Connect with us

segnalaci un sito truffa

Notizie

Guerra Cibernetica, Nord Corea: attacco di capodanno alla Russia

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 2 minuti.

Non esistono solo i russi nel mondo degli APT come raccontato nella nostra rubrica Guerra Cibernetica. Un gruppo di spionaggio informatico nordcoreano di nome Konni è stato collegato a una serie di attacchi mirati diretti al Ministero degli Affari Esteri della Federazione Russa (MID) con esche a tema “Capodanno” per compromettere i sistemi Windows con malware. “Questo gruppo di attività dimostra la natura paziente e persistente di attori avanzati nel condurre campagne multifase contro reti percepite di alto valore“, hanno affermato i ricercatori dei Black Lotus Labs di Lumen Technologies in un’analisi rilasciata in esclusiva a The Hacker News.

È noto che le tattiche, le tecniche e le procedure (TTP) del gruppo Konni si sovrappongono agli attori delle minacce appartenenti al più ampio ombrello Kimsuky, che viene anche monitorato dalla comunità della sicurezza informatica sotto i moniker Velvet Chollima, ITG16, Black Banshee e Thallium.

Gli attacchi più recenti hanno coinvolto l’attore nell’ottenere l’accesso alle reti di destinazione tramite credenziali rubate, sfruttando il punto d’appoggio per caricare malware a scopo di raccolta di informazioni, con i primi segni dell’attività documentata da MalwareBytes nel luglio 2021.

Si ritiene che le successive iterazioni della campagna di phishing si siano svolte in tre ondate: la prima a partire dal 19 ottobre 2021 per raccogliere le credenziali dal personale MID, seguita dall’utilizzo di esche a tema COVID-19 a novembre per installare una versione canaglia del mandato russo software di registrazione delle vaccinazioni che fungeva da caricatore per carichi utili aggiuntivi.

I tempi di questa attività sono strettamente allineati con l’approvazione delle leggi sul passaporto russo per i vaccini che obbligavano i russi a ricevere un codice QR dal governo per dimostrare la vaccinazione al fine di accedere a luoghi pubblici come ristoranti e bar“, hanno osservato i ricercatori.

Il terzo attacco, confermato anche da Cluster25 all’inizio di questa settimana, è iniziato il 20 dicembre 2021, utilizzando i festeggiamenti di Capodanno come tema di spear-phishing per innescare una catena di infezioni in più fasi che è culminata nell’installazione di un trojan di accesso remoto chiamato Konni RATTO.

Nello specifico, le intrusioni sono emerse compromettendo dapprima l’account di posta elettronica appartenente a un membro del personale del MID, dal quale sono state inviate e-mail ad almeno altre due entità MID, tra cui l’ambasciata russa in Indonesia e Sergey Alexeyevich Ryabkov, un vice ministro che sovrintende proliferazione e controllo degli armamenti.

Le missive e-mail apparentemente propagavano un messaggio di “Felice anno nuovo“, solo per contenere un allegato salvaschermo trojanizzato progettato per recuperare ed eseguire eseguibili di fase successiva da un server remoto. La fase finale dell’attacco è il dispiegamento del trojan Konni RAT, che effettua la ricognizione della macchina infetta ed esfiltra le informazioni raccolte sul server.

Sebbene questa particolare campagna fosse altamente mirata, è fondamentale che i difensori comprendano le capacità in evoluzione degli attori avanzati per raggiungere l’infezione di obiettivi ambiti“, ha affermato il ricercatore, esortando le organizzazioni a prestare attenzione alle e-mail di phishing e utilizzare l’autenticazione a più fattori per proteggere conti.

Commenti da Facebook

Notizie

La Nord Corea fa soldi derubando le piattaforme di criptovalute

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: < 1 minuto.

Gli operatori associati al sottogruppo Lazarus BlueNoroff sono stati collegati a una serie di cyberattacchi rivolti a piccole e medie imprese in tutto il mondo con l’obiettivo di drenare i loro fondi in criptovaluta, in quella che è un’altra operazione criminale con scopi finanziari messa in piedi dal prolifico attore nordcoreano sponsorizzato dallo stato.

