Connect with us

Inchieste

Reaper,2019-2020, l’APT della Nord Corea esperto di RAT, Spear phishing e macro di Office dannose

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 5 minuti.

Dopo aver affrontato la storia di Reaper dagli inizi fino al 2018, giungiamo nel 2019 e precisamente tra Luglio e Ottobre 2019, quando l’Unit 42 ha osservato diverse famiglie di malware tipicamente associate al gruppo Konni utilizzate per colpire principalmente un’agenzia governativa degli Stati Uniti facendo leva sui problemi di relazioni geopolitiche in corso riguardanti la Corea del Nord. Lo scopo era quello di attirare gli obiettivi ad aprire allegati di e-mail dannose. Le famiglie di malware utilizzate in questa campagna consistevano principalmente in documenti dannosi con downloader CARROTBAT con payload SYSCON, ma includevano anche un nuovo downloader malware che Unit 42 ha soprannominato CARROTBALL.

CARROTBALL, inizialmente scoperto in un attacco nel mese di ottobre 2019, è una semplice utilità di downloader FTP che facilita l’installazione di SYSCON, un trojan (RAT) ad accesso remoto completo che sfrutta l’FTP per il comando e il controllo (C2). È stato trovato incorporato in un documento Word maligno inviato come esca di phishing a un’agenzia governativa statunitense e a due cittadini stranieri non statunitensi associati professionalmente alla Corea del Nord.

Nel corso della campagna, Unit 42 ha infine osservato un totale di sei esche di documenti dannosi inviati come allegati da quattro indirizzi e-mail russi a 10 obiettivi. L’oggetto delle esche presentava articoli scritti in russo relativi a questioni di relazioni geopolitiche in corso riguardanti la Corea del Nord. Di questi documenti dannosi, cinque contenevano downloader CARROTBAT e uno conteneva un downloader CARROTBALL. Tutti i payloads maligni del secondo stadio erano SYSCON.

Questa campagna ha dimostrato una certa evoluzione nelle tattiche, tecniche e procedure (TTP) dell’attore con l’uso di una nuova famiglia di downloader e un nuovo codice dannoso sotto forma di macro di documenti Word, la maggior parte dei suoi attributi ha una forte somiglianza con la campagna Fractured Block precedentemente riportata da Unit 42 nel novembre 2018. Come tale, Unit 42 ha soprannominato questa campagna Fractured Statue.

ESRC (ESTsecurity Security Response Center) ha scoperto l’attacco APT mobile furtivo, dove APT37 ha anche distribuito un’app dannosa (APK) attraverso il sito mascherato come un servizio di raccolta fondi per sostenere i disertori nordcoreani. Il sito web è stato sviluppato costruito su piattaforma WordPress ed il dominio è stato creato il 23 agosto 2019 per poi essere aggiornato il 22 ottobre quando al portale è stato associato un link di installazione dell’app Android (Google Play).

La trappola virtuale mascherata da sito di beneficenza ingannava i disertori nordcoreani e le organizzazioni legate alla Corea del Nord a installare le applicazioni utilizzando la promozione di strategie in molte forme diverse.

Gli smartphone “zombi“, sfruttati dall’operazione cibernetica, sono poi emersi come una minaccia importante che non doveva essere trascurata visti i diversi tentativi registrati di rubare SMS e rubriche telefoniche, il potenziale spionaggio delle conversazioni telefoniche compresi i messaggi della nota piattaforma sud coreana KakaoTalk che apparivano nelle finestre di notifica. Vale anche la pena notare che celebrità piuttosto popolari sono state esposte a all’attacco APT ‘Dragon Messenger’.

L’ESRC ha chiamato l’operazione “Dragon Messenger” sulla base dei diversi fattori interessanti trovati nella campagna, come l’applicazione maligna che raccoglie i dati attraverso il percorso “DragonTask” e l’attacco eseguito travestito da messaggero sicuro.

Il 7 dicembre 2020 è stato identificato un documento dannoso ed è stato caricato su Virus Total che si presentava come una richiesta di incontro probabilmente usata per colpire il governo della Corea del Sud. La data della riunione menzionata nel documento era il 23 gennaio 2020 e si allineava con il tempo di compilazione del documento del 27 gennaio 2020, indicando che questo attacco ha avuto luogo quasi un anno fa.

