Inchieste
Russia e Sud Est Asiatico: come Reaper ha spiato i nemici nella Corea del Nord

Reaper (noto anche come APT37 o ScarCruft) è un attore APT sponsorizzato dalla Corea del Nord ed è noto per prendere di mira i disertori nordcoreani, i giornalisti che coprono le notizie relative l’impero di Kim Jong Un e le organizzazioni governative relative alla penisola coreana, tra gli altri. Nel 2021 un host compromesso da ScarCruft è stato infettato dal malware PowerShell e sono emerse le prove che l’attore aveva già rubato i dati dalla vittima e sorvegliandola per diversi mesi. L’attore ha anche tentato di inviare e-mail di spear-phishing ai soci della vittima che lavorano in aziende legate alla Corea del Nord, utilizzando credenziali di accesso rubate.
Sulla base dei risultati della macchina compromessa, è stato scoperto un ulteriore malware, in tutto tre tipi, con funzionalità simili: versioni implementate in PowerShell, eseguibili Windows e applicazioni Android. Anche se destinati a piattaforme diverse, condividevano uno schema di comando e controllo simile basato sulla comunicazione HTTP. Pertanto, gli operatori del malware potevano controllare l’intera famiglia di software malevoli attraverso un set di script di comando e controllo.
Reaper controllava il malware utilizzando uno script PHP sul server web compromesso e controllava gli impianti in base ai parametri HTTP. Sulla base dei logs acquisiti dai server compromessi sono state identificate ulteriori vittime in Corea del Sud e server web compromessi che sono stati utilizzati da Reaper dall’inizio del 2021 con annesse varianti più vecchie del malware, consegnate tramite documenti HWP risalenti alla metà del 2020.
Prima di effettuare lo spear-phishing su una potenziale vittima per poi inviare un documento dannoso, l’attore ha contattato il bersaglio utilizzando l’account Facebook rubato ad un suo conoscente, essendo già che informato il potenziale obiettivo gestiva un’attività legata alla Corea del Nord e ha chiesto informazioni sul suo stato attuale. Dopo una conversazione sui social media, l’attore ha inviato un’email di spear-phishing alla potenziale vittima utilizzando un account email rubato.
L’attore ha sfruttato i suoi attacchi utilizzando credenziali di accesso rubate, come Facebook e account di posta elettronica personali, e quindi ha mostrato un alto livello di sofisticazione.
Dopo una conversazione su Facebook, il potenziale bersaglio ha ricevuto un’email di spear-phishing dall’attore contenente un archivio RAR protetto da una password mostrata nel corpo dell’email con all’interno un documento Word dannoso.
In questa campagna, l’attore si è affidato esclusivamente a server web compromessi, per lo più situati in Corea del Sud. Durante questa ricerca un lavoro congiunto con il CERT coreano si è riusciti ad abbattere l’infrastruttura dell’attaccante ottenendo la possibilità di esaminare uno degli script sui server C2 che controllano il malware Chinotto. Lo script C2 (chiamato “do.php“) utilizzava diversi file predefiniti per salvare lo stato del client (shakest) e i comandi (comcmd). Inoltre, analizzava diversi parametri (id, tipo, direzione, dati) forniti dalla richiesta HTTP dell’impianto.
Le vittime predestinate erano disertori della Corea del Nord e analizzando l’infrastruttura dell’attaccante, sono state trovate 75 connessioni client tra gennaio 2021 e febbraio 2021. La maggior parte degli indirizzi IP sembrano essere connessioni Tor o VPN, che probabilmente provengono dai ricercatori o dagli operatori del malware. Analizzando altri server C2, abbiamo trovato più informazioni su possibili vittime aggiuntive e tutte provenivano dalla Corea del Sud.
Molti giornalisti, disertori e attivisti dei diritti umani sono da sempre obiettivi di sofisticati attacchi informatici di natura statale. A differenza delle aziende, questi obiettivi in genere non hanno strumenti sufficienti per proteggersi e rispondere agli attacchi di sorveglianza altamente qualificati e nella prosecuzione delle indagini sono poi emerse ulteriori varianti Android dello stesso malware, che è stato inestimabile nella comprensione e nel tracciamento del TTP di Reaper. Inoltre, durante la ricerca di attività correlate, sono state scoperte una serie di attività più vecchie che risalgono alla metà del 2020, indicando che le operazioni dell’apt nordcoreano contro questo gruppo di individui sono state operative per un periodo di tempo più lungo.