La società russa di cybersicurezza Kaspersky, che sta seguendo le intrusioni sotto il nome di “SnatchCrypto“, ha notato che la campagna è in corso dal 2017, aggiungendo che gli attacchi sono rivolti alle startup del settore FinTech situate in Cina, Hong Kong, India, Polonia, Russia, Singapore, Slovenia, Repubblica Ceca, Emirati Arabi Uniti, Stati Uniti, Ucraina e Vietnam.

Gli aggressori hanno abusato sottilmente della fiducia dei dipendenti che lavorano nelle aziende prese di mira, inviando loro una backdoor Windows completa con funzioni di sorveglianza, mascherata da un contratto o un altro file aziendale“, hanno detto i ricercatori. “Al fine di svuotare alla fine il portafoglio di criptovalute della vittima, l’attore ha sviluppato risorse estese e pericolose: infrastrutture complesse, exploit e impianti di malware“.

Segui la nostra rubrica dedicata al mondo delle criptovalute

Commenti da Facebook
Prosegui la lettura

Notizie

Ucraina sotto attacco informatico: 70 siti web buttati giù dalla manina russa.

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: < 1 minuto.

Non meno di 70 siti web gestiti dal governo ucraino sono andati offline venerdì per ore in quello che sembra essere un attacco informatico coordinato in mezzo alle crescenti tensioni con la Russia.

“Come risultato di un massiccio attacco informatico, i siti web del Ministero degli Affari Esteri e un certo numero di altre agenzie governative sono temporaneamente giù“, ha twittato Oleg Nikolenko, portavoce del MAE.

Il Servizio di sicurezza dell’Ucraina, l’autorità di polizia del paese, ha alluso a un possibile coinvolgimento russo, puntando il dito contro i gruppi apt associati ai servizi segreti russi, mentre marchiava le intrusioni come un attacco alla catena di approvvigionamento che ha riguardato la compromissione della “infrastruttura di una società commerciale che aveva accesso ai diritti di amministrare le risorse web colpite dall’attacco“.

Proprio nei giorni precedenti, vi è stato un annuncio dell’intelligence americana per quel che concerne il rischio delle infrastrutture informatiche kazake e ucraine di essere attaccate, mentre con questa ultima operazione di defacing dei siti web istituzionali torna alla memoria il periodo degli attacchi firmati dall’apt russo Sandworm.

Commenti da Facebook
Prosegui la lettura

Notizie

Arrestata la Ransomware gang Revil. Venduta dalla Russia ad Usa ed Europa

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: < 1 minuto.

Il gruppo ReVil è stato soppresso dall’intelligence russa. E’ la notizia più importante del momento se consideriamo le crisi informatiche degli ultimi giorni che hanno causato squilibri politici in Kazakistan ed Ucraina secondo molti ad opera degli stessi russi. Il video della cattura da parte dell’FSB di alcuni dei componenti di una delle ransomware gang più temute nel pianeta è stato pubblicato online dalla giornalista del Washington Post Mary Ilyushina.

La giornalista ha dichiarato pubblicamente che, secondo le sue fonti, la richiesta di arresto da parte dei servizi segreti russi sia stata una cortesia alle pressioni degli USA, ma l’inusitata operazione di polizia che cade all’indomani delle accuse di attacchi informatici di tipo militare ai danni dei due paesi dell’ex Unione Sovietica, fa sollevare sospetti su una mediazione avvenuta tra Usa, Europa ed i russi. Nel corso dei blitz sono stati rinvenuti molti contanti, sia di valuta russa che di dollaro statunitense, oltre agli attrezzi del mestiere come dispositivi informatici.

Chi è Revil?

Il gruppo Revil è ideatore dell’omonimo ransomware ed è stato uno dei primi gruppi criminali a fornire un sistema di ransomware as service temuto anche dalla polizia internazionale per la sua propagazione su larga scala. Le vittime di Revil sono state molte in questi anni ed anche illustri se consideriamo Quanta technologies, Lady Gaga, Donald Trump e molti altri ancora.

Commenti da Facebook
Prosegui la lettura
abbonati gratis a Matrice Digitale
segnalaci un sito truffa, scam, phishing

Tendenza