Connect with us

Inchieste

Nord Corea, APT37: una costola di Lazarus? La storia di Reaper, dei suoi ransomware e dei malware a doppia infezione

Pubblicato

il

Tempo di lettura: 6 minuti.

La Corea del Nord ha un terzo gruppo APT statale su cui cadono spesso sospetti di correlazione al ben più noto . Il nome è Reaper, conosciuto anche come APT37, ed ha come obiettivo principalmente la Corea del Sud con grande interesse su Giappone, Vietnam e Medio Oriente, rivolgendo i suoi attacchi a vari settori industriali verticali, tra cui prodotti chimici, elettronica, , aerospaziale, automobilistico e sanitario.

Il 10 giugno del 2016, la società di web hosting NAYANA, con sede in Corea del Sud, è diventata una delle ultime vittime di alto profilo del , dopo che 153 dei suoi server Linux sono stati trovati infettati da una variante del ransomware Erebus. L' ransomware ha colpito i siti web, i database e i file multimediali di circa 3.400 aziende che utilizzavano il servizio di NAYANA ed i criminali informatici hanno forzato con successo NAYANA a pagare il riscatto per decifrare i file infetti.

Il ransomware Erebus (RANSOM_EREBUS.A) è emerso per la prima volta lo scorso settembre 2016, distribuito da malvertisement ( dannose). Gli annunci maligni hanno deviato le vittime verso l' kit Rig, che infetta i sistemi della vittima con il ransomware. Questa variante di Erebus prende di mira 423 tipi di file, strapazza i file con l'algoritmo di RSA-2048 e aggiunge ai file colpiti l'estensione .ecrypt. Questa versione di Erebus è stata osservata utilizzare siti web compromessi in Corea del Sud come server di comando e controllo (C&C).

Nel febbraio 2017, si è scoperto che Erebus si è evoluto e ha cambiato tattica, utilizzando una tecnica che aggira lo User Account Control (UAC), una funzione di che aiuta a prevenire modifiche non autorizzate nel sistema, per eseguire il ransomware con privilegi elevati. Nella sua nota di riscatto, Erebus minacciava di cancellare i file della vittima entro 96 ore a meno che non venga pagato il riscatto. Questa versione (RANSOM_EREBUS.TOR) cancellava anche le copie ombra per impedire alle vittime di recuperare i loro file.

La variante che ha infettato i server di NAYANA è il ransomware Erebus portato ai server Linux. Le analisi in di hanno indicato che questa versione utilizza l'algoritmo RSA per crittografare le chiavi AES; i file infetti sono crittografati con chiavi AES uniche. I suoi meccanismi di persistenza includevano l'aggiunta di un falso servizio Bluetooth per garantire che il ransomware venga eseguito anche dopo il riavvio del sistema o del server. Utilizzava anche il cron UNIX, un'utilità nei sistemi operativi Unix-like come Linux che pianifica i lavori tramite comandi o script di shell, con lo scopo di controllare ogni ora se il ransomware era in esecuzione. Simile al caso di NAYANA, originariamente chiedeva 10 Bitcoin, ma il riscatto è scendeva a 5 BTC e prendeva di mira 433 tipi di file come:

  • Documenti d'ufficio (.pptx, .docx, .xlsx)
  • Database (.sql, .mdb, .dbf, .odb)
  • Archivi (.zip, .rar)
  • File di posta elettronica (.eml, .msg)
  • File relativi a siti web e progetti di sviluppo (.html, .css, .php, .java)
  • File multimediali (.avi, .mp4)

All'inizio del 2016 Kaspersky Lab ha catturato un exploit Adobe Flash zero-day (CVE-2016-1010). All'inizio di questo mese, la nostra tecnologia ha catturato un altro exploit zero-day di Adobe Flash Player distribuito in attacchi mirati. Gli attacchi sono stati identificati nell'APT 37, da loro nominati “ScarCruft”. L'operazione denominata “Daybreak” utilizzava un exploit di Adobe Flash Player precedentemente sconosciuto (0-day). È anche possibile che il gruppo abbia distribuito un altro exploit zero day, CVE-2016-0147, che è stato risolto nell'aprile dello stesso anno. L'operazione Daybreak sembra essere stata lanciata da aggressori sconosciuti per infettare obiettivi di alto profilo attraverso e-mail di spear-. Il vettore esatto dell'attacco è rimasto sconosciuto, ma gli obiettivi hanno ricevuto un link dannosi che puntavano a un sito web violato dove era ospitato il kit di sfruttamento e si scoperto che era già stato usato dall'APT 37.

