Clasiopa: è indiana la nuova minaccia chiamata Atharvan e Lilith?

Un gruppo di hacker chiamato Clasiopa sta attaccando aziende del settore della ricerca sui materiali con un nuovo malware chiamato Atharvan. Gli esperti di sicurezza della Symantec hanno individuato la minaccia e hanno trovato un indizio che suggerisce che gli hacker possano essere di origine indiana, ma non ci sono prove sufficienti per stabilirlo con certezza. Clasiopa sembra utilizzare la forza bruta per ottenere l’accesso ai server pubblici e una volta compromessi, gli attaccanti eseguono diverse azioni come la disattivazione dei prodotti di protezione endpoint, la scansione dei file e la creazione di attività pianificate per elencare i nomi dei file. Atharvan, il backdoor personalizzato utilizzato da Clasiopa, è particolarmente interessante perché non è mai stato visto in altre attacchi. Il malware è in grado di scaricare e eseguire file, eseguire comandi e comunicare con il server di comando e controllo attraverso una comunicazione crittografata in modo debole. Symantec ha fornito gli hash per rilevare i due backdoor (Atharvan e Lilith) e gli strumenti utilizzati dagli hacker.