Connect with us

Inchieste

Lazarus: Dark Seoul, Ratankba e KillDisk. Le armi cibernetiche della Corea del Nord

Pubblicato

il

Tempo di lettura: 7 minuti.

La in Nord Corea ha una tradizione consolidata sin dagli anni 2000 ed ha la stessa preparazione di quella militare sul campo. Abbiamo affrontato la storia dell'APT governativo più noto al mondo, denominato , la cui storia è troppo articolata per essere affrontata in un unico articolo. Per questo motivo che, dopo aver analizzato il settennato 2007-2014, ci dedichiamo ad osservare il biennio 2015-2017.

Nel giugno 2015 WildFire ha scoperto una campagna di informatico ritenuta “inattiva” dal giugno 2013. Gli strumenti e le tattiche scoperti, sebbene non identici alla precedente campagna di Dark Seoul, hanno mostrato somiglianze nelle loro funzioni, struttura e strumenti.

Nel marzo 2013, la ha subito un grave attacco informatico, che ha colpito decine di migliaia di sistemi informatici nei settori finanziario e radiotelevisivo, soprannominato “Dark Seoul“, messo in piedi per “devastare” i sistemi operativi colpiti, pulendo i loro dischi rigidi e dopo aver cercato informazioni militari.

Si pensava che l'attacco fosse attribuito alla Corea del Nord, tramite un IP cinese trovato durante l'attacco, ma da allora non sono state prodotte altre prove evidenti del coinvolgimento della Corea del Nord. Nel giugno 2013, McAfee ha pubblicato un rapporto che descriveva in dettaglio la cronologia e le diverse declinazioni della campagna di Dark Seoul, ribattezzatandola “Operazione Troy“. Il rapporto ha analizzato una presunta campagna di attacco, iniziata nel 2009 utilizzando una famiglia di strumenti soprannominata “Troy“. McAfee ha inoltre attribuito due gruppi alla campagna: il NewRomanic Cyber Army Team e The Whois Hacking Team; entrambi i gruppi ritenuti sponsorizzati dallo stato.

Dark Seoul/Operazione Troia sono la stessa cosa?

Utilizzando la piattaforma di intelligence AutoFocus sviluppata da Palo Alto Networks, sono stati identificati diversi campioni di codice dannoso con un comportamento simile alla suddetta campagna Operazione Troy risalente a giugno 2015, oltre due anni dopo gli attacchi originali in Corea del Sud. I dati della sessione hanno rivelato un attacco in tempo reale mirato al settore dei trasporti e della logistica in . L'attacco iniziale è stato probabilmente un'e-mail di spear-, che sfruttava una versione trojanizzata di un eseguibile di installazione software ospitato da un'azienda del settore dei sistemi di controllo industriale. L'eseguibile modificato installava senza problemi il software del lettore video originale, ma allo stesso tempo infettava anche il sistema. Sulla base di un'analisi approfondita del comportamento del Trojan, del codice binario e di precedenti rapporti di attacchi simili, si è arrivati alla conclusione che gli strumenti erano gli stessi utilizzati negli attacchi Dark Seoul/Operazione Troy e l'attenzione è ricaduta sul gruppo Lazarus.

Il codice dannoso è stato recapitato tramite i seguenti due nomi eseguibili, impacchettati insieme in un file di archivio zip:

Player_full.exe

Player_light.exe

Entrambi gli eseguibili si presentavano come programmi di installazione offerti da una società specializzata in sistemi di controllo industriale, fornendo software di riproduzione video per soluzioni di telecamere di . Quando uno dei campioni è stato eseguito, il malware si è insediato e successivamente ha eseguito il video player vero e proprio da cui si è camuffato.