Come Operation Daybreak, anche Operation Erebus sfruttava un altro exploit di Flash Player (CVE-2016-4117) attraverso l'uso di attacchi watering hole. Nel caso dell'Operazione Daybreak, il sito web violato che ospitava l'exploit kit esegue un paio di controlli del browser prima di reindirizzare il visitatore a un server controllato dagli attaccanti ospitati in . Lo script della pagina principale dell'exploit conteneva un decodificatore BASE64, così come la decrittazione rc4 implementata in JS.

Il processo di sfruttamento consisteva in tre oggetti Flash, tra cui quello che innescava la vulnerabilità in Adobe Flash Player si trovava nel secondo SWF consegnato alla vittima.

Alla fine della catena di sfruttamento, il server inviava un file PDF legittimo all'utente – “china.pdf“. Il file “china.pdf” mostrato alle vittime nell'ultima fase dell'attacco sembra essere scritto in coreano.

L'unità 42 ha scoperto una campagna che sfruttava un dropper personalizzato e non segnalato in precedenza e che veniva utilizzato per fornire esche collegate alla Corea del Sud ed alla Corea del Nord. Queste esche ruotavano intorno a una serie di soggetti, tra cui varie criptovalute, scambi di criptovalute ed eventi politici. Sulla base di varie informazioni testimoniate all'interno di questo dropper, l'Unità 42 ha soprannominato questa famiglia di CARROTBAT dopo averscoperto l'attacco nel dicembre 2017 contro un'agenzia governativa britannica utilizzando la famiglia di malware SYSCON: un semplice Trojan di accesso remoto () che utilizza il protocollo di trasferimento file (FTP) per le comunicazioni di rete. Mentre non ci sono prove che questo attacco contro un'agenzia governativa britannica abbia fatto uso del dropper CARROTBAT, ma sono state trovate sovrapposizioni all'interno dell'infrastruttura di questo attacco che alla fine hanno portato alla scoperta iniziale di CARROTBAT, così come ad altri legami tra queste due famiglie di malware.

Il 13 dicembre 2017, un'email di spear phishing è stata inviata dall'indirizzo email di yuri.sidorav@yandex[.]ru a un individuo di alto livello all'interno di un'agenzia governativa britannica.

La campagna denominata Fractured Block comprendeva tutti i campioni di CARROTBAT identificati fino a quel momento ai quali venivano associati 11 formati di file di documenti esca sono supportati da questo malware:

  • doc
  • .docx
  • .eml
  • .hwp
  • .jpg
  • .pdf
  • .png
  • .ppt
  • .pptx
  • .xls
  • .xlsx

La maggior parte dei documenti esca che hanno preso di mira le vittime in Corea erano legati alle criptovalute. In un caso unico tra quelli emersi, l'esca conteneva un biglietto da visita appartenente a un individuo che lavorava presso COINVIL: un'organizzazione che ha annunciato piani per costruire una borsa di criptovaluta nelle Filippine nel maggio 2018.

Ulteriori soggetti di esca hanno incluso eventi politici tempestivi, come le relazioni tra gli Stati Uniti e la Corea del Nord, così come un viaggio del presidente degli Stati Uniti Donald Trump allo sotrico vertice a Singapore con Kim Jong Sum 3.

I carichi utili per i campioni CARROTBAT variavano. Originariamente, tra i periodi da marzo 2018 a luglio 2018, sono state osservate più istanze della famiglia di malware SYSCON. Questi campioni comunicavano con i seguenti host tramite FTP per la comunicazione C2:

  • ftp.byethost7[.]com
  • ftp.byethost10[.]com
  • files.000webhost[.]com

A partire da giugno 2018, abbiamo osservato che la famiglia di malware OceanSalt è stata rilasciata da CARROTBAT e sono state trovate successivamente delle sovrapposizioni anche con Konni Rat e come visto Syscon, ma questo ha fatto sospettare un coinvolgimento di Lazarus nell'APT37.


Palo alto ha scoperto che l'APT37 utilizza tecniche comuni di consegna del malware come lo spear phishing e le Strategic Web Compromises (SWC). Come in Operation Daybreak, questo attore esegue attacchi sofisticati utilizzando un exploit zero-day. Tuttavia, a volte l'utilizzo di un codice exploit pubblico è più rapido ed efficace per gli autori di malware. Abbiamo visto questo attore testare ampiamente un exploit pubblico noto durante la sua preparazione per la prossima campagna.