Alla fine di luglio 2021, è stata identificata una campagna di spear phishing in corso che promuoveva Konni Rat con il fine di colpire la Russia. Konni è stato osservato per la prima volta nel 2014 ed è stato potenzialmente collegato ai nordcoreani dell’APT37 conosciuti anche come Reaper.
Sono stati scoperti due documenti scritti in lingua russa e muniti della stessa macro dannosa. Una delle esche riguardava il commercio e le questioni economiche tra la Russia e la penisola coreana. L’altro riguardava una riunione della commissione intergovernativa russo-mongola.
Questi documenti malevoli utilizzati da Konni APT sono stati dotati con la stessa semplice ma intelligente macro che utilizzava funzione Shell per eseguire un comando cmd one-liner cheprendeva il documento attivo corrente come input e cercava la stringa “^var” usando findstr per poi scrivere il contenuto della linea che fissa da “var” in y.js. Alla fine chiamava la funzione Wscript Shell per eseguire il file Java Script (y.js).
La parte intelligente è che l’attore ha cercato di nascondere il suo JS dannoso e non l’ha messo direttamente nella macro per evitare di essere rilevato dai prodotti Antivirus e per nascondere l’intento principale. Questo javascript cercava due pattern codificati all’interno del documento attivo e per ogni pattern dapprima scriveva il contenuto a partire dal pattern nel file temp.txt e poi lo decodificava in base 64 usando la sua funzione integrata di decodifica base64, la funzione de(input), e infine scriveva il contenuto decodificato nell’output definito.
yy.js era usato per memorizzare i dati del primo contenuto decodificato e y.ps1 era usato per memorizzare i dati del secondo contenuto decodificato. Dopo aver creato i file di output, venivano eseguiti usando Wscript e Powershell.
Questo era il payload finale che è stato distribuito come servizio usando svchost.exe. Questo Rat era pesantemente offuscato e stava usando molteplici tecniche anti-analisi grazie alla sua sezione personalizzata chiamata “qwdfr0” che aveva il compito di eseguire tutto il processo di de-obfuscazione. Questo payload si registrava come servizio usando la sua funzione di esportazione ServiceMain.
La sua funzionalità non era cambiata molto ed era simile alla sua versione precedente. Sembra infatti che l’attore abbia semplicemente usato un pesante processo di offuscamento per ostacolare tutti i meccanismi di sicurezza. Il rilevamento di VirusTotal di questo campione al momento dell’analisi era 3, il che indicava le capacità dell’APT nell’offuscamento e nel bypassare la maggior parte dei prodotti antivirus.
Questo RAT aveva un file di configurazione criptato “xmlprov.ini” con la funzionalità di raccogliere informazioni dalla macchina della vittima eseguendo i seguenti comandi:
cmd /c systeminfo: Utilizza questo comando per raccogliere informazioni dettagliate sulla configurazione della macchina della vittima, comprese le configurazioni del sistema operativo, le informazioni sulla sicurezza e i dati hardware (dimensioni della RAM, spazio su disco e informazioni sulle schede di rete) e memorizza i dati raccolti in un file tmp.
cmd /c tasklist: Esegue questo comando per raccogliere un elenco di processi in esecuzione sulla macchina della vittima e memorizzarli in un file tmp.
Nella fase successiva ognuno dei file tmp raccolti viene convertito in un file cab utilizzando cmd /c makecab e poi criptato e inviato al server dell’attaccante in una richiesta HTTP POST (http://taketodjnfnei898.c1.biz/up.php?name=%UserName%).
Konni è un Rat che potenzialmente utilizzato da APT37-REAPER per colpire le sue vittime che principalmente sono organizzazioni politiche in Russia e Corea del Sud, ma non si limita a questi paesi ed è stato osservato che ha preso di mira il Giappone, il Vietnam, il Nepal e la Mongolia.
Ecco le principali differenze tra questa nuova campagna e quelle precedenti, tra cui l’operazione ScarCruft osservata in precedenza:
- Le macro sono diverse. Nella vecchia campagna l’attore usava le TextBox per memorizzare i suoi dati, mentre nella nuova campagna il contenuto è stato codificato in base64 all’interno del contenuto del documento.
- Nella nuova campagna sono stati usati file JavaScript per eseguire file batch e PowerShell.
- La nuova campagna usa Powershell e chiamate API URLMON per scaricare il file cab mentre nella vecchia campagna usava certutil per scaricare il file cab.
- La nuova campagna ha usato due diverse tecniche di bypass dell’UAC basate sul sistema operativo della vittima, mentre nella vecchia campagna l’attore usava solo la tecnica Token Impersonation.