Il file conteneva una macro incorporata che utilizzava una tecnica di auto decodifica VBA per decodificarsi all’interno degli spazi di memoria di Microsoft Office senza scrivere sul disco ed incorporando una variante del RokRat in Notepad.

Sulla base del payload utilizzato è tornato subito in mente Reaper e la campagna con suffisso “Fractured” che in passato era nota per colpire grazie alla manipolazione di documenti Hangul Office (file hwp): un software comunemente usato in Corea del Sud.

Come abbiamo visto, l’attore ha utilizzato il concetto di auto-decodifica VBA nella sua macro per la prima volta nel 2016.

Una macro dannosa è codificata all’interno di un’altra che viene poi decodificata ed eseguita dinamicamente.

Il principale vettore di infezione iniziale utilizzato da APT37 è lo spear phishing, in cui l’attore invia un e-mail a un obiettivo contenente un documento dannoso. Il caso analizzato era uno dei pochi in cui non hanno usato file Hwp (Hangul Office) come documenti phish e invece hanno usato documenti Microsoft Office armati con una macro di auto decodifica. Questa tecnica si è rivelata una scelta intelligente che bypassava diversi meccanismi di rilevamento statico e nascondeva l’intento principale di un documento dannoso. Il payload finale utilizzato da questo attore di minacce era il già noto RAT personalizzato (RokRat) che il gruppo ha utilizzato in campagne precedenti. In passato, RokRat era stato iniettato in cmd.exe, mentre qui hanno scelto Notepad.exe.

I ricercatori dell’ESRC (ESTsecurity Security Response Center) hanno poi identificato una nuova campagna APT condotta dal gruppo sponsorizzato dallo stato chiamato ‘Geumseong121’, ma è sempre Reaper, all’inizio di marzo 2020. Un rapporto intitolato “The stealthy mobile APT attack carried out by Geumseong121 APT hacking group“, pubblicato nel novembre del 2019, rivelava che il gruppo ha tentato di eseguire attacchi informatici mirati a una vasta gamma di dispositivi tra cui computer e dispositivi mobili. In particolare, il gruppo si è infiltrato in un sito web non specificato e lo ha sfruttato come un server di controllo del comando (C2) nella campagna “Operation Dragon Messenger“. Inoltre, si è notata una certa evoluzione delle strategie di attacco nei server web, che sono stati costruiti dal gruppo utilizzando il suo design, per essere utilizzati nell’attacco appena scoperto. L’uso di tattiche di attacco basate sulla fiducia come Google Play Store o YouTube si distingue dalle strategie di attacco esistenti che sono state utilizzate dalla maggior parte degli attori delle minacce. La campagna APT ha utilizzato le tecniche avanzate di spear-phishing con il file esca contenente prove di disertori nordcoreani per ingannare i destinatari delle e-mail a credere di aver ricevuto una e-mail da una fonte affidabile. L’ESRC ha denominato la campagna APT d i Reaper “Operazione Spy Cloud” sulla base dell’uso di Google Drive e del servizio PickCloud.

Verso dicembre del 2019 l’APT37 è stato scoperto per aver manomesso un programma di messaggistica di investimenti in azioni private con il fine di condurre un attacco alla catena di approvvigionamento. Fino a poco tempo, l’organizzazione utilizzava principalmente attacchi di spear phishing.

Il 16 ottobre 2020 si è verificato un caso dove un programma di messaggistica è stato creato sotto forma di programma di installazione NSIS (Nullsoft Scriptable Install System).

NSIS è un sistema di installazione basato su script per Windows ed è uno strumento di creazione del programma di installazione fornito da Nullsoft, noto per la creazione di Winamp.

Sono stati due i tipi trovati questa volta e il comando ‘wmic.exe‘ si connetteva a un server FTP specifico e scarica file di comando aggiuntivi. I file aggiuntivi ricevuti vengono eseguiti in base al comando VBS e ‘OracleCache’, PackageUninstall‘ e ‘USODrive‘ venivano creati nella sottocartella %ProgramData%. Quindi, si connetteva al server ‘frog.smtper[.]co‘ ed eseguivano comandi aggiuntivi.

