Inchieste
Kimsuky: APT nordcoreano che ha colpito le Nazioni Unite e le Agenzie Nucleari della Corea del Sud
Gli ultimi tre anni del gruppo Kimsuky hanno avuto un profilo più basso rispetto al periodo 2013-2019, ma con attacchi mirati aventi una buona capacità di recare danni alle nazioni colpite. Ad inizio 2020, il gruppo è stato associato al regime nordcoreano ed individuato mentre lanciava attacchi di spear-phishing per compromettere i funzionari del Consiglio di sicurezza delle Nazioni Unite. Gli attacchi, rivelati in un rapporto delle Nazioni Unite, hanno preso di mira almeno 28 funzionari, tra cui almeno 11 individui che rappresentano sei paesi del Consiglio di sicurezza.
I funzionari dell’ONU hanno detto di essere venuti a conoscenza degli attacchi dopo essere stati allertati da uno stato membro dell’ONU rimasto all’oscuro. Gli attacchi sono stati attribuiti a Kimsuky e le operazioni hanno avuto luogo tra marzo e aprile e consistevano in una serie di campagne di spear-phishing rivolte agli account Gmail dei funzionari delle Nazioni Unite. Le e-mail sono state progettate per sembrare avvisi di sicurezza delle Nazioni Unite o richieste di interviste da parte dei giornalisti, entrambi progettati per convincere i funzionari ad accedere a pagine di phishing o eseguire file malware sui loro sistemi. Il paese che ha segnalato gli attacchi Kimsuky al Consiglio di sicurezza dell’ONU ha anche detto che campagne simili sono state condotte anche contro i membri del proprio governo, con alcuni degli attacchi che hanno avuto luogo via WhatsApp, e non solo via e-mail. Inoltre, lo stesso paese ha informato l’ONU che gli attacchi Kimsuky sono estremamente persistenti con il gruppo di hacker nordcoreani che perseguono “alcuni individui per tutta la ‘vita’ della loro carriera [governativa]“.
Ma questi attacchi non si sono fermati ad aprile, come dichiarato successivamente in un rapporto delle Nazioni Unite sulla Corea del Nord, il gruppo Kimsuky ha continuato a prendere di mira l’ONU, come parte dei suoi sforzi più ampi per spiare il processo decisionale delle Nazioni Unite per quanto riguarda gli affari nordcoreani e i possibili piani per imporre nuove sanzioni.
Il gruppo Kimsuky ha adottato un nuovo metodo per fornire il suo malware nella sua ultima campagna su un’applicazione di trading azionario sudcoreano. In questa campagna, iniziata nel dicembre 2020, il gruppo ha compromesso un sito web appartenente al fornitore del software di trading azionario, sostituendo il pacchetto di installazione ospitato con uno dannoso. Kimsuky ha anche consegnato il suo malware utilizzando un documento Hangul maligno (HWP) contenente un’esca legata a COVID-19 che parla di un fondo di soccorso del governo. Entrambi i vettori di infezione alla fine consegnano il Quasar RAT. Rispetto all’ultima catena di infezione segnalata da Kimsuky, composta da vari script, il nuovo schema aggiunge complicazioni e introduce tipi di file meno popolari, coinvolgendo script VBS, file XML e Extensible Stylesheet Language (XSL) con codice C# incorporato per recuperare ed eseguire stagers e payload. Sulla base del documento di richiamo e delle caratteristiche del pacchetto di installazione compromesso, concludiamo che questo attacco è motivato finanziariamente, che, come abbiamo precedentemente riportato, è una delle principali aree di interesse di Kimsuky.
Kimsuky ha impiegato in altre campagne sia il malware che la raccolta di credenziali nelle sue attività di spionaggio e nella raccolta di informazioni. Sono state diverse le credenziali raccolte e due malware utilizzati e la prova che l’attore fosse nord coreano deriva dall’utilizzo di strumenti già associati al regime nord coreano con la condotta delle campagne finanziariamente motivate, tra cui il targeting di criptovalute e la sextorsion.
Nel corso del maggio 2021, i funzionari sudcoreani hanno dichiarato che gli hacker dalla Corea del Nord hanno violato la rete interna del South Korean Atomic Energy Research Institute (KAERI), l’organizzazione governativa che conduce ricerche sull’energia nucleare e sulla tecnologia del combustibile nucleare. In una conferenza stampa, un portavoce del KAERI ha detto che l’intrusione ha avuto luogo attraverso una vulnerabilità in una rete privata virtuale (VPN) del server. Tredici diversi IP sono stati visti abusare della vulnerabilità e accedere alla rete interna dell’organizzazione ed uno di questi indirizzi IP era collegato all’infrastruttura di attacco utilizzata da Kimsuky, un gruppo di spionaggio informatico nordcoreano.