- Nella nuova campagna l’attore ha sviluppato una nuova variante di Konni RAT che è pesantemente offuscata. Inoltre, la sua configurazione è criptata e non è più codificata in base64. Inoltre non utilizza l’FTP per l’esfiltrazione.
Verso la fine dell’anno gli hacker nordcoreani hanno preso di mira i diplomatici russi usando gli auguri di Capodanno e sono stati effettuati almeno dal 20 dicembre.
“Nei messaggi di posta elettronica hanno usato la festa di Capodanno 2022 come tema esca”, secondo i ricercatori di Cluster25.
Contrariamente alle sue azioni passate, il gruppo APT nordcoreano questa volta non ha usato documenti dannosi come allegati; invece, hanno allegato un tipo di file .zip chiamato ‘поздравление.zip‘, che significa ‘congratulazioni’ in russo, contenente un eseguibile incorporato che rappresenta la prima fase dell’infezione”.
Secondo il gruppo Cluster25, che l’ha scoperto, i file ZIP contenevano un file screensaver (.scr) di Windows che, quando eseguito, installava uno screensaver con gli auguri per le vacanze russe, ma anche il trojan di accesso remoto (RAT) Konni, il malware da cui il gruppo ha preso il nome, e che garantiva all’attaccante il pieno controllo sui sistemi infetti.
Cluster25 ha detto di aver rilevato solo le e-mail inviate all’ambasciata russa in Indonesia, ma l’attacco molto probabilmente ha preso di mira anche altre ambasciate ed ha spiegato che Reaper, con il fine di sembrare più autentico possibile, ha detto che le e-mail sono state anche spoofate utilizzando un account @mid.ru come mittente per fingere che l’e-mail provenisse dall’ambasciata russa in Serbia.
La società di sicurezza ha sostenuto di aver monitorato i recenti attacchi Konni rivolti ai diplomatici russi almeno dall’agosto 2021, come parte di una serie di attacchi rilevati e dettagliati da Malwarebytes l’anno precedente. Tutto sommato, gli attacchi che utilizzano i file screensaver di Windows sono stati pesantemente abusati dalle operazioni di malware nei primi anni 2000 e potrebbero sembrare troppo semplicistici per funzionare, ma la realtà è che gli utenti non tecnici cadono ancora per questa tecnica, come accaduto precedentemente con i creatori di NFT.
Inchieste
ACN finalista su LinkedIn: spegnetegli i social

“A pensar male ci si azzecca” diceva qualcuno di molto importante nella storia del nostro Paese.
L’Agenzia della Cybersicurezza Nazionale ha venduto sui social un grande successo che in realtà ha confermato una grande parte delle critiche mosse al suo ufficio di comunicazione da molti esperti informatici del Paese. Molta fuffa, molta politica, tantissima comunicazione e grande autoreferenzialità all’interno dei social network, ma pochissima sostanza.
Durante un periodo in cui l’ente è finito in un turbine di polemiche in seguito ad attacchi informatici da ogni dove, tra l’altro che hanno interessato più volte gli stessi obiettivi, c’è chi sui social ha pensato di vendersi l’essere rientrata tra i finalisti in un contest organizzato da LinkedIn.
Sì, proprio quella piattaforma utilizzata dall’Agenzia per una comunicazione “uno a molti” dove dipendenti dello Stato hanno più volte dato patenti di ignoranza ad esperti informatici che hanno dimostrato di aver svolto il ruolo delle “cassandre” e li ha offesi o addirittura minacciati via mail quando è stato segnalato un bug al CSIRT. LinkedIn, di proprietà della Microsoft che ha stipulato con l’ex direttore Baldoni un accordo per formare 100.000 esperti informatici nei prossimi anni a botte di certificazioni Microsoft, ha inserito tra i finalisti l’ACN per aver speso speso più tempo sul social network a dirsi di essere “bella e brava” ed “innovativa” senza però risolvere concretamente i problemi del paese per i quali è stata costituita.
Speriamo vinca il premio finale, altrimenti oltre ad aver messo in cattiva luce le proprie capacità pratiche, la beffa di non portare a casa la “mucca Carolina” sarebbe il colpo finale ad un’attività di comunicazione per un ente totalmente tecnico che dovrebbe spegnere i social ed occuparsi della sicurezza cibernetica in Italia.
Inchieste
Sanremo multato per il conflitto di interessi della Ferragni con Meta
Tempo di lettura: 3 minuti. Un mese a contestare i giornalisti, per aver fornito una lettura sul modo di fare affari dell’influencer, per poi ritornare a seguirne le televendite sugli organi di informazione

“Perché ce l’avete con la Ferragni?”