Il programma operativo qui utilizzato è ‘ usopub.vbs‘ creato nella cartella ‘OracleCache‘, che periodicamente tentava anche di connettersi all’indirizzo FTP tramite il comando wmic.

Quindi, l’attore della minaccia selezionava la persona infetta in base alle informazioni primarie raccolte e inviava uno strumento di controllo remoto (RAT) aggiuntivo. Inoltre, il server utilizzato dagli aggressori ha registrato il programma di invio email Leaf Smtper. ESRC ha anche trovato un file di documento dannoso utilizzando la stessa tecnica. Questo file manipolava lo schermo come se fosse un documento protetto e induceva gli utenti a fare clic sul pulsante [Usa contenuto] e se ciò avveniva la comunicazione veniva eseguita al server FTP (search.greenulz[.]com) designato dall’attore della minaccia tramite lo stesso comando wmic os get incluso all’interno.

L’ESRC ha rivelato a suo tempo che Reaper ha utilizzato la tecnica “XSL Script Processing” per attacchi di nicchia e non solo negli attacchi di spear phishing dannosi basati su documenti, ma anche negli attacchi alla catena di approvvigionamento che in questo caso erano rivolti agli investitori in azioni con il fine di ottenere rendimenti finanziari.

Iscriviti alla newsletter settimanale di Matrice Digitale

* inserimento obbligatorio

Inchieste

ACN finalista su LinkedIn: spegnetegli i social

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: < 1 minuto.

“A pensar male ci si azzecca” diceva qualcuno di molto importante nella storia del nostro Paese.

L’Agenzia della Cybersicurezza Nazionale ha venduto sui social un grande successo che in realtà ha confermato una grande parte delle critiche mosse al suo ufficio di comunicazione da molti esperti informatici del Paese. Molta fuffa, molta politica, tantissima comunicazione e grande autoreferenzialità all’interno dei social network, ma pochissima sostanza.

Durante un periodo in cui l’ente è finito in un turbine di polemiche in seguito ad attacchi informatici da ogni dove, tra l’altro che hanno interessato più volte gli stessi obiettivi, c’è chi sui social ha pensato di vendersi l’essere rientrata tra i finalisti in un contest organizzato da LinkedIn.

Sì, proprio quella piattaforma utilizzata dall’Agenzia per una comunicazione “uno a molti” dove dipendenti dello Stato hanno più volte dato patenti di ignoranza ad esperti informatici che hanno dimostrato di aver svolto il ruolo delle “cassandre” e li ha offesi o addirittura minacciati via mail quando è stato segnalato un bug al CSIRT. LinkedIn, di proprietà della Microsoft che ha stipulato con l’ex direttore Baldoni un accordo per formare 100.000 esperti informatici nei prossimi anni a botte di certificazioni Microsoft, ha inserito tra i finalisti l’ACN per aver speso speso più tempo sul social network a dirsi di essere “bella e brava” ed “innovativa” senza però risolvere concretamente i problemi del paese per i quali è stata costituita.

Speriamo vinca il premio finale, altrimenti oltre ad aver messo in cattiva luce le proprie capacità pratiche, la beffa di non portare a casa la “mucca Carolina” sarebbe il colpo finale ad un’attività di comunicazione per un ente totalmente tecnico che dovrebbe spegnere i social ed occuparsi della sicurezza cibernetica in Italia.

Prosegui la lettura

Inchieste

Sanremo multato per il conflitto di interessi della Ferragni con Meta

Condividi questo contenuto

Tempo di lettura: 3 minuti. Un mese a contestare i giornalisti, per aver fornito una lettura sul modo di fare affari dell’influencer, per poi ritornare a seguirne le televendite sugli organi di informazione

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 3 minuti.

“Perché ce l’avete con la Ferragni?”

“Siete invidiosi per il solo fatto che lei ce l’ha fatta?”

Queste sono alcune delle opposizioni, alcune argomentate da offese, che sono giunte alla redazione per aver mostrato giornalisticamente il conflitto di interessi di Chiara Ferragni al festival di Sanremo.

L’influencer digitale, ha rinunciato al suo cachet da 50.000 € ed è stata acclamata dal grande pubblico per questa iniziativa che in realtà si è dimostrata un atto dovuto per consentire al circo Ferragnez di incamerare indisturbato maggiori introiti al Festival dando visibilità alle aziende che hanno imposto non solo una linea commerciale, bensì anche una ideologica.