La nuova variante del malware, definita TDrop2, procede alla selezione di un eseguibile di Microsoft nella cartella system32, eseguendolo, e poi utilizza il processo dell'eseguibile legittimo come contenitore per il codice dannoso: una tecnica nota come process hollowing. Una volta eseguito con successo, il processo corrispondente tenta di recuperare quanto utile nella seconda fase, che consiste nel tentare di offuscare la sua

attività recuperando un payload apparentemente nascosto dietro un file immagine, ma che nella sostanza è un eseguibile malevolo. Il server C2 sostituisce i primi due byte, che normalmente sono ‘MZ‘, con i caratteri ‘DW‘, che possono consentire a questa attività C2 di eludere soluzioni rudimentali di sicurezza della rete e quindi aumentare la percentuale di successo del recupero.

Una volta scaricato, il dropper sosrispostatituiva i due byte iniziali prima di eseguirlo. Questa seconda fase del payload eseguiva ancora una volta il process hollowing su un eseguibile Windows selezionato casualmente che si trova nella cartella system32. Il flusso di complessivo di questo malware è stato riassunto dagli specialisti in questo modo:

  • Il payload finale fornisce agli aggressori le seguenti :
  • Descrizione del comando
  • 1001 Modifica URL C2
  • 1003 Scarica
  • 1013 Scarica/esegui malware in un altro processo
  • 1018 Modifica tempo intervallo di attesa
  • 1025 Scarica/esegui e restituisce la risposta
  • Predefinito Esegui il comando e restituisce i risultati

Questi comandi venivano crittografati/codificati una volta che erano trasferiti sulla rete

Blockbuster: il ritorno

L'Unit42 della Palo Alto Networks ha identificato un malware con timestamp di compilazione e distribuzione che hanno codice, infrastruttura e temi che si sovrappongono alle minacce descritte in precedenza come Operazione Blockbuster, affibbiata a Lazarus e legata all'attacco del 2014 in danno della Pictures Entertainment ed agli attacchi di DarkSeoul del 2013.

L'attività, identificata nel marzo 2017, prendeva di mira di lingua coreana, mentre gli attori delle minacce dietro l'attacco sembravano essere sia coreano che inglese. In questo caso sono stati identificati due file di documenti Word dannosi grazie allo strumento di “intelligence” sulle minacce AutoFocus. Non potendo essere certi di come i documenti siano stati inviati agli obiettivi, è molto probabile che l'infezione sia stata sfruttata spedendo le e-mail di phishing. Uno dei file dannosi è stato inviato a VirusTotal il 6 marzo 2017 con il nome del file 한싹시스템.doc”. Una volta aperti, entrambi i file mostravano lo stesso documento esca in lingua coreana che sembrava essere un file, considerato sicuro, che si trovava online su “www.kuipernet.co.kr/sub/kuipernet-setup.docx“.

Il file, sembrava essere un modulo di richiesta utilizzato dall'organizzazione detentrice del dominio . I documenti esca vengono utilizzati dagli aggressori che traggono le vittime in inganno, inducendole a pensare che il file ricevuto sia quello originale. Al momento, il malware infetta il computer, apre un file non dannoso che contiene contenuti che il bersaglio dovrebbe ricevere. Questo serve a ingannare la vittima facendogli credere che non sia successo nulla di sospetto.

Quando questi file dannosi venivano aperte da una vittima, le macro dannose di Visual Basic, Applications Edition (VBA) al loro interno scrivevano un eseguibile su disco e lo eseguono. Se le macro erano disabilitate in Microsoft Word, l'utente doveva fare clic sul pulsante “Abilita contenuto” per l'esecuzione di script VBA dannosi. In particolare, entrambi contenevano stringhe esadecimali che, una volta riassemblate e decodificate XOR, rivelano un file PE. Il file PE viene scritto su disco con un nome file codificato nella macro utilizzando la sostituzione dei caratteri.

RATANKBA

Nel corso della storia operativa del gruppo Lazarus, pochi competitor sono riusciti a eguagliare il gruppo in termini di dimensioni e impatto, in gran parte a causa dell'ampia varietà di strumenti e tattiche a disposizione del gruppo.