“Siete invidiosi per il solo fatto che lei ce l’ha fatta?”
Queste sono alcune delle opposizioni, alcune argomentate da offese, che sono giunte alla redazione per aver mostrato giornalisticamente il conflitto di interessi di Chiara Ferragni al festival di Sanremo.
L’influencer digitale, ha rinunciato al suo cachet da 50.000 € ed è stata acclamata dal grande pubblico per questa iniziativa che in realtà si è dimostrata un atto dovuto per consentire al circo Ferragnez di incamerare indisturbato maggiori introiti al Festival dando visibilità alle aziende che hanno imposto non solo una linea commerciale, bensì anche una ideologica.
Molte persone, abituate a seguire la coppia dalla mattina alla sera nelle proprie attività commerciali che vengono spacciate come contenuti giornalistici dalle testate, anche quelle più prestigiose, che si occupano anche di gossip e di spettacolo, non sono riuscite a comprendere che le denunce giornalistiche hanno riguardato una promozione “gratuita” di Instagram all’interno del festival più importante in termini di visibilità d’Italia, dimostratosi un’operazione subdola e scorretta secondo i regolamenti in vigore nella giustizia civile. Non è un caso infatti che gli autori del Festival di Sanremo hanno dapprima impostato la difesa su due livelli temporanei non riuscendo a convincere il collegio giudicante dell’AGCom. In primo luogo hanno detto che era una gag improvvisata tra l’autrice, nonché imprenditrice chiamata sul palco dell’Ariston grazie al successo ottenuto su Instagram e gli autori del format televisivo si sono detti all’oscuro compreso il conduttore e direttore artistico Amadeus. La verità ci ha messo poco a venire a galla e si è scoperto che l’evento Instagram fosse presente in scaletta e quindi nessun effetto sorpresa se non perché venduto come tale ai telespettatori della prima serata.
Successivamente, in seguito ad una scansione dei contratti pubblicitari, dove non è chiaro se fossero presenti accordi con Meta o se ci sia stata una pubblicità occulta fatta dalla Ferragni in combutta con gli organizzatori e responsabili del festival di Sanremo. Indipendentemente dalla presenza o meno di contratti, non è stato esplicato in quel momento che ci fosse un riferimento pubblicitario dovuto sia nell’uno che nell’altro caso.
In sintesi, il problema non è che Matrice Digitale o altri quotidiani sono stati invidiosi del successo della Ferragni e nemmeno che hanno “puntato”, giornalisticamente parlando, il personaggio, ma è chiaro che i dubbi sollevati contro l’influencer non solo erano motivati, ma evidenzia l’esistenza di un giornalismo che ad oggi non riesce a far comprendere la differenza tra un contenuto patinato di interesse frivolo rispetto a quello che invece rappresenta il giornalismo di informazione pura scevra da inserimenti commerciali e da pubblicità occulte.
Non riesce a mostrare oppure non può per preservare gli introiti pubblicitari a tema sui propri canali di informazione e che pagano più per contenuti simili?
Sarebbe forse il caso di rivedere il modello degli analfabeti funzionali del nostro paese, molti dei quali non hanno compreso che se hai successo nella vita dovresti dare l’esempio, soprattutto se ti vesti da rappresentante del femminismo, e invece ritengono che ci siano anche le possibilità di ottenere dei lasciapassare rispetto agli altri poveri umani che non ce l’hanno fatta e che se lo fanno notare sono automaticamente invidiosi secondo la massa che supporta il modello social. L’Autorità Garante nelle Comunicazioni ha multato il Festival di Sanremo per la pubblicità occulta, una manna dal cielo per chi è ben consapevole che Meta viene spesso trattata con i guanti di seta dal Garante Privacy che mostra sempre una linea di collaborazione, invertendo il ruolo istituzionale con quello aziendale, nonostante i cittadini italiani ed europei siano stati vittime più volte degli attacchi informatici che hanno ne hanno messo in rete i dati personali e sensibili.
Inchieste
Zuckerberg licenzia altri 10.000 dipendenti, abbandona NFT e Metaverso, e copia Telegram
Tempo di lettura: 2 minuti. Poche idee e troppi progetti ma la società ha perso credibilità nei confronti dei suoi utenti

È ufficiale, Instagram sta copiando un altro concorrente. Il CEO di Meta, Mark Zuckerberg, ha annunciato il mese scorso una nuova funzionalità su Instagram – i Canali. Questo nuovo servizio di chat consente ai creatori di condividere messaggi, sondaggi e foto con i follower al fine di stabilire una relazione più diretta con loro, simile alla funzione canali su Telegram.