Molte persone, abituate a seguire la coppia dalla mattina alla sera nelle proprie attività commerciali che vengono spacciate come contenuti giornalistici dalle testate, anche quelle più prestigiose, che si occupano anche di gossip e di spettacolo, non sono riuscite a comprendere che le denunce giornalistiche hanno riguardato una promozione “gratuita” di Instagram all’interno del festival più importante in termini di visibilità d’Italia, dimostratosi un’operazione subdola e scorretta secondo i regolamenti in vigore nella giustizia civile. Non è un caso infatti che gli autori del Festival di Sanremo hanno dapprima impostato la difesa su due livelli temporanei non riuscendo a convincere il collegio giudicante dell’AGCom. In primo luogo hanno detto che era una gag improvvisata tra l’autrice, nonché imprenditrice chiamata sul palco dell’Ariston grazie al successo ottenuto su Instagram e gli autori del format televisivo si sono detti all’oscuro compreso il conduttore e direttore artistico Amadeus. La verità ci ha messo poco a venire a galla e si è scoperto che l’evento Instagram fosse presente in scaletta e quindi nessun effetto sorpresa se non perché venduto come tale ai telespettatori della prima serata.

Successivamente, in seguito ad una scansione dei contratti pubblicitari, dove non è chiaro se fossero presenti accordi con Meta o se ci sia stata una pubblicità occulta fatta dalla Ferragni in combutta con gli organizzatori e responsabili del festival di Sanremo. Indipendentemente dalla presenza o meno di contratti, non è stato esplicato in quel momento che ci fosse un riferimento pubblicitario dovuto sia nell’uno che nell’altro caso.

In sintesi, il problema non è che Matrice Digitale o altri quotidiani sono stati invidiosi del successo della Ferragni e nemmeno che hanno “puntato”, giornalisticamente parlando, il personaggio, ma è chiaro che i dubbi sollevati contro l’influencer non solo erano motivati, ma evidenzia l’esistenza di un giornalismo che ad oggi non riesce a far comprendere la differenza tra un contenuto patinato di interesse frivolo rispetto a quello che invece rappresenta il giornalismo di informazione pura scevra da inserimenti commerciali e da pubblicità occulte.

Non riesce a mostrare oppure non può per preservare gli introiti pubblicitari a tema sui propri canali di informazione e che pagano più per contenuti simili?

Sarebbe forse il caso di rivedere il modello degli analfabeti funzionali del nostro paese, molti dei quali non hanno compreso che se hai successo nella vita dovresti dare l’esempio, soprattutto se ti vesti da rappresentante del femminismo, e invece ritengono che ci siano anche le possibilità di ottenere dei lasciapassare rispetto agli altri poveri umani che non ce l’hanno fatta e che se lo fanno notare sono automaticamente invidiosi secondo la massa che supporta il modello social. L’Autorità Garante nelle Comunicazioni ha multato il Festival di Sanremo per la pubblicità occulta, una manna dal cielo per chi è ben consapevole che Meta viene spesso trattata con i guanti di seta dal Garante Privacy che mostra sempre una linea di collaborazione, invertendo il ruolo istituzionale con quello aziendale, nonostante i cittadini italiani ed europei siano stati vittime più volte degli attacchi informatici che hanno ne hanno messo in rete i dati personali e sensibili.

Prosegui la lettura

Inchieste

Zuckerberg licenzia altri 10.000 dipendenti, abbandona NFT e Metaverso, e copia Telegram

Condividi questo contenuto

Tempo di lettura: 2 minuti. Poche idee e troppi progetti ma la società ha perso credibilità nei confronti dei suoi utenti

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 2 minuti.

È ufficiale, Instagram sta copiando un altro concorrente. Il CEO di Meta, Mark Zuckerberg, ha annunciato il mese scorso una nuova funzionalità su Instagram – i Canali. Questo nuovo servizio di chat consente ai creatori di condividere messaggi, sondaggi e foto con i follower al fine di stabilire una relazione più diretta con loro, simile alla funzione canali su Telegram.

