Il gruppo di cybercriminali TA544 ha modificato la propria strategia di attacco, passando dall’utilizzo del malware Ursnif a Danabot, per condurre campagne di spear-phishing mirate agli utenti italiani, sfruttando il tema dell'”Agenzia delle Entrate”. D’altra parte, il gruppo di hacker russi Turla ha introdotto un nuovo malware, TinyTurla-NG, per infiltrarsi nelle reti di organizzazioni non governative (ONG) e rubare dati sensibili.
Strategia rinnovata di TA544
TA544, noto per la distribuzione del malware Ursnif, ha iniziato a implementare Danabot, uno stealer di informazioni, in una recente campagna che imita comunicazioni provenienti dall’Agenzia delle Entrate italiana secondo quanto analizzato da AGID. Questo cambio di tattica evidenzia la continua evoluzione delle strategie di attacco dei gruppi di cybercriminali per eludere le difese e ottenere accesso a dati sensibili.
TinyTurla-NG: nuova minaccia di Turla
Il gruppo Turla, associato ai servizi di intelligence russi, ha sviluppato TinyTurla-NG, un malware che funge da backdoor nascosta per mantenere l’accesso alle reti compromesse. Identificato durante un’indagine su un compromesso presso un’ONG polacca che supporta l’Ucraina, TinyTurla-NG e gli script PowerShell TurlaPower-NG associati sono stati utilizzati per esfiltrare le password principali di software di gestione delle password.
Implicazioni per la sicurezza
Questi sviluppi sottolineano l’importanza di una vigilanza continua e di misure di sicurezza robuste per proteggere le reti dalle avanzate tecniche di attacco dei cybercriminali. Le organizzazioni, in particolare quelle che operano in settori sensibili o che supportano cause politiche, devono essere consapevoli della crescente sofisticazione delle campagne di cyber-attacco e adottare approcci proattivi per difendersi da queste minacce.