Al fine di distribuire un impianto per il payload finale, APT37 utilizzava uno schema di infezione binaria a più stadi. Di norma, il dropper iniziale era creato dalla procedura di infezione ed una delle sue funzioni più impressionanti era quella di bypassare l'UAC (User Account Control) di Windows al fine di eseguire il payload successivo con privilegi più elevati. Questo malware utilizzava il codice exploit di escalation dei privilegi pubblico CVE-2018-8120 o UACME normalmente utilizzato da squadre rosse legittime.
Successivamente, il malware installatore creava un downloader ed un file di configurazione dalla sua risorsa e lo eseguiva. Il malware downloader utilizzava il file di configurazione e si connetteva al server C2 per recuperare il payload successivo. Al fine di eludere il rilevamento a livello di rete, il downloader utilizzava la steganografia dove il carico utile scaricato era un file immagine, seppur contenente un payload malevolo da decifrare. Il payload finale creato dal suddetto processo generava una nota backdoor, conosciuta anche come ROKRAT da Cisco Talos e basata su servizi con molte . Una delle sue funzioni principali era quella di rubare informazioni. All'esecuzione, questo malware creava 10 percorsi di directory casuali e li usava per uno scopo appositamente designato. Il malware creava 11 thread contemporaneamente: sei thread responsabili del furto di informazioni dall'host infetto e cinque per l'inoltro dei dati raccolti a quattro servizi cloud (Box, Dropbox, Pcloud e Yandex). Quando caricava i dati rubati su un servizio cloud, utilizzava un percorso di directory predefinito come /english, /video o /scriptout.  Lo stesso malware conteneva funzionalità complete di backdoor. I comandi erano scaricati dal percorso /script di un fornitore di servizi cloud e i rispettivi risultati di esecuzione venivano caricati nel percorso /scriptout. Supportava i seguenti comandi, che risultavano sufficienti per controllare completamente l'host infetto:

  • Ottenere l'elenco dei file/processi
  • Scarica il payload aggiuntivo ed eseguilo
  • Eseguire il comando di Windows
  • Aggiornare i dati di configurazione, comprese le informazioni del token del servizio cloud
  • Salvare screenshot e una registrazione audio

Iscriviti alla newsletter settimanale di Matrice Digitale

* inserimento obbligatorio

Inchieste

La CIA sotto accusa aiutata da NewsGuard nella narrazione sull’origine del COVID-19

Tempo di lettura: 2 minuti. La CIA e NewsGuard sotto accusa: nuove rivelazioni sollevano dubbi sulla narrazione ufficiale dell’origine del COVID-19.

Pubblicato

il

Tempo di lettura: 2 minuti.

In una recente rivelazione che potrebbe gettare nuova luce sull'origine della pandemia di COVID-19, un alto ufficiale della CIA ha accusato l'agenzia di aver tentato di manipolare le testimonianze di alcuni analisti per sostenere la teoria della trasmissione del virus dagli animali agli esseri umani, piuttosto che dalla fuga da un laboratorio a Wuhan, in . Questa accusa, riportata dal New York Post, è stata confermata da una lettera inviata al direttore della CIA, William Burns, e ha sollevato nuove domande sulla credibilità delle informazioni fornite dall'agenzia.

Il ruolo di NewsGuard

In questo contesto, è importante sottolineare il ruolo svolto da NewsGuard, una che si occupa di monitorare e valutare la veridicità delle notizie pubblicate online. Secondo una condotta da Matrice , NewsGuard ha avuto un ruolo significativo nell'avallare la narrazione ufficiale sull'origine del virus, etichettando come false le notizie che sostenevano la teoria della creazione artificiale del virus nei laboratori di Wuhan.

Critiche e controversie

La redazione di Matrice Digitale ha criticato aspramente l'approccio di NewsGuard, accusandola di aver creato una lista di proscrizione delle testate giornalistiche che diffondevano notizie contrarie alla narrazione ufficiale, e di aver ignorato altre informazioni false e fuorvianti circolate in merito alla pandemia. Questa situazione ha sollevato gravi preoccupazioni riguardo alla libertà di espressione e al diritto all', con Matrice Digitale che sottolinea la necessità di una maggiore trasparenza e responsabilità da parte delle agenzie di controllo delle notizie.

