Multilingua
Microsoft svela Actinium. L’APT che attacca l’Ucraina: ecco come

Microsoft ha recentemente annunciato che un gruppo di criminali cibernetici noto come Gamaredon sta creando una serie di email di spear-phishing.
E’ stato anche rilevato che gli operatori del gruppo ACTINIUM stanno prendendo di mira i seguenti settori ucraini per rubare dati sensibili:
- Governo
- Militare
- ONG
- Magistratura
- Applicazione della legge
Questo gruppo di minacce prende continuamente di mira le entità ucraine e tutte le altre organizzazioni che sono associate al paese attualmente in conflitto con la Russia. Gli attacchi sono iniziati da ottobre 2021 e dopo un’adeguata indagine, il Microsoft Threat Intelligence Centre ha anche osservato che questo gruppo di attacco è stato rintracciato come Armageddon e ACTINIUM.
Tuttavia, gli esperti di cybersicurezza hanno utilizzato diversi modi per rintracciare l’attacco durante un’indagine. Al fine di rintracciare questi attacchi, gli operatori hanno incorporato un pixel di tracciamento simile a quello del Web che ha incorniciato quali binari sono stati distribuiti in questo attacco e come risultato dall’analisi si è arrivati a citare:
- PowerPunch
- Pterodo
- Quietsieve
- Stager e scaricatori
Inoltre, per sostenere il payload staging e la sua infrastruttura C2, Microsoft ha identificato più di 25 domini unici e oltre 80 indirizzi IP unici che vengono utilizzati dagli operatori del gruppo di hacker ACTINIUM.
In questo attacco di cybersicurezza, i ricercatori hanno rilevato sei stagers e downloaders menzionato qui sotto:
- DinoTrain
- DilongTrash
- Obfuberry
- PowerPunch
- DessertDown
- Obfumerry
In gennaio SSU ha bloccato 120 cyberattacchi
Oltre a Microsoft, anche Palo Alto Networks Unit 42 ha rilevato il gruppo di attacco. Tuttavia, gli esperti di Palo hanno affermato di aver intercettato una negoziazione di un’entità governativa Ucraina il 19 gennaio 2022.
Il tutto è stato innescato dagli attori della minaccia attraverso un attacco di spear-phishing, in cui hanno spinto un downloader di malware.
Oltre a questo, gli analisti del team Threat Hunter di Symantec hanno anche notato il gruppo di minacce Gamaredon distribuire documenti word con macro negli attacchi di spear-phishing. A parte questo, ci sono alcuni avvisi di sicurezza che hanno identificato i seguenti attacchi:
- Esecuzione sospetta di script.
- Libreria di collegamento dinamico sospetta caricata.
- Attività sospetta di cattura dello schermo.
- Messa in scena di dati sensibili.
- Un processo anomalo sta eseguendo il comando codificato.
- Questo tipo di allarme di minaccia può essere innescato da attività di minaccia non correlata, ed è per questo che è molto necessario stare all’erta.
Microsoft Threat Intelligence Center ha anche dichiarato che “Gli attori della minaccia stanno prendendo di mira i militari, le organizzazioni non governative (ONG), la magistratura, le forze dell’ordine e le organizzazioni no-profit e lo scopo della minaccia è quello di esfiltrare tutte le informazioni sensibili per mantenere l’accesso in modo da poter dirottare il sistema e utilizzarlo secondo le loro esigenze”.
Multilingua
FakeCall: malware ritorna in Corea del Sud che rilancia la tecnica del Vishing

Il malware Android chiamato “FakeCalls” sta nuovamente circolando in Corea del Sud, cercando di ingannare i banchieri affinché rivelino i dettagli delle loro carte di credito. Il malware viene distribuito su false app bancarie che impersonano grandi istituzioni finanziarie in Corea, quindi le vittime pensano di utilizzare un’app legittima da un venditore affidabile. L’attacco inizia con l’app che offre al bersaglio un prestito con un tasso di interesse basso. Una volta che la vittima è interessata, il malware inizia una chiamata telefonica che riproduce una registrazione del vero servizio clienti della banca con istruzioni per approvare la richiesta di prestito. A un certo punto, la vittima viene ingannata a confermare i dettagli della propria carta di credito, suppostamente richiesti per ricevere il prestito, che vengono poi rubati dagli attaccanti.
Il malware FakeCalls ha usato più di 2500 campioni che hanno utilizzato una varietà di combinazioni di organizzazioni finanziarie simulate e tecniche anti-analisi implementate. Gli sviluppatori del malware hanno prestato particolare attenzione alla protezione del loro malware, utilizzando diverse elusioni uniche che non erano state viste in precedenza.
Le ultime versioni di FakeCalls incorporano tre nuove tecniche che lo aiutano ad eludere la rilevazione. La prima tecnica si chiama “multi-disk”, che implica la manipolazione dei dati dell’intestazione ZIP del file APK, impostando valori anormalmente alti per confondere gli strumenti di analisi automatica. La seconda tecnica di elusione comporta la manipolazione del file AndroidManifest.xml per rendere indistinguibile il marcatore di avvio, modificare la struttura delle stringhe e degli stili e manomettere l’offset dell’ultima stringa per causare un’interpretazione errata. Infine, il terzo metodo di elusione consiste nell’aggiungere molti file all’interno di directory nascoste all’interno della cartella degli asset dell’APK, creando nomi di file e percorsi che superano i 300 caratteri.
Il vishing è un problema costoso per i cittadini della Corea del Sud, come dimostrano le statistiche del governo sudcoreano, che indicano che nel solo 2020 le vittime hanno subito una perdita di 600 milioni di dollari, mentre tra il 2016 e il 2020 sono stati segnalati 170.000 casi di truffa. Sebbene FakeCalls sia rimasto confinato alla Corea del Sud, i suoi sviluppatori o affiliati potrebbero facilmente espandere le loro operazioni ad altre regioni se sviluppassero nuovi kit di lingua e sovrimpressioni di app per mirare a banche in diversi paesi. Con l’aumento dei modelli di discorso di apprendimento automatico che possono generare discorsi naturali e imitare le voci di persone reali, la minaccia del vishing è destinata ad aumentare nel prossimo futuro.
Multilingua
Sys01: la nuova minaccia social engineering che ruba i vostri dati social
Tempo di lettura: < 1 minuto. Lo riporta la società Morphisec