Zuckerberg ha introdotto la nuova funzionalità aprendo il proprio canale, dove intende continuare a condividere aggiornamenti riguardanti Meta. Zuckerberg ha anche dichiarato che il servizio di chat arriverà su Facebook Messenger nei prossimi mesi. In seguito, verrà aggiunta anche la possibilità di aggiungere un altro creatore di contenuti al canale e aprire una sezione di domande e risposte (AMA, chiedimi qualunque cosa). Nel frattempo, Instagram sta attualmente testando i canali con alcuni creatori selezionati negli Stati Uniti, con l’intenzione di espandere la release della funzionalità nei prossimi mesi.

Questa nuova funzionalità offre anche ai creatori un nuovo modo per aggiornare i loro follower. Fino ad ora, i creatori di contenuti dovevano aggiornare le loro storie su Instagram per condividere notizie e aggiornamenti con i loro follower. Ma ora possono utilizzare un modo più diretto per connettersi con loro. Coloro che si uniscono ai canali possono votare nei sondaggi ma non possono partecipare alla conversazione.

Crisi NFT. Questo ed altri buoni propositi nel cestino di Meta

Meta, la società madre di Facebook e Instagram, ha deciso di rimuovere il supporto agli NFT (non-fungible token), oggetti da collezione digitali, meno di un anno dopo il loro lancio ufficiale sui due social network. La decisione è stata presa per concentrarsi su altri modi per supportare creator, persone e aziende. La compagnia sta già lavorando su nuove funzionalità come la messaggistica e le operazioni di monetizzazione per Reels e sta investendo in strumenti fintech come Meta Pay e i pagamenti tramite messaggistica su Meta. Questa decisione sembra suggerire che Meta stia cercando di proporre un’alternativa valida agli NFT, che sono stati considerati in crisi da molti. Tuttavia, la decisione è sorprendente poiché Mark Zuckerberg aveva presentato gli NFT come un elemento utile allo sviluppo del metaverso. Meta ha già chiuso altri progetti ambiziosi come il portafoglio di criptovalute Novi, il programma di bonus per i creator di Reels e la divisione “Reality Labs”. La società sembra essersi lanciata in progetti troppo ambiziosi che ora non riesce a seguire come vorrebbe, e l’eccessiva ambizione del CEO sta cominciando a farsi sentire sull’attività di Meta.

Altri 10.000 licenziamenti per far volare il titolo in borsa

Mark ha annunciato la decisione di licenziare altri 10.000 dipendenti su un organico di poco meno di 80.000 persone. L’azienda ha dichiarato che questo è necessario per ridurre i costi e aumentare la distribuzione di risorse agli azionisti. La società di Mark Zuckerberg ha affermato che nei prossimi mesi annuncerà un piano di ristrutturazione, cancellando i progetti a bassa priorità e riducendo il tasso delle assunzioni. Zuckerberg ha descritto la decisione come difficile ma necessaria per il successo dell’azienda, aggiungendo che verranno chiuse anche altre 5.000 posizioni aperte. Questa non è la prima volta che l’azienda licenzia dipendenti, infatti, lo scorso novembre ne aveva già licenziati 11.000. Lo scorso febbraio, la società ha annunciato anche un piano di riacquisto di azioni proprie da 40 miliardi di dollari per aumentare il valore delle azioni a beneficio dei soci e dei manager.

Prosegui la lettura

Facebook

CYBERWARFARE

Notizie21 ore fa

Cremlino vieta iPhone a operatori coinvolti nella campagna elettorale di Putin nel 2024

Tempo di lettura: < 1 minuto. Condividi questo contenutoIl Cremlino ha imposto il divieto di utilizzo degli iPhone per i...

Notizie2 giorni fa

Gli hacker cinesi e russi usano il malware Silkloader per eludere il rilevamento

Tempo di lettura: < 1 minuto. Condividi questo contenutoLa regina canadese di QAnon, Romana Didulo, è stata etichettata come “falsa”...

Notizie2 giorni fa

NoName057 mette in palio 1 milione di rubli per chi partecipa ai DDoS

Tempo di lettura: < 1 minuto. Condividi questo contenuto Il gruppo di attivisti NoName057, conosciuto in Italia per essere stato...