Questioni politiche e di credibilità

L'inchiesta di Matrice Digitale mette in luce anche le divergenze tra le narrazioni politiche negli Stati Uniti riguardo all'origine del virus, con il Partito Democratico che sostiene la teoria della trasmissione zoonotica, mentre il Partito Repubblicano sospetta una creazione artificiale del virus nei laboratori di Wuhan. In questo scenario, la credibilità di NewsGuard viene messa in discussione, con accuse di favoritismo politico e mancanza di obiettività nella valutazione delle notizie.

In conclusione, le recenti rivelazioni sulla possibile manipolazione delle informazioni da parte della CIA, insieme alle critiche mosse a NewsGuard, sollevano seri dubbi sulla veridicità delle informazioni circolate finora riguardo all'origine del COVID-19. È evidente che la questione richiede ulteriori indagini e una maggiore trasparenza da parte delle agenzie coinvolte. Prima della CIA, anche dall'FBI erano giunte indiscrezioni sull'origine artificiale del virus.

Prosegui la lettura

Inchieste

Vinted, come ottenere merce e rimborso: “il tuo capo è falso”

Tempo di lettura: 2 minuti. Una lettrice condivide la sua esperienza di truffa su Vinted, evidenziando i rischi delle vendite online e la necessità di maggiore protezione per gli utenti.

Pubblicato

il

Tempo di lettura: 2 minuti.

English Version

Le truffe online sono in aumento, e le piattaforme di vendita tra privati come Vinted diventano spesso il terreno di gioco per chi cerca di ingannare. Una lettrice ha deciso di condividere con noi la sua esperienza, sperando di mettere in guardia altri e partecipando attivamente allo spirito di che Matrice ha nei confronti dei lettori e della Pubblica Autorità.

La truffa in dettaglio

Dopo aver messo in vendita una sciarpa autentica di Louis Vuitton, la nostra lettrice ha inviato l'articolo a un'acquirente in . Nonostante avesse fornito prove fotografiche dell'autenticità, l'acquirente ha sostenuto che l'articolo fosse falso, ottenendo un rimborso e trattenendo la sciarpa. La foto dell'acquirente sia da monito per evitare di vendere merce senza ottenere soldi e reso.

La piattaforma Vinted e la sua risposta

Nonostante i numerosi tentativi di contatto, Vinted ha risposto una sola volta, sottolineando la sua contro la vendita di falsi. Successivamente, ogni tentativo di è stato ignorato, e l'acquirente ha bloccato la nostra lettrice che continua a mandare tre messaggi al giorno di media all'assistenza dell'azienda intermediaria già nota per essere terreno fertile di truffe ai danni di compratori e venditori onesti.

Un modus operandi diffuso

La online ha rivelato che molti altri utenti hanno subito truffe simili su Vinted. Dichiarare un prodotto come “falso” sembra essere una tattica comune tra i truffatori. Sia chiaro, il lettore non prenda questa strategia come consiglio, ma duole segnalare che è un dato di fatto. Un capo rotto è stato anche oggetto di un'altra truffa simile già raccontata dalla redazione.

L'inerzia delle autorità

La vittima ha cercato aiuto presso la Polizia Postale e la Guardia di . Tuttavia, le mani delle autorità erano legate a causa della residenza estera sia di Vinted che dell'acquirente.

Il prezzo della giustizia

La nostra lettrice ha valutato anche una opzione legale, ma i costi proibitivi di una causa internazionale hanno reso questa strada impraticabile. Lo stesso motivo che ha fatto desistere Matrice Digitale dal fare una causa a Google dopo l'ingiustificato ban del suo canale YouTube

Riflessioni finali

Questa testimonianza evidenzia la necessità per le piattaforme come Vinted di adottare misure più rigorose per proteggere i propri utenti. Nel frattempo, è fondamentale che gli utenti siano sempre vigili e informati quando operano online: il passa parola non sulle abitudini da osservare, bensì sulle truffe del momento, è fondamentale per anticipare le mosse dei criminali. Ecco tutte le inchieste su Vinted realizzate da Matrice Digitale: i prossimi potreste essere voi.

Prosegui la lettura

Inchieste

Vinted, how to get goods and refund: “your luxury dress is fake”

Tempo di lettura: 2 minuti. A reader shares her experience of being scammed on Vinted, highlighting the risks of online sales and the need for more protection for users.

Pubblicato

il

Tempo di lettura: 2 minuti.

