Inchieste
Nord Corea, APT37: una costola di Lazarus? La storia di Reaper, dei suoi ransomware e dei malware a doppia infezione

La Corea del Nord ha un terzo gruppo APT statale su cui cadono spesso sospetti di correlazione al ben più noto Lazarus. Il nome è Reaper, conosciuto anche come APT37, ed ha come obiettivo principalmente la Corea del Sud con grande interesse su Giappone, Vietnam e Medio Oriente, rivolgendo i suoi attacchi a vari settori industriali verticali, tra cui prodotti chimici, elettronica, produzione, aerospaziale, automobilistico e sanitario.
Il 10 giugno del 2016, la società di web hosting NAYANA, con sede in Corea del Sud, è diventata una delle ultime vittime di alto profilo del ransomware, dopo che 153 dei suoi server Linux sono stati trovati infettati da una variante del ransomware Erebus. L’attacco ransomware ha colpito i siti web, i database e i file multimediali di circa 3.400 aziende che utilizzavano il servizio di NAYANA ed i criminali informatici hanno forzato con successo NAYANA a pagare il riscatto per decifrare i file infetti.
Il ransomware Erebus (RANSOM_EREBUS.A) è emerso per la prima volta lo scorso settembre 2016, distribuito da malvertisement (pubblicità dannose). Gli annunci maligni hanno deviato le vittime verso l’exploit kit Rig, che infetta i sistemi della vittima con il ransomware. Questa variante di Erebus prende di mira 423 tipi di file, strapazza i file con l’algoritmo di crittografia RSA-2048 e aggiunge ai file colpiti l’estensione .ecrypt. Questa versione di Erebus è stata osservata utilizzare siti web compromessi in Corea del Sud come server di comando e controllo (C&C).
Nel febbraio 2017, si è scoperto che Erebus si è evoluto e ha cambiato tattica, utilizzando una tecnica che aggira lo User Account Control (UAC), una funzione di Windows che aiuta a prevenire modifiche non autorizzate nel sistema, per eseguire il ransomware con privilegi elevati. Nella sua nota di riscatto, Erebus minacciava di cancellare i file della vittima entro 96 ore a meno che non venga pagato il riscatto. Questa versione (RANSOM_EREBUS.TOR) cancellava anche le copie ombra per impedire alle vittime di recuperare i loro file.
La variante che ha infettato i server di NAYANA è il ransomware Erebus portato ai server Linux. Le analisi in di Trend Micro hanno indicato che questa versione utilizza l’algoritmo RSA per crittografare le chiavi AES; i file infetti sono crittografati con chiavi AES uniche. I suoi meccanismi di persistenza includevano l’aggiunta di un falso servizio Bluetooth per garantire che il ransomware venga eseguito anche dopo il riavvio del sistema o del server. Utilizzava anche il cron UNIX, un’utilità nei sistemi operativi Unix-like come Linux che pianifica i lavori tramite comandi o script di shell, con lo scopo di controllare ogni ora se il ransomware era in esecuzione. Simile al caso di NAYANA, originariamente chiedeva 10 Bitcoin, ma il riscatto è scendeva a 5 BTC e prendeva di mira 433 tipi di file come:
- Documenti d’ufficio (.pptx, .docx, .xlsx)
- Database (.sql, .mdb, .dbf, .odb)
- Archivi (.zip, .rar)
- File di posta elettronica (.eml, .msg)
- File relativi a siti web e progetti di sviluppo (.html, .css, .php, .java)
- File multimediali (.avi, .mp4)
All’inizio del 2016 Kaspersky Lab ha catturato un exploit Adobe Flash zero-day (CVE-2016-1010). All’inizio di questo mese, la nostra tecnologia ha catturato un altro exploit zero-day di Adobe Flash Player distribuito in attacchi mirati. Gli attacchi sono stati identificati nell’APT 37, da loro nominati “ScarCruft”. L’operazione denominata “Daybreak” utilizzava un exploit di Adobe Flash Player precedentemente sconosciuto (0-day). È anche possibile che il gruppo abbia distribuito un altro exploit zero day, CVE-2016-0147, che è stato risolto nell’aprile dello stesso anno. L’operazione Daybreak sembra essere stata lanciata da aggressori sconosciuti per infettare obiettivi di alto profilo attraverso e-mail di spear-phishing. Il vettore esatto dell’attacco è rimasto sconosciuto, ma gli obiettivi hanno ricevuto un link dannosi che puntavano a un sito web violato dove era ospitato il kit di sfruttamento e si scoperto che era già stato usato dall’APT 37.