Notizie5 giorni fa

Microsoft: Usa e Polonia i paesi più spiati dai russi

Tempo di lettura: < 1 minuto. Condividi questo contenutoSecondo un nuovo rapporto di intelligence di Microsoft, la Russia ha intensificato...

Notizie6 giorni fa

Microsoft: come sarà il secondo anno di guerra cibernetica

Tempo di lettura: 3 minuti. "La collaborazione tra settore pubblico e privato è essenziale per la difesa cibernetica e per...

Notizie2 settimane fa

Guerra cibernetica: il Pentagono non è pronto per la terza guerra mondiale

Tempo di lettura: < 1 minuto. Competere con la Cina per non essere sopraffatti

Notizie2 settimane fa

Cozy Bear ha attaccato la Commisione Europea: l’analisi dell’esperto

Tempo di lettura: < 1 minuto. Mentre il Cremlino sforna wiper dall'inizio del conflitto, una parte dell'esercito russo prova costantemente...

lazarus lazarus
Notizie2 settimane fa

Lazarus colpisce ancora AhnLab e la COrea del Sud

Tempo di lettura: < 1 minuto. Colpiti enti ed istituzioni

Notizie2 settimane fa

Defence Cyber Marvel 2: UK e Ucraina, maestri nella risposta cibernetica alla Russia

Tempo di lettura: 2 minuti. Condividi questo contenutoLa Royal Navy britannica e gli esperti di guerra cibernetica ucraini hanno combattuto...

Notizie2 settimane fa

Il Giappone ha bisogno di imparare da Israele nella guerra cibernetica?

Tempo di lettura: < 1 minuto. L'analisi di BlackBerry mostra i lati deboli di un paese circondato da Cina e...

Truffe recenti

Truffe online2 mesi fa

Truffa Facebook Little Flowers ai danni de La Repubblica: la matrice è cinese

Tempo di lettura: 3 minuti. Condividi questo contenuto In questi giorni abbiamo analizzato come attraverso Google Adwords è possibile veicolare...

Truffe online2 mesi fa

Truffa da 25.000 euro su Hiobit.com : la matrice è asiatica

Tempo di lettura: 2 minuti. Da Tinder ad un sito internet di trading, come un profilo asiatico è riuscito a...

Truffe online2 mesi fa

Pacco e contropaccotto: Vinted consente truffa “Morada” ai danni dei suoi venditori

Tempo di lettura: 2 minuti. Altro venditore di 500 euro, la società ha rimborsato il criminale a migliaia di km...

Truffe online2 mesi fa

Malware trasmesso da Google Ads prosciuga l’intero portafoglio di criptovalute di un influencer NFT

Tempo di lettura: 2 minuti. Un link pubblicitario sponsorizzato su Google ha nascosto un malware che ha travasato migliaia di...

Notizie3 mesi fa

“Entra nell’Interpol” la nuova truffa sui social media che spopola in Sud Africa

Tempo di lettura: 2 minuti. L'Organizzazione internazionale di polizia criminale (Interpol) ha lanciato un allarme su una truffa online che...

DeFi3 mesi fa

Scandalo FTX, i genitori di Sam Bankman Fried sono indagati: confermata l’inchiesta di Matrice Digitale

Tempo di lettura: 2 minuti. Avrebbero speso i fondi societari per acquisti personali e sono il collante con le "coperture"...

Truffe online4 mesi fa

Sospettati di uno schema Ponzi arrestati in Grecia e Italia ricercati da INTERPOL

Tempo di lettura: 2 minuti. INTERPOL ha lanciato l'IFCACC all'inizio di quest'anno, per fornire una risposta globale coordinata contro la...

Truffe online4 mesi fa

Truffa del Trust Wallet PayPal

Tempo di lettura: 2 minuti. Scoperta da Trend Micro, la truffa che sfrutta il brand di PayPal, può essere così...

Truffe online5 mesi fa

Sospetto arrestato in relazione a una frode di investimento da un milione di euro

Tempo di lettura: 2 minuti. L'azione ha portato l'Europol a rilasciare consigli in tal senso.

Truffe online6 mesi fa

I truffatori e i disonesti al telefono: è possibile fermarli?

Tempo di lettura: 4 minuti. I consigli di Sophos e l'invito di Matrice Digitale a segnalarli al nostro modello

Tendenza