An adversary uses deceptive methods to cause a user or an automated process to download and install dangerous code believed to be a valid update that originates from an adversary controlled source.
Description
Attack Execution Flow
3
1
Step 1
Explore[Identify target] The adversary must first identify what they want their target to be. Because malicious software updates can be carried out in a variety of ways, the adversary will first not only identify a target program, but also what users they wish to target. This attack can be targeted (a particular user or group of users) or untargeted (many different users).
AI Translation
[Identifica obiettivo] L'avversario deve innanzitutto identificare quale debba essere il loro obiettivo. Poiché gli aggiornamenti di software dannosi possono essere eseguiti in diversi modi, l'avversario non solo individuerà un programma target, ma anche quali utenti desidera colpire. Questo attacco può essere mirato (a un utente o a un gruppo di utenti specifico) o non mirato (a molti utenti diversi).
2
Step 2
Experiment[Craft a deployment mechanism based on the target] The adversary must craft a deployment mechanism to deploy the malicious software update. This mechanism will differ based on if the attack is targeted or untargeted.
Targeted attack: hosting what appears to be a software update, then harvesting actual email addresses for an organization, or generating commonly used email addresses, and then sending spam, phishing, or spear-phishing emails to the organization's users requesting that they manually download and install the malicious software update.
Targeted attack: Instant Messaging virus payload, which harvests the names from a user's contact list and sends instant messages to those users to download and apply the update
Untargeted attack: Spam the malicious update to as many users as possible through unsolicited email, instant messages, or social media messages.
Untargeted attack: Send phishing emails to as many users as possible and pretend to be a legitimate source suggesting to download an important software update.
Untargeted attack: Use trojans/botnets to aid in either of the two untargeted attacks.
AI Translation
[Creare un meccanismo di distribuzione basato sul target] L'adversary deve creare un meccanismo di distribuzione per implementare l'aggiornamento software dannoso. Questo meccanismo varierà in base al fatto che l'attacco sia mirato o non mirato.
Attacco mirato: ospitare quello che sembra un aggiornamento software, quindi raccogliere indirizzi email reali di un'organizzazione, o generare indirizzi email comunemente usati, e poi inviare spam, email di phishing o spear-phishing agli utenti dell'organizzazione chiedendo loro di scaricare e installare manualmente l'aggiornamento dannoso.
Attacco mirato: payload di virus per Instant Messaging, che raccoglie i nomi dalla lista dei contatti di un utente e invia messaggi istantanei a quegli utenti per scaricare e applicare l'aggiornamento
Attacco non mirato: spammare l'aggiornamento dannoso a quanti più utenti possibile tramite email non richieste, messaggi istantanei o messaggi sui social media.
Attacco non mirato: inviare email di phishing a quanti più utenti possibile e fingere di essere una fonte legittima suggerendo di scaricare un importante aggiornamento software.
Attacco non mirato: utilizzare trojan/botnet per supportare uno dei due attacchi non mirati.
Attack Techniques
-
Targeted attack: hosting what appears to be a software update, then harvesting actual email addresses for an organization, or generating commonly used email addresses, and then sending spam, phishing, or spear-phishing emails to the organization's users requesting that they manually download and install the malicious software update.
-
Targeted attack: Instant Messaging virus payload, which harvests the names from a user's contact list and sends instant messages to those users to download and apply the updateIT: Attacco mirato: ospitare quello che sembra un aggiornamento software, quindi raccogliere indirizzi email effettivi di un'organizzazione, o generare indirizzi email comunemente usati, e successivamente inviare spam, email di phishing o spear-phishing agli utenti dell'organizzazione chiedendo loro di scaricare e installare manualmente l'aggiornamento software dannoso.
-
Untargeted attack: Spam the malicious update to as many users as possible through unsolicited email, instant messages, or social media messages.IT: Attacco mirato: ospitare quello che sembra un aggiornamento software, quindi raccogliere indirizzi email effettivi di un'organizzazione, o generare indirizzi email comunemente usati, e successivamente inviare spam, email di phishing o spear-phishing agli utenti dell'organizzazione chiedendo loro di scaricare e installare manualmente l'aggiornamento software dannoso.
-
Untargeted attack: Send phishing emails to as many users as possible and pretend to be a legitimate source suggesting to download an important software update.IT: Attacco mirato: ospitare quello che sembra un aggiornamento software, quindi raccogliere indirizzi email effettivi di un'organizzazione, o generare indirizzi email comunemente usati, e successivamente inviare spam, email di phishing o spear-phishing agli utenti dell'organizzazione chiedendo loro di scaricare e installare manualmente l'aggiornamento software dannoso.
-
Untargeted attack: Use trojans/botnets to aid in either of the two untargeted attacks.IT: Attacco mirato: ospitare quello che sembra un aggiornamento software, quindi raccogliere indirizzi email effettivi di un'organizzazione, o generare indirizzi email comunemente usati, e successivamente inviare spam, email di phishing o spear-phishing agli utenti dell'organizzazione chiedendo loro di scaricare e installare manualmente l'aggiornamento software dannoso.
3
Step 3
Exploit[Deploy malicious software update] Using the deployment mechanism from the previous step, the adversary gets a user to install the malicious software update.
AI Translation
[Distribuzione di aggiornamenti software dannosi] Utilizzando il meccanismo di distribuzione descritto nel passaggio precedente, l'attore malevolo induce un utente a installare l'aggiornamento software dannoso.
Mitigations
1
Validate Software Updates Before Installing.
Consequences
Security Scopes Affected
Access Control
Availability
Confidentiality
Potential Impacts
Execute Unauthorized Commands
Relationships
Related ATT&CK Techniques
1
T1195.002
Compromise Software Supply Chain
Adversaries may manipulate application software prior to receipt by a final consumer for the purpose of data or system compromise. …
Resources Required
1
Manual or user-assisted attacks require deceptive mechanisms to trick the user into clicking a link or downloading and installing software. Automated update attacks require the adversary to host a payload and then trigger the installation of the payload code.