Il malware noto come RATANKBA è solo una delle armi nell'arsenale di Lazarus scoperto nel giugno 2017. Questo software dannoso, che avrebbe potuto essere attivo dalla fine del 2016, è stato utilizzato in una recente campagna contro le istituzioni finanziarie utilizzando attacchi di watering hole. La variante utilizzata durante questi attacchi (TROJ_RATANKBA.A) ha fornito più payload che includono strumenti di hacking e software mirati ai sistemi bancari. Dopo una analisi della variante di RATANKBA (BKDR_RATANKBA.ZAEL-A), che utilizzava uno script PowerShell invece della sua forma più tradizionale eseguibile PE, si sono identificati un gruppo di server utilizzati da Lazarus come sistema di back-end per la conservazione temporanea dei dati rubati ed i ricercatori di Trend Micro sono riusciti anche ad accedervi, ottenendo informazioni preziosissime.

Circa il 55% delle vittime della versione Powershell di RATANKBA si trovava in India e nei paesi limitrofi. Ciò implicava che il gruppo Lazarus o avrebbe potuto raccogliere informazioni sugli obiettivi in questa area territoriale o poteva essere in una fase iniziale di un attacco contro obiettivi simili.

La maggior parte delle vittime osservate non utilizzava versioni aziendali del software Microsoft. Meno del 5% delle vittime erano di Microsoft Windows Enterprise, e questo lasciava intendere che il che significava che attualmente RATANKBA colpiva principalmente organizzazioni più piccole o singoli utenti e non organizzazioni più grandi. È possibile che Lazarus stia utilizzando strumenti diversi da RATANKBA per prendere di mira organizzazioni più grandi.

I log recuperati nel back-end di Lazarus registravano anche gli indirizzi IP delle vittime. Sulla base di una ricerca WHOIS inversa, nessuna delle vittime era associata a una grande banca o a un istituto finanziario, bensì dipendenti di tre società di sviluppo di software web in India e una in Corea del Sud.

RATANKBA è stato consegnato viene consegnato alle vittime utilizzando una varietà di documenti di richiamo, inclusi documenti di Microsoft Office, file CHM dannosi e diversi downloader di script. Questi documenti contenevano argomenti sullo sviluppo di software o delle valute digitali. La crescita delle criptovalute registrata negli anni è stata certamente una forza trainante di esche malevoli che, una volta aperte dal destinatario, aprivano ed eseguivano il file, rilasciando una backdoor nel sistema della vittima, comunicante con con il server Command-and-Control (C&C) di RATANKBA, le cui comunicazioni venivano eseguite tramite HTTP GET o POST al server.

Dal Pacifico all'America Latina: la minaccia è altamente distruttiva

Tra il 2017 ed il 2018 Trend Micro ha scoperto una nuova variante del KillDisk che ha cancellato i dischi rigidi ed ha preso di mira le organizzazioni finanziarie dell'America Latina, rilevato come TROJ_KILLDISK.IUB.

KillDisk, insieme a BlackEnergy, legato allo spionaggio informatico, è stato utilizzato in attacchi cibernetici alla fine di dicembre 2015 contro il settore energetico ucraino, nonché le sue industrie bancarie, ferroviarie e minerarie. Da allora il malware si è trasformato in una minaccia utilizzata per l'estorsione , che colpisce le piattaforme Windows e . KillDisk sovrascrive ed elimina i file e nella variante scoperta non includeva una richiesta di riscatto.

KillDisk sembrava da subito intenzionalmente diffusa da un altro processo/attaccante. Il suo percorso del file è stato codificato nel malware (c:\windows\dimens.exe), il che significava che era strettamente associato al suo programma di installazione o ad un pacchetto più grande.

KillDisk presentava anche un processo di autodistruzione, inutilizzabile nei fatti. Rinominava il suo file in c:\windows\0123456789 durante l'esecuzione. Questa stringa era codificata nel campione che abbiamo analizzato. Si aspettava che il percorso del file fosse in c:\windows\dimens.exe (anch'esso hardcoded). Se eseguita l'analisi forense del disco e ricercato il file dimens.exe, il file che verrà recuperato sarà il file appena creato con contenuto di 0x00 byte.