L’azienda di sicurezza informatica Morphisec ha rivelato i dettagli di un malware chiamato Sys01 Stealer, che ha come obiettivo gli account Facebook di importanti impiegati del governo. Il malware viene distribuito tramite annunci Google e falsi account Facebook che promuovono contenuti per adulti, giochi e software crackati. Una volta eseguito sulla macchina della vittima tramite DLL side-loading, il malware è in grado di estrarre informazioni sensibili come le credenziali, i cookie e i dati degli account pubblicitari e commerciali su Facebook. Il malware è in grado di rimanere indetettabile grazie all’uso di Rust, Python, PHP e PHP advanced encoders e, inoltre, utilizza una campagna di social engineering per attirare le vittime a cliccare su URL dannosi. Per prevenire Sys01 Stealer, Morphisec consiglia di implementare una politica di zero-trust e di limitare i diritti degli utenti nel download e nell’installazione di programmi. Inoltre, è importante formare gli utenti per riconoscere le tattiche di ingegneria sociale utilizzate dagli attaccanti.
Multilingua
Polonia, sindaco di Sopot spiato da Pegasus
Tempo di lettura: < 1 minuto. Il politico è di opposizione all’attuale Governo polacco

Il sindaco della città polacca di Sopot, Jacek Karnowski, sarebbe stato monitorato dai servizi di sicurezza del paese tramite il controverso spyware Pegasus. Karnowski, che si oppone al partito al governo, Law and Justice (PiS), avrebbe visto i suoi dispositivi accessi in quello che è l’ultimo scandalo di sorveglianza apparentemente portato avanti dai servizi di sicurezza polacchi su ordine del governo, il quale nega ogni responsabilità.
Secondo il quotidiano polacco Gazeta Wyborcza, i dettagli di Karnowski sono stati trovati in una lista di individui monitorati resa disponibile a diversi media. Sempre secondo il quotidiano, i dispositivi del sindaco sarebbero stati intercettati tra dieci e venti volte tra il 2018 e il 2019, quando lavorava per il partito di opposizione al Senato polacco, la camera alta del parlamento.
Karnowski, che attualmente guida una coalizione di sindaci polacchi che avrebbe intenzione di opporsi a PiS nelle prossime elezioni parlamentari, ha commentato le rivelazioni dichiarando: “Si tratta di una violazione della privacy e della dignità umana. Coloro che hanno monitorato i propri avversari politici dovrebbero essere portati davanti al Tribunale dello Stato.”
Il sindaco è uno dei molti politici legati all’opposizione del Partito di Piattaforma Civica che sarebbero stati spiati in vista delle precedenti elezioni del 2019. Tra loro figurano l’ex senatore dell’opposizione Kryzsztof Brejza, l’insolita procuratrice Ewa Wrosek e Roman Giertych, un avvocato che rappresentava i leader senior del partito di Brejza.
PiS ha costantemente negato ogni coinvolgimento, ma in seguito alle rivelazioni si è scoperto che la Polonia aveva acquistato Pegasus. L’uso non autorizzato del software, prodotto dalla NSO Group, da parte di regimi autoritari in tutto il mondo per spiare giornalisti, attivisti e oppositori, ha suscitato polemiche. Nel 2021, la NSO Group ha revocato il diritto di utilizzare Pegasus da parte del governo polacco.
-
Inchieste3 settimane fa
Allarme dal Giappone: ampia diffusione dei credit card sniffers
-
L'Altra Bolla3 settimane fa
TikTok sul banco degli imputati: sicurezza o ennesima sanzione alla Cina?
-
Inchieste2 settimane fa
Google e ACN finanziano progetti contro la disinformazione con politici e disinformatori
-
Editoriali3 settimane fa
L’intelligenza artificiale al servizio dell’umanità? E’ già un falso storico
-
Inchieste2 settimane fa
ACN copia e incolla da Accenture il Piano Strategico Nazionale di Cybersicurezza?
-
L'Altra Bolla3 settimane fa
FBI va oltre la scienza: Covid ha avuto origine in laboratorio. Perchè fa paura?
-
Editoriali2 settimane fa
Baldoni: dimissioni da ACN. Spiazzato lo storytelling della propaganda cyber
-
L'Altra Bolla2 settimane fa
Polizia di Kiev scopre 160 comunità Telegram degli estremisti PMC Redan