Come Operation Daybreak, anche Operation Erebus sfruttava un altro exploit di Flash Player (CVE-2016-4117) attraverso l’uso di attacchi watering hole. Nel caso dell’Operazione Daybreak, il sito web violato che ospitava l’exploit kit esegue un paio di controlli del browser prima di reindirizzare il visitatore a un server controllato dagli attaccanti ospitati in Polonia. Lo script della pagina principale dell’exploit conteneva un decodificatore BASE64, così come la decrittazione rc4 implementata in JS.
Il processo di sfruttamento consisteva in tre oggetti Flash, tra cui quello che innescava la vulnerabilità in Adobe Flash Player si trovava nel secondo SWF consegnato alla vittima.
Alla fine della catena di sfruttamento, il server inviava un file PDF legittimo all’utente – “china.pdf“. Il file “china.pdf” mostrato alle vittime nell’ultima fase dell’attacco sembra essere scritto in coreano.
L’unità 42 ha scoperto una campagna che sfruttava un dropper personalizzato e non segnalato in precedenza e che veniva utilizzato per fornire esche collegate alla Corea del Sud ed alla Corea del Nord. Queste esche ruotavano intorno a una serie di soggetti, tra cui varie criptovalute, scambi di criptovalute ed eventi politici. Sulla base di varie informazioni testimoniate all’interno di questo dropper, l’Unità 42 ha soprannominato questa famiglia di malware CARROTBAT dopo averscoperto l’attacco nel dicembre 2017 contro un’agenzia governativa britannica utilizzando la famiglia di malware SYSCON: un semplice Trojan di accesso remoto (RAT) che utilizza il protocollo di trasferimento file (FTP) per le comunicazioni di rete. Mentre non ci sono prove che questo attacco contro un’agenzia governativa britannica abbia fatto uso del dropper CARROTBAT, ma sono state trovate sovrapposizioni all’interno dell’infrastruttura di questo attacco che alla fine hanno portato alla scoperta iniziale di CARROTBAT, così come ad altri legami tra queste due famiglie di malware.
Il 13 dicembre 2017, un’email di spear phishing è stata inviata dall’indirizzo email di yuri.sidorav@yandex[.]ru a un individuo di alto livello all’interno di un’agenzia governativa britannica.
La campagna denominata Fractured Block comprendeva tutti i campioni di CARROTBAT identificati fino a quel momento ai quali venivano associati 11 formati di file di documenti esca sono supportati da questo malware:
- doc
- .docx
- .eml
- .hwp
- .jpg
- .png
- .ppt
- .pptx
- .xls
- .xlsx
La maggior parte dei documenti esca che hanno preso di mira le vittime in Corea erano legati alle criptovalute. In un caso unico tra quelli emersi, l’esca conteneva un biglietto da visita appartenente a un individuo che lavorava presso COINVIL: un’organizzazione che ha annunciato piani per costruire una borsa di criptovaluta nelle Filippine nel maggio 2018.
Ulteriori soggetti di esca hanno incluso eventi politici tempestivi, come le relazioni tra gli Stati Uniti e la Corea del Nord, così come un viaggio del presidente degli Stati Uniti Donald Trump allo sotrico vertice a Singapore con Kim Jong Sum 3.
I carichi utili per i campioni CARROTBAT variavano. Originariamente, tra i periodi da marzo 2018 a luglio 2018, sono state osservate più istanze della famiglia di malware SYSCON. Questi campioni comunicavano con i seguenti host tramite FTP per la comunicazione C2:
- ftp.byethost7[.]com
- ftp.byethost10[.]com
- files.000webhost[.]com
A partire da giugno 2018, abbiamo osservato che la famiglia di malware OceanSalt è stata rilasciata da CARROTBAT e sono state trovate successivamente delle sovrapposizioni anche con Konni Rat e come visto Syscon, ma questo ha fatto sospettare un coinvolgimento di Lazarus nell’APT37.
Palo alto ha scoperto che l’APT37 utilizza tecniche comuni di consegna del malware come lo spear phishing e le Strategic Web Compromises (SWC). Come in Operation Daybreak, questo attore esegue attacchi sofisticati utilizzando un exploit zero-day. Tuttavia, a volte l’utilizzo di un codice exploit pubblico è più rapido ed efficace per gli autori di malware. Abbiamo visto questo attore testare ampiamente un exploit pubblico noto durante la sua preparazione per la prossima campagna.