Questa nuova variante di KillDisk passava attraverso tutte le unità logiche (fisse e rimovibili) a partire dall'unità b:. Se l'unità logica conteneva la directory di sistema, i file e le cartelle nelle directory e sottodirectory seguenti erano esentati dall'eliminazione:

  • WINNT
  • Utenti
  • Windows
  • File di programma
  • File di programma (x86)
  • Dati del programma Recupero (controllo case-sensitive)
  • $Cestino
  • Informazioni sul volume di sistema
  • Old

Prima che un file veniva eliminato, era prima rinominato in modo casuale. KillDisk sovrascriveva i primi 0x2800 byte del file e un altro blocco grande 0x2800 byte con 0x00, mentre per cancellare il il disco tentava di rimuovere \\.\PhysicalDrive0 in \\.\PhysicalDrive4. Leggeva il Master Boot Record (MBR) di ogni dispositivo che apriva con successo e procedeva a sovrascrivere i primi 0x20 settori del dispositivo con “0x00”. Utilizzava le informazioni dell'MBR per causare ulteriori danni alle partizioni che elencava. Se la partizione trovata non era estesa, sovrascriveva i primi 0x10 e gli ultimi settori del volume effettivo. Se trovava una partizione estesa, sovrascriveva l'Extended Boot Record (EBR) insieme alle due partizioni extra a cui punta.

Iscriviti alla newsletter settimanale di Matrice Digitale

* inserimento obbligatorio

Inchieste

La CIA sotto accusa aiutata da NewsGuard nella narrazione sull’origine del COVID-19

Tempo di lettura: 2 minuti. La CIA e NewsGuard sotto accusa: nuove rivelazioni sollevano dubbi sulla narrazione ufficiale dell’origine del COVID-19.

Pubblicato

il

Tempo di lettura: 2 minuti.

In una recente rivelazione che potrebbe gettare nuova luce sull'origine della pandemia di COVID-19, un alto ufficiale della CIA ha accusato l'agenzia di aver tentato di manipolare le testimonianze di alcuni analisti per sostenere la teoria della trasmissione del virus dagli animali agli esseri umani, piuttosto che dalla fuga da un laboratorio a Wuhan, in . Questa accusa, riportata dal New York Post, è stata confermata da una lettera inviata al direttore della CIA, William Burns, e ha sollevato nuove domande sulla credibilità delle informazioni fornite dall'agenzia.

Il ruolo di NewsGuard

In questo contesto, è importante sottolineare il ruolo svolto da NewsGuard, una che si occupa di monitorare e valutare la veridicità delle notizie pubblicate online. Secondo una condotta da Matrice , NewsGuard ha avuto un ruolo significativo nell'avallare la narrazione ufficiale sull'origine del virus, etichettando come false le notizie che sostenevano la teoria della creazione artificiale del virus nei laboratori di Wuhan.

Critiche e controversie

La redazione di Matrice Digitale ha criticato aspramente l'approccio di NewsGuard, accusandola di aver creato una lista di proscrizione delle testate giornalistiche che diffondevano notizie contrarie alla narrazione ufficiale, e di aver ignorato altre informazioni false e fuorvianti circolate in merito alla pandemia. Questa situazione ha sollevato gravi preoccupazioni riguardo alla libertà di espressione e al diritto all', con Matrice Digitale che sottolinea la necessità di una maggiore trasparenza e responsabilità da parte delle agenzie di controllo delle notizie.

Questioni politiche e di credibilità

L'inchiesta di Matrice Digitale mette in luce anche le divergenze tra le narrazioni politiche negli Stati Uniti riguardo all'origine del virus, con il Partito Democratico che sostiene la teoria della trasmissione zoonotica, mentre il Partito Repubblicano sospetta una creazione artificiale del virus nei laboratori di Wuhan. In questo scenario, la credibilità di NewsGuard viene messa in discussione, con accuse di favoritismo politico e mancanza di obiettività nella valutazione delle notizie.