Nel settembre 2019, il Dipartimento del Tesoro degli Stati Uniti ha sanzionato tre gruppi di hacker nordcoreani (Lazarus, Andariel, Bluenoroff) per hacking volti a rubare fondi da incanalare nuovamente nei programmi di armi nucleari e missilistici del paese. Successivamente Cisco Talos ha scoperto una campagna gestita dal gruppo APT nordcoreano Kimsuky che distribuiva malware a obiettivi sudcoreani di alto valore, ovvero agenzie di ricerca geopolitica e aerospaziale. Questa campagna è stata attiva almeno al giugno 2021, distribuendo una serie in costante evoluzione di impianti derivati dalla famiglia di impianti Gold Dragon/Brave Prince.
Talos ha scoperto diversi blog dannosi gestiti da Kimsuky che fornivano tre componenti preliminari precedentemente sconosciuti: uno script beacon iniziale, un exfiltratore di file e uno strumentario di impianto. Uno di questi componenti, l’implant instrumentor, ha consegnato altri tre tipi di malware:
- Un modulo per la raccolta di informazioni.
- Un modulo keylogger.
- Un modulo iniettore di file che inietta un carico utile specificato in un processo benigno.
Il carico utile iniettato era una versione troianizzata dello strumento Nirsoft WebBrowserPassview destinato a estrarre le credenziali di accesso per vari siti web e questa strategia si è basata sui risultati precedenti della società di sicurezza AhnLAB. Come notato nel loro rapporto del giugno 2021, questa campagna iniziava con documenti Microsoft Office dannosi (maldocs) contenenti macro consegnate alle vittime. La catena di infezione si traduce nel malware che raggiunge i blog maligni allestiti dagli aggressori che fornivano allo stesso tempo la possibilità di aggiornare il contenuto maligno pubblicato nel blog a seconda del valore della vittima.
Il 26 gennaio 2022, il team di analisi ASEC ha scoperto che il gruppo Kimsuky stava usando il malware xRAT (RAT open-source basato su Quasar RAT). Secondo i log raccolti dall’infrastruttura ASD (AhnLab Smart Defense) di AhnLab, l’attaccante ha installato una variante di Gold Dragon sul primo PC infetto il 24 gennaio. La base per supporre che il file ottenuto sia stata una variante di Gold Dragon è la seguente:
- Il metodo di iniezione è identico a quello utilizzato dal Gold Dragon originale (comportamento di hollowing dei processi su iexplore.exe, svchost.exe, ecc.)
- Caratteristica di terminare la classe della finestra di rilevamento in tempo reale del prodotto AhnLab (49B46336-BA4D-4905-9824-D282F05F6576)
- Terminazione del processo Daum Cleaner (daumcleaner.exe)
- L’aggressore ha installato Gold Dragon attraverso il programma di installazione esclusivo (installer_sk5621.com.co.exe). L’installatore scarica Gold Dragon compresso sotto forma di un file Gzip dal server dell’aggressore, lo decomprime come “in[random 4 numbers].tmp” nel percorso %temp%, quindi lo esegue tramite rundll32.exe.
Il Gold Dragon ha installato 4 funzioni di esportazione:
- Esegui
- Processo
- Avvia
- Lavora
Il programma di installazione eseguiva prima Gold Dragon dando l’argomento “Start“. Una volta eseguita la funzione di esportazione “Start“, Gold Dragon si copiava in un certo percorso e registrava la DLL copiata nella chiave di registro autorun. La funzione di esportazione “Esegui” è data come argomento per l’esecuzione della DLL.
L’attaccante non otteneva informazioni attraverso i processi di sistema, ma invece installa in aggiunta xRAT (nome del file: cp1093.exe) che permetteva il controllo remoto del sistema al PC infetto per eseguire funzioni di furto di informazioni. Una volta che cp1093.exe viene eseguito, copiava un normale processo powershell (powershell_ise.exe) nel percorso “C:\ProgramData\” ed esegue xRAT tramite la tecnica del process hollowing.