Al fine di distribuire un impianto per il payload finale, APT37 utilizzava uno schema di infezione binaria a più stadi. Di norma, il dropper iniziale era creato dalla procedura di infezione ed una delle sue funzioni più impressionanti era quella di bypassare l’UAC (User Account Control) di Windows al fine di eseguire il payload successivo con privilegi più elevati. Questo malware utilizzava il codice exploit di escalation dei privilegi pubblico CVE-2018-8120 o UACME normalmente utilizzato da squadre rosse legittime.
Successivamente, il malware installatore creava un downloader ed un file di configurazione dalla sua risorsa e lo eseguiva. Il malware downloader utilizzava il file di configurazione e si connetteva al server C2 per recuperare il payload successivo. Al fine di eludere il rilevamento a livello di rete, il downloader utilizzava la steganografia dove il carico utile scaricato era un file immagine, seppur contenente un payload malevolo da decifrare. Il payload finale creato dal suddetto processo generava una nota backdoor, conosciuta anche come ROKRAT da Cisco Talos e basata su servizi cloud con molte caratteristiche. Una delle sue funzioni principali era quella di rubare informazioni. All’esecuzione, questo malware creava 10 percorsi di directory casuali e li usava per uno scopo appositamente designato. Il malware creava 11 thread contemporaneamente: sei thread responsabili del furto di informazioni dall’host infetto e cinque per l’inoltro dei dati raccolti a quattro servizi cloud (Box, Dropbox, Pcloud e Yandex). Quando caricava i dati rubati su un servizio cloud, utilizzava un percorso di directory predefinito come /english, /video o /scriptout. Lo stesso malware conteneva funzionalità complete di backdoor. I comandi erano scaricati dal percorso /script di un fornitore di servizi cloud e i rispettivi risultati di esecuzione venivano caricati nel percorso /scriptout. Supportava i seguenti comandi, che risultavano sufficienti per controllare completamente l’host infetto:
- Ottenere l’elenco dei file/processi
- Scarica il payload aggiuntivo ed eseguilo
- Eseguire il comando di Windows
- Aggiornare i dati di configurazione, comprese le informazioni del token del servizio cloud
- Salvare screenshot e una registrazione audio
Inchieste
ACN finalista su LinkedIn: spegnetegli i social

“A pensar male ci si azzecca” diceva qualcuno di molto importante nella storia del nostro Paese.
L’Agenzia della Cybersicurezza Nazionale ha venduto sui social un grande successo che in realtà ha confermato una grande parte delle critiche mosse al suo ufficio di comunicazione da molti esperti informatici del Paese. Molta fuffa, molta politica, tantissima comunicazione e grande autoreferenzialità all’interno dei social network, ma pochissima sostanza.
Durante un periodo in cui l’ente è finito in un turbine di polemiche in seguito ad attacchi informatici da ogni dove, tra l’altro che hanno interessato più volte gli stessi obiettivi, c’è chi sui social ha pensato di vendersi l’essere rientrata tra i finalisti in un contest organizzato da LinkedIn.
Sì, proprio quella piattaforma utilizzata dall’Agenzia per una comunicazione “uno a molti” dove dipendenti dello Stato hanno più volte dato patenti di ignoranza ad esperti informatici che hanno dimostrato di aver svolto il ruolo delle “cassandre” e li ha offesi o addirittura minacciati via mail quando è stato segnalato un bug al CSIRT. LinkedIn, di proprietà della Microsoft che ha stipulato con l’ex direttore Baldoni un accordo per formare 100.000 esperti informatici nei prossimi anni a botte di certificazioni Microsoft, ha inserito tra i finalisti l’ACN per aver speso speso più tempo sul social network a dirsi di essere “bella e brava” ed “innovativa” senza però risolvere concretamente i problemi del paese per i quali è stata costituita.
Speriamo vinca il premio finale, altrimenti oltre ad aver messo in cattiva luce le proprie capacità pratiche, la beffa di non portare a casa la “mucca Carolina” sarebbe il colpo finale ad un’attività di comunicazione per un ente totalmente tecnico che dovrebbe spegnere i social ed occuparsi della sicurezza cibernetica in Italia.
Inchieste
Sanremo multato per il conflitto di interessi della Ferragni con Meta
Tempo di lettura: 3 minuti. Un mese a contestare i giornalisti, per aver fornito una lettura sul modo di fare affari dell’influencer, per poi ritornare a seguirne le televendite sugli organi di informazione

“Perché ce l’avete con la Ferragni?”