Zuckerberg ha introdotto la nuova funzionalità aprendo il proprio canale, dove intende continuare a condividere aggiornamenti riguardanti Meta. Zuckerberg ha anche dichiarato che il servizio di chat arriverà su Facebook Messenger nei prossimi mesi. In seguito, verrà aggiunta anche la possibilità di aggiungere un altro creatore di contenuti al canale e aprire una sezione di domande e risposte (AMA, chiedimi qualunque cosa). Nel frattempo, Instagram sta attualmente testando i canali con alcuni creatori selezionati negli Stati Uniti, con l’intenzione di espandere la release della funzionalità nei prossimi mesi.
Questa nuova funzionalità offre anche ai creatori un nuovo modo per aggiornare i loro follower. Fino ad ora, i creatori di contenuti dovevano aggiornare le loro storie su Instagram per condividere notizie e aggiornamenti con i loro follower. Ma ora possono utilizzare un modo più diretto per connettersi con loro. Coloro che si uniscono ai canali possono votare nei sondaggi ma non possono partecipare alla conversazione.
Crisi NFT. Questo ed altri buoni propositi nel cestino di Meta
Meta, la società madre di Facebook e Instagram, ha deciso di rimuovere il supporto agli NFT (non-fungible token), oggetti da collezione digitali, meno di un anno dopo il loro lancio ufficiale sui due social network. La decisione è stata presa per concentrarsi su altri modi per supportare creator, persone e aziende. La compagnia sta già lavorando su nuove funzionalità come la messaggistica e le operazioni di monetizzazione per Reels e sta investendo in strumenti fintech come Meta Pay e i pagamenti tramite messaggistica su Meta. Questa decisione sembra suggerire che Meta stia cercando di proporre un’alternativa valida agli NFT, che sono stati considerati in crisi da molti. Tuttavia, la decisione è sorprendente poiché Mark Zuckerberg aveva presentato gli NFT come un elemento utile allo sviluppo del metaverso. Meta ha già chiuso altri progetti ambiziosi come il portafoglio di criptovalute Novi, il programma di bonus per i creator di Reels e la divisione “Reality Labs”. La società sembra essersi lanciata in progetti troppo ambiziosi che ora non riesce a seguire come vorrebbe, e l’eccessiva ambizione del CEO sta cominciando a farsi sentire sull’attività di Meta.
Altri 10.000 licenziamenti per far volare il titolo in borsa
Mark ha annunciato la decisione di licenziare altri 10.000 dipendenti su un organico di poco meno di 80.000 persone. L’azienda ha dichiarato che questo è necessario per ridurre i costi e aumentare la distribuzione di risorse agli azionisti. La società di Mark Zuckerberg ha affermato che nei prossimi mesi annuncerà un piano di ristrutturazione, cancellando i progetti a bassa priorità e riducendo il tasso delle assunzioni. Zuckerberg ha descritto la decisione come difficile ma necessaria per il successo dell’azienda, aggiungendo che verranno chiuse anche altre 5.000 posizioni aperte. Questa non è la prima volta che l’azienda licenzia dipendenti, infatti, lo scorso novembre ne aveva già licenziati 11.000. Lo scorso febbraio, la società ha annunciato anche un piano di riacquisto di azioni proprie da 40 miliardi di dollari per aumentare il valore delle azioni a beneficio dei soci e dei manager.
-
L'Altra Bolla3 settimane fa
TikTok sul banco degli imputati: sicurezza o ennesima sanzione alla Cina?
-
Editoriali3 settimane fa
L’intelligenza artificiale al servizio dell’umanità? E’ già un falso storico
-
Inchieste3 settimane fa
Google e ACN finanziano progetti contro la disinformazione con politici e disinformatori
-
Inchieste2 settimane fa
ACN copia e incolla da Accenture il Piano Strategico Nazionale di Cybersicurezza?
-
L'Altra Bolla3 settimane fa
FBI va oltre la scienza: Covid ha avuto origine in laboratorio. Perchè fa paura?
-
Editoriali2 settimane fa
Baldoni: dimissioni da ACN. Spiazzato lo storytelling della propaganda cyber
-
L'Altra Bolla2 settimane fa
Polizia di Kiev scopre 160 comunità Telegram degli estremisti PMC Redan
-
Editoriali2 settimane fa
Fedez è l’opposto della Cultura Digitale che serve al paese