Online scams are on the rise, and B2B sales platforms such as Vinted often become the playground for those seeking to deceive. One reader decided to share her experience with us, hoping to warn other users and actively participate in the spirit of cooperation that Digital Matrix has with readers and the Public Authority.

The scam in detail

After listing an authentic Louis Vuitton scarf for sale, our reader sent the item to a buyer in France. Despite providing photographic evidence of authenticity, the buyer claimed the item was fake, getting a refund and keeping the scarf. Let the buyer's photo be a warning to avoid selling merchandise without getting money and returns.

The Vinted platform and its response

Despite numerous attempts to contact them, Vinted responded only once, emphasizing its policy against selling fakes. Subsequently, every attempt at communication was ignored, and the buyer blocked our reader who continues to send an average of three messages a day to the intermediary company's support, which is already known to be a breeding ground for scams against honest buyers and sellers.

A widespread modus operandi

Online research has revealed that many other users have experienced similar scams on Vinted. Declaring a product as “fake” seems to be a common tactic among scammers. Let me be clear, the reader does not take this strategy as advice, but it pains to report that it is a fact. A broken garment was also the subject of another similar scam already recounted by the editorial staff.

The inaction of the authorities

The victim sought help from the Postal Police and the Guardia di . However, the hands of the authorities were tied because of the foreign residence of both Vinted and the buyer.

The price of justice

Our reader also considered a legal option, but the prohibitive costs of an international lawsuit made this route impractical. The same reason that put off Digital Matrix from suing after the unjustified banning of its channel

Final reflections.

This testimony highlights the need for platforms like Vinted to take stronger measures to protect their users. In the meantime, it is crucial for users to be vigilant and informed at all times when operating online: word of mouth not about the habits to observe, but rather the scams of the moment, is key to anticipating the moves of criminals. Here are all the inch

Prosegui la lettura

Facebook

CYBERWARFARE

Truffe recenti

Truffe online1 settimana fa

No, la vostra pagina Facebook non sta per scadere e non è disabilitata

Tempo di lettura: < 1 minuto. La nuova vecchia truffa è indirizzata ai proprietari delle pagine a cui si vuole...

DeFi3 settimane fa

MetaMask ecco la funzione di scambio ETH in valuta fiat

Tempo di lettura: < 1 minuto. MetaMask lancia una nuova funzione che permette agli utenti di vendere Ether per valuta...

truffa PWCNU truffa PWCNU
Truffe online3 settimane fa

Allerta Truffa: segnalazione di frode online su PWCNU.com

Tempo di lettura: 2 minuti. Allerta truffa: lettore segnala frode su PWCNU.com, perdendo 800€ in schema Ponzi che utilizza numeri...

Truffe online3 settimane fa

Nuova truffa di sextortion: il tuo “video intimo” su YouPorn

Tempo di lettura: 2 minuti. Una nuova truffa di sextortion associata a YouPorn sta cercando di estorcere denaro agli utenti...

Notizie4 settimane fa

ONU: Sud-est Asiatico manodopera del crimine informatico

Tempo di lettura: 2 minuti. Un rapporto dell'ONU svela il traffico di lavoratori nel Sud-est asiatico per operazioni di cybercriminalità,...

Notizie4 settimane fa

CISA Avverte: truffa informatica del cambiamento climatico

Tempo di lettura: < 1 minuto. La CISA avverte gli utenti di rimanere vigili di fronte alle truffe online, in...

Inchieste4 settimane fa

Vinted, come ottenere merce e rimborso: “il tuo capo è falso”

Tempo di lettura: 2 minuti. Una lettrice condivide la sua esperienza di truffa su Vinted, evidenziando i rischi delle vendite...

Inchieste4 settimane fa

Vinted, how to get goods and refund: “your luxury dress is fake”

Tempo di lettura: 2 minuti. A reader shares her experience of being scammed on Vinted, highlighting the risks of online...

vietnam matrix flag vietnam matrix flag
Truffe online4 settimane fa

Truffato per 416.000 dollari in un “club di incontri” su Telegram

Tempo di lettura: < 1 minuto. Uomo di Hanoi truffato per 416.000 dollari cercando di unirsi a un "club di...

Notizie1 mese fa

Galà della Frode: campagna BEC che colpisce l’Italia

Tempo di lettura: 3 minuti. Le truffe di "Business Email Compromise" sono un crescente pericolo nel mondo digitale, con cybercriminali...

Tendenza