“Siete invidiosi per il solo fatto che lei ce l’ha fatta?”
Queste sono alcune delle opposizioni, alcune argomentate da offese, che sono giunte alla redazione per aver mostrato giornalisticamente il conflitto di interessi di Chiara Ferragni al festival di Sanremo.
L’influencer digitale, ha rinunciato al suo cachet da 50.000 € ed è stata acclamata dal grande pubblico per questa iniziativa che in realtà si è dimostrata un atto dovuto per consentire al circo Ferragnez di incamerare indisturbato maggiori introiti al Festival dando visibilità alle aziende che hanno imposto non solo una linea commerciale, bensì anche una ideologica.
Molte persone, abituate a seguire la coppia dalla mattina alla sera nelle proprie attività commerciali che vengono spacciate come contenuti giornalistici dalle testate, anche quelle più prestigiose, che si occupano anche di gossip e di spettacolo, non sono riuscite a comprendere che le denunce giornalistiche hanno riguardato una promozione “gratuita” di Instagram all’interno del festival più importante in termini di visibilità d’Italia, dimostratosi un’operazione subdola e scorretta secondo i regolamenti in vigore nella giustizia civile. Non è un caso infatti che gli autori del Festival di Sanremo hanno dapprima impostato la difesa su due livelli temporanei non riuscendo a convincere il collegio giudicante dell’AGCom. In primo luogo hanno detto che era una gag improvvisata tra l’autrice, nonché imprenditrice chiamata sul palco dell’Ariston grazie al successo ottenuto su Instagram e gli autori del format televisivo si sono detti all’oscuro compreso il conduttore e direttore artistico Amadeus. La verità ci ha messo poco a venire a galla e si è scoperto che l’evento Instagram fosse presente in scaletta e quindi nessun effetto sorpresa se non perché venduto come tale ai telespettatori della prima serata.
Successivamente, in seguito ad una scansione dei contratti pubblicitari, dove non è chiaro se fossero presenti accordi con Meta o se ci sia stata una pubblicità occulta fatta dalla Ferragni in combutta con gli organizzatori e responsabili del festival di Sanremo. Indipendentemente dalla presenza o meno di contratti, non è stato esplicato in quel momento che ci fosse un riferimento pubblicitario dovuto sia nell’uno che nell’altro caso.
In sintesi, il problema non è che Matrice Digitale o altri quotidiani sono stati invidiosi del successo della Ferragni e nemmeno che hanno “puntato”, giornalisticamente parlando, il personaggio, ma è chiaro che i dubbi sollevati contro l’influencer non solo erano motivati, ma evidenzia l’esistenza di un giornalismo che ad oggi non riesce a far comprendere la differenza tra un contenuto patinato di interesse frivolo rispetto a quello che invece rappresenta il giornalismo di informazione pura scevra da inserimenti commerciali e da pubblicità occulte.
Non riesce a mostrare oppure non può per preservare gli introiti pubblicitari a tema sui propri canali di informazione e che pagano più per contenuti simili?
Sarebbe forse il caso di rivedere il modello degli analfabeti funzionali del nostro paese, molti dei quali non hanno compreso che se hai successo nella vita dovresti dare l’esempio, soprattutto se ti vesti da rappresentante del femminismo, e invece ritengono che ci siano anche le possibilità di ottenere dei lasciapassare rispetto agli altri poveri umani che non ce l’hanno fatta e che se lo fanno notare sono automaticamente invidiosi secondo la massa che supporta il modello social. L’Autorità Garante nelle Comunicazioni ha multato il Festival di Sanremo per la pubblicità occulta, una manna dal cielo per chi è ben consapevole che Meta viene spesso trattata con i guanti di seta dal Garante Privacy che mostra sempre una linea di collaborazione, invertendo il ruolo istituzionale con quello aziendale, nonostante i cittadini italiani ed europei siano stati vittime più volte degli attacchi informatici che hanno ne hanno messo in rete i dati personali e sensibili.
Inchieste
Zuckerberg licenzia altri 10.000 dipendenti, abbandona NFT e Metaverso, e copia Telegram
Tempo di lettura: 2 minuti. Poche idee e troppi progetti ma la società ha perso credibilità nei confronti dei suoi utenti

È ufficiale, Instagram sta copiando un altro concorrente. Il CEO di Meta, Mark Zuckerberg, ha annunciato il mese scorso una nuova funzionalità su Instagram – i Canali. Questo nuovo servizio di chat consente ai creatori di condividere messaggi, sondaggi e foto con i follower al fine di stabilire una relazione più diretta con loro, simile alla funzione canali su Telegram.