Nel luglio 2021, il team Threat Intelligence di Malwarebytes stava monitorando attivamente questo attore ed è stato in grado di individuare siti web di phishing, documenti dannosi e script che sono stati utilizzati per colpire persone di alto profilo all’interno del governo della Corea del Sud. La struttura e le TTP utilizzate in queste recenti attività sono in linea con quanto riportato nel rapporto di KISA. Una delle esche utilizzate da Kimsuky chiamata “외교부 가판 2021-05-07” in lingua coreana si traduce in “Ministry of Foreign Affairs Edition 2021-05-07” che indicava la finalità di colpire il Ministero degli Affari Esteri della Corea del Sud. Secondo i dati raccolti, si è identificato che si trattava di un’entità di grande interesse per Kimsuky. Altri obiettivi associati al governo coreano includevano:
- Ministero degli Affari Esteri, Repubblica di Corea 1° Segretario
- Ministero degli Affari Esteri, Repubblica di Corea 2° Segretario
- Ministro del Commercio
- Vice Console Generale del Consolato Generale Coreano a Hong Kong
- Funzionario della sicurezza nucleare dell’Agenzia internazionale per l’energia atomica (AIEA)
- Ambasciatore dell’Ambasciata dello Sri Lanka allo Stato
- Consigliere del Ministero degli Affari Esteri e del Commercio
Oltre a prendere di mira il governo, Kimsuky ha raccolto informazioni su università e aziende in Corea del Sud, tra cui la Seoul National University e la società di sicurezza finanziaria Daishin, ma non è confermato che gli attori della minaccia li abbiano presi di mira attivamente, né che siano stati compromessi. Anche in questo caso, il gruppo ha avuto la capacità di creare un’infrastruttura di phishing per imitare siti web ben noti e ingannare le vittime a inserire le loro credenziali. Raccogliere indirizzi e-mail per poi utilizzarli per inviare e-mail di spearphishing. Il gruppo stava ancora utilizzando modelli di phishing simili precedentemente menzionati nel rapporto KISA con alcuni piccoli cambiamenti. Per esempio, hanno aggiunto i moduli Mobile_detect e Anti_IPs dal tipo B al tipo C (rapporto KISA) per essere in grado di rilevare i dispositivi mobili e regolare la visualizzazione in base a questo. Questo modello di phishing ha la capacità di mostrare le pagine esca in inglese o in coreano, in base al valore del parametro ricevuto dall’e-mail di phishing. Questo modello è stato utilizzato da Kimsuky per colpire non solo le vittime di lingua coreana, ma anche quelle di lingua inglese.
Inchieste
Pharmapiuit.com : sito truffa online dal 2023
Tempo di lettura: 2 minuti. Pharmapiuit.com è l’ultimo sito truffa ancora online di una serie di portali che promettono forti sconti, ma in realtà rubano ai clienti
Una segnalazione alla redazione di Matrice Digitale del sito pharmapiuit.com ha permesso di scovare un altro sito truffa. Il portale web è una farmacia online che vende prodotti di ogni genere, dai farmaci da banco ai prodotti omeopatici passando per le calzature ortopediche.
Il portale è sfuggito alla miriade di siti scovati dalla redazione nei mesi precedenti grazie anche alle segnalazioni dei lettori, che in passato sono stati messi in rete e spesso sfruttavano il nome di aziende esistenti ed infatti risulta online dal 2023 e questo fa intendere che appartiene alla schiera di siti truffa scovati e molti oscurati dagli stessi criminali.
Anche in questo caso, l’utente ha provato ad acquistare un prodotto segnalando il sito in questione “puó sembrare un sito italiano perché riporta un indirizzo italiano: Via Roncisvalle, 4 37135 Verona, ma in realtá, quando si fa un ordine, il pagamento finisce da VDDEALS e nessun prodotto ordinato arriva”. Non arriva regolare conferma d’ordine, ma delle mail in lingua straniera da servivesvip@guo-quan.com con dei link per tracciare un ipotetico pacco. Non ho cliccato i link per non cadere in altra truffa. Comunque a distanza di piú di 3 settimane è arrivato nulla“.
Dando uno sguardo al portale ed al modulo di acquisto, è possibile notare che, nonostante sia promossa la vendita attraverso più piattaforme di pagamento, il sito accetti dati di Visa e Mastercard. Questo perché sono ancora le uniche carte di credito facilmente spendibili nei mercati neri per effettuare acquisti fraudolenti.
E’ chiaro che il pagamento avvenga, così come sia possibile anche che i dati inseriti possano creare un profilo completo di acquisto ai criminali in modo tale da poter perpetrare la truffa in piena autonomia su altri canali di vendita.
Il sito originale
Il sito originale è Pharmapiu.it ( è bastato unire il dominio aggiungendo il punto com pharmapiuit.com ) ed è di una farmacia di Messina che nulla a che vedere con la truffa in questione ed è stata avvisata già dalla redazione.