In conclusione, le recenti rivelazioni sulla possibile manipolazione delle informazioni da parte della CIA, insieme alle critiche mosse a NewsGuard, sollevano seri dubbi sulla veridicità delle informazioni circolate finora riguardo all'origine del COVID-19. È evidente che la questione richiede ulteriori indagini e una maggiore trasparenza da parte delle agenzie coinvolte. Prima della CIA, anche dall'FBI erano giunte indiscrezioni sull'origine artificiale del virus.

Prosegui la lettura

Inchieste

Vinted, come ottenere merce e rimborso: “il tuo capo è falso”

Tempo di lettura: 2 minuti. Una lettrice condivide la sua esperienza di truffa su Vinted, evidenziando i rischi delle vendite online e la necessità di maggiore protezione per gli utenti.

Pubblicato

il

Tempo di lettura: 2 minuti.

English Version

Le truffe online sono in aumento, e le piattaforme di vendita tra privati come Vinted diventano spesso il terreno di gioco per chi cerca di ingannare. Una lettrice ha deciso di condividere con noi la sua esperienza, sperando di mettere in guardia altri e partecipando attivamente allo spirito di che Matrice ha nei confronti dei lettori e della Pubblica Autorità.

La truffa in dettaglio

Dopo aver messo in vendita una sciarpa autentica di Louis Vuitton, la nostra lettrice ha inviato l'articolo a un'acquirente in . Nonostante avesse fornito prove fotografiche dell'autenticità, l'acquirente ha sostenuto che l'articolo fosse falso, ottenendo un rimborso e trattenendo la sciarpa. La foto dell'acquirente sia da monito per evitare di vendere merce senza ottenere soldi e reso.

La piattaforma Vinted e la sua risposta

Nonostante i numerosi tentativi di contatto, Vinted ha risposto una sola volta, sottolineando la sua contro la vendita di falsi. Successivamente, ogni tentativo di è stato ignorato, e l'acquirente ha bloccato la nostra lettrice che continua a mandare tre messaggi al giorno di media all'assistenza dell'azienda intermediaria già nota per essere terreno fertile di truffe ai danni di compratori e venditori onesti.

Un modus operandi diffuso

La online ha rivelato che molti altri utenti hanno subito truffe simili su Vinted. Dichiarare un prodotto come “falso” sembra essere una tattica comune tra i truffatori. Sia chiaro, il lettore non prenda questa strategia come consiglio, ma duole segnalare che è un dato di fatto. Un capo rotto è stato anche oggetto di un'altra truffa simile già raccontata dalla redazione.

L'inerzia delle autorità

La vittima ha cercato aiuto presso la Polizia Postale e la Guardia di . Tuttavia, le mani delle autorità erano legate a causa della residenza estera sia di Vinted che dell'acquirente.

Il prezzo della giustizia

La nostra lettrice ha valutato anche una opzione legale, ma i costi proibitivi di una causa internazionale hanno reso questa strada impraticabile. Lo stesso motivo che ha fatto desistere Matrice Digitale dal fare una causa a Google dopo l'ingiustificato ban del suo canale YouTube

Riflessioni finali

Questa testimonianza evidenzia la necessità per le piattaforme come Vinted di adottare misure più rigorose per proteggere i propri utenti. Nel frattempo, è fondamentale che gli utenti siano sempre vigili e informati quando operano online: il passa parola non sulle abitudini da osservare, bensì sulle truffe del momento, è fondamentale per anticipare le mosse dei criminali. Ecco tutte le inchieste su Vinted realizzate da Matrice Digitale: i prossimi potreste essere voi.

Prosegui la lettura

Inchieste

Vinted, how to get goods and refund: “your luxury dress is fake”

Tempo di lettura: 2 minuti. A reader shares her experience of being scammed on Vinted, highlighting the risks of online sales and the need for more protection for users.

Pubblicato

il

Tempo di lettura: 2 minuti.

Online scams are on the rise, and B2B sales platforms such as Vinted often become the playground for those seeking to deceive. One reader decided to share her experience with us, hoping to warn other users and actively participate in the spirit of cooperation that Digital Matrix has with readers and the Public Authority.

