente ho parlato con l' Ing. Venuti, valore aggiunto indubbiamente.leggi di più
Valerio Lezza
Valerio Lezza
21:35 17 Apr 18
Daniela Cospito Di Leo
Daniela Cospito Di Leo
21:20 17 Apr 18
Altre recensioni
js_loader
payments gateway
Contatti