Hai dubbi su in sito oppure hai subito una truffa? contatta la Redazione
Inchieste
Temunao.Top: altro sito truffa che promette lavoro OnLine
Tempo di lettura: 2 minuti. Temunao.top è l’ennesimo sito web truffa che promette un premio finale a coloro che effettuano con i propri soldi degli ordini
L’inchiesta di Matrice Digitale sulla truffa Mazarsiu ha subito attirato l’attenzione dei lettori che hanno trovato una similitudine con il sito già analizzato e quello di Mark & Spencer scoperto qualche mese addietro: www.temunao.top.
Un lettore è stato contattato da una certa “Darlene” via WA da un numero +34 697 32 94 09 che lo ha fatto iscrivere alla piattaforma che si presenta con lo stesso modello di Mazarsiu. Questo portale è indirizzato a un pubblico spagnolo che cade in tranello leggendo “Temu” e si ritrova in una pagina in lingua ispanica.
In questa occasione, l’utente ha perso 750 euro, ma per fortuna non è caduto anche nella trappola di Mazarsiu e sembrerebbe che ci sia un collegamento tra le due organizzazioni per il modo di fare aggressivo-passivo degli interlocutori al telefono che mandano messaggi, ma non rispondono perché si dicono sempre impegnatissimi a trainare gli affari.
Il sito web è online dal 4 aprile di quest’anno e questo fa intendere che sia probabile che in molti siano caduti nella trappola perdendo soldi in seguito a quella che sembrerebbe una truffa messa in piedi dallo stesso gruppo criminale su scala internazionale.
Continuate a segnalare siti truffa o sospetti alla redazione via Whatsapp o attraverso il form delle SEGNALAZIONI
Inchieste
Attenti a Mazarsiu.com : offerta lavoro truffa da piattaforma Adecco
Tempo di lettura: 2 minuti. Dalla piattaforma Adecco ad un sito che offre lavoro attraverso le Google Ads: è la storia di Mazarsiu e di una segnalazione in redazione
Nel mese di gennaio abbiamo trattato la notizia di una offerta di lavoro fittizia che usava il blasone di Mark & Spencer. Una lettrice di Matrice Digitale ha prontamente contattato la redazione dopo che, in fase di navigazione su un sito di Adecco, società famosa per il suo servizio di lavoro interinale a lavoratori e aziende, ha cliccato su un banner pubblicitario che l’ha proiettata su questa pagina:
www.mazarsiu.com si presenta come sito web che consente di svolgere dei compiti e di guadagnare una volta finite le 38 “mansioni”. Ogni mansione ha un investimento incrementale che frutta diverse centinaia di migliaia di euro ai criminali.
L’ancoraggio alla potenziale vittima è stato fatto attraverso WhatsApp da parte di un numero italiano ( 3511580682 ) con un nome ispanico
L’utente Lara Cruz si presenta a nome di una società che reale con sede a Napoli, ma ha un volto asiatico in foto e un nominativo ispanico. E si propone di aiutare gli utenti nella loro fase di registrazione per poi indirizzarle da subito nel lavoro.
La segnalazione è stata inviata in redazione il 15 ed il sito è stato creato il 14 maggio, un giorno prima, ed il veicolo del sito truffa è stato possibile grazie all’utilizzo di una sponsorizzata su AdWords da una piattaforma legittima di Adecco e, per fortuna, la malcapitata ha letto l’inchiesta di Matrice Digitale che l’ha messa sull’attenti.
Se doveste trovarvi dinanzi a un sito che propone lavoro on line, come Mazarsiu o Mark & Spencer, e l’impiego consiste nell’anticipare dei soldi, contattate subito le Autorità o la redazione di Matrice Digitale nell’apposito form di segnalazione o via WhatsApp
- Robotica1 settimana fa
Come controllare dei Robot morbidi ? MIT ha un’idea geniale
- Inchieste5 giorni fa
Melinda lascia la Bill Gates Foundation e ritira 12,5 Miliardi di Dollari
- L'Altra Bolla5 giorni fa
Discord celebra il nono compleanno con aggiornamenti e Giveaway
- Economia1 settimana fa
Chi sarà il successore di Tim Cook in Apple?
- Economia1 settimana fa
Ban in Germania per alcuni prodotti Motorola e Lenovo
- Inchieste4 giorni fa
Terrore in Campania: dati sanitari di SynLab nel dark web
- Economia1 settimana fa
Guerra dei Chip: gli USA colpiscono la ricerca cinese nella Entity List
- Smartphone5 giorni fa
Samsung Galaxy S25 Ultra avrà una Fotocamera rispetto all’S24