The scam in detail

After listing an authentic Louis Vuitton scarf for sale, our reader sent the item to a buyer in France. Despite providing photographic evidence of authenticity, the buyer claimed the item was fake, getting a refund and keeping the scarf. Let the buyer's photo be a warning to avoid selling merchandise without getting money and returns.

The Vinted platform and its response

Despite numerous attempts to contact them, Vinted responded only once, emphasizing its policy against selling fakes. Subsequently, every attempt at communication was ignored, and the buyer blocked our reader who continues to send an average of three messages a day to the intermediary company's support, which is already known to be a breeding ground for scams against honest buyers and sellers.

A widespread modus operandi

Online research has revealed that many other users have experienced similar scams on Vinted. Declaring a product as “fake” seems to be a common tactic among scammers. Let me be clear, the reader does not take this strategy as advice, but it pains to report that it is a fact. A broken garment was also the subject of another similar scam already recounted by the editorial staff.

The inaction of the authorities

The victim sought help from the Postal Police and the Guardia di . However, the hands of the authorities were tied because of the foreign residence of both Vinted and the buyer.

The price of justice

Our reader also considered a legal option, but the prohibitive costs of an international lawsuit made this route impractical. The same reason that put off Digital Matrix from suing after the unjustified banning of its channel

Final reflections.

This testimony highlights the need for platforms like Vinted to take stronger measures to protect their users. In the meantime, it is crucial for users to be vigilant and informed at all times when operating online: word of mouth not about the habits to observe, but rather the scams of the moment, is key to anticipating the moves of criminals. Here are all the inch

Prosegui la lettura

Facebook

CYBERWARFARE

Truffe recenti

Truffe online1 settimana fa

No, la vostra pagina Facebook non sta per scadere e non è disabilitata

Tempo di lettura: < 1 minuto. La nuova vecchia truffa è indirizzata ai proprietari delle pagine a cui si vuole...

DeFi3 settimane fa

MetaMask ecco la funzione di scambio ETH in valuta fiat

Tempo di lettura: < 1 minuto. MetaMask lancia una nuova funzione che permette agli utenti di vendere Ether per valuta...

truffa PWCNU truffa PWCNU
Truffe online3 settimane fa

Allerta Truffa: segnalazione di frode online su PWCNU.com

Tempo di lettura: 2 minuti. Allerta truffa: lettore segnala frode su PWCNU.com, perdendo 800€ in schema Ponzi che utilizza numeri...

Truffe online3 settimane fa

Nuova truffa di sextortion: il tuo “video intimo” su YouPorn

Tempo di lettura: 2 minuti. Una nuova truffa di sextortion associata a YouPorn sta cercando di estorcere denaro agli utenti...

Notizie4 settimane fa

ONU: Sud-est Asiatico manodopera del crimine informatico

Tempo di lettura: 2 minuti. Un rapporto dell'ONU svela il traffico di lavoratori nel Sud-est asiatico per operazioni di cybercriminalità,...

Notizie4 settimane fa

CISA Avverte: truffa informatica del cambiamento climatico

Tempo di lettura: < 1 minuto. La CISA avverte gli utenti di rimanere vigili di fronte alle truffe online, in...

Inchieste4 settimane fa

Vinted, come ottenere merce e rimborso: “il tuo capo è falso”

Tempo di lettura: 2 minuti. Una lettrice condivide la sua esperienza di truffa su Vinted, evidenziando i rischi delle vendite...

Inchieste4 settimane fa

Vinted, how to get goods and refund: “your luxury dress is fake”

Tempo di lettura: 2 minuti. A reader shares her experience of being scammed on Vinted, highlighting the risks of online...

vietnam matrix flag vietnam matrix flag
Truffe online4 settimane fa

Truffato per 416.000 dollari in un “club di incontri” su Telegram

Tempo di lettura: < 1 minuto. Uomo di Hanoi truffato per 416.000 dollari cercando di unirsi a un "club di...

Notizie1 mese fa

Galà della Frode: campagna BEC che colpisce l’Italia

Tempo di lettura: 3 minuti. Le truffe di "Business Email Compromise" sono un crescente pericolo nel mondo digitale, con cybercriminali...

Tendenza