Zuckerberg ha introdotto la nuova funzionalità aprendo il proprio canale, dove intende continuare a condividere aggiornamenti riguardanti Meta. Zuckerberg ha anche dichiarato che il servizio di chat arriverà su Facebook Messenger nei prossimi mesi. In seguito, verrà aggiunta anche la possibilità di aggiungere un altro creatore di contenuti al canale e aprire una sezione di domande e risposte (AMA, chiedimi qualunque cosa). Nel frattempo, Instagram sta attualmente testando i canali con alcuni creatori selezionati negli Stati Uniti, con l’intenzione di espandere la release della funzionalità nei prossimi mesi.
Questa nuova funzionalità offre anche ai creatori un nuovo modo per aggiornare i loro follower. Fino ad ora, i creatori di contenuti dovevano aggiornare le loro storie su Instagram per condividere notizie e aggiornamenti con i loro follower. Ma ora possono utilizzare un modo più diretto per connettersi con loro. Coloro che si uniscono ai canali possono votare nei sondaggi ma non possono partecipare alla conversazione.
Crisi NFT. Questo ed altri buoni propositi nel cestino di Meta
Meta, la società madre di Facebook e Instagram, ha deciso di rimuovere il supporto agli NFT (non-fungible token), oggetti da collezione digitali, meno di un anno dopo il loro lancio ufficiale sui due social network. La decisione è stata presa per concentrarsi su altri modi per supportare creator, persone e aziende. La compagnia sta già lavorando su nuove funzionalità come la messaggistica e le operazioni di monetizzazione per Reels e sta investendo in strumenti fintech come Meta Pay e i pagamenti tramite messaggistica su Meta. Questa decisione sembra suggerire che Meta stia cercando di proporre un’alternativa valida agli NFT, che sono stati considerati in crisi da molti. Tuttavia, la decisione è sorprendente poiché Mark Zuckerberg aveva presentato gli NFT come un elemento utile allo sviluppo del metaverso. Meta ha già chiuso altri progetti ambiziosi come il portafoglio di criptovalute Novi, il programma di bonus per i creator di Reels e la divisione “Reality Labs”. La società sembra essersi lanciata in progetti troppo ambiziosi che ora non riesce a seguire come vorrebbe, e l’eccessiva ambizione del CEO sta cominciando a farsi sentire sull’attività di Meta.
Altri 10.000 licenziamenti per far volare il titolo in borsa
Mark ha annunciato la decisione di licenziare altri 10.000 dipendenti su un organico di poco meno di 80.000 persone. L’azienda ha dichiarato che questo è necessario per ridurre i costi e aumentare la distribuzione di risorse agli azionisti. La società di Mark Zuckerberg ha affermato che nei prossimi mesi annuncerà un piano di ristrutturazione, cancellando i progetti a bassa priorità e riducendo il tasso delle assunzioni. Zuckerberg ha descritto la decisione come difficile ma necessaria per il successo dell’azienda, aggiungendo che verranno chiuse anche altre 5.000 posizioni aperte. Questa non è la prima volta che l’azienda licenzia dipendenti, infatti, lo scorso novembre ne aveva già licenziati 11.000. Lo scorso febbraio, la società ha annunciato anche un piano di riacquisto di azioni proprie da 40 miliardi di dollari per aumentare il valore delle azioni a beneficio dei soci e dei manager.
-
L'Altra Bolla3 settimane fa
TikTok sul banco degli imputati: sicurezza o ennesima sanzione alla Cina?
-
Editoriali3 settimane fa
L’intelligenza artificiale al servizio dell’umanità? E’ già un falso storico
-
Inchieste3 settimane fa
Google e ACN finanziano progetti contro la disinformazione con politici e disinformatori
-
Inchieste2 settimane fa
ACN copia e incolla da Accenture il Piano Strategico Nazionale di Cybersicurezza?
-
L'Altra Bolla3 settimane fa
FBI va oltre la scienza: Covid ha avuto origine in laboratorio. Perchè fa paura?
-
Editoriali2 settimane fa
Baldoni: dimissioni da ACN. Spiazzato lo storytelling della propaganda cyber
-
L'Altra Bolla2 settimane fa
Polizia di Kiev scopre 160 comunità Telegram degli estremisti PMC Redan
-
Editoriali2 settimane fa
Fedez è l’opposto della Cultura Digitale che serve al paese