Sommario
La sicurezza informatica è una questione di importanza fondamentale per le organizzazioni di tutto il mondo. Recentemente, sono state scoperte diverse campagne malevole che mirano a entità in Ucraina e Polonia, utilizzando tecniche sofisticate per infiltrarsi nei sistemi e rubare informazioni sensibili.
Campagne mirate a organizzazioni governative e militari
Talos ha scoperto per la prima volta una campagna a fine aprile che utilizzava diversi file malevoli molto probabilmente destinati agli utenti in Ucraina. Successivamente, Talos ha scoperto ulteriori campagne che coinvolgono file malevoli destinati agli utenti in Polonia. Gli attori di queste campagne si concentrano su obiettivi governativi e militari ucraini e polacchi, basandosi sul contenuto delle esche Excel e PowerPoint che includono immagini e testi ufficiali.
Le capacità del malware
Il malware ha una vasta gamma di capacità per rubare dati sensibili dagli host compromessi e permette a un attore minaccioso di ottenere l’accesso remoto aggiungendo la propria chiave SSH al file .ssh/authorized_keys. Il payload finale della campagna di luglio 2023 è njRAT, che aumenta la nostra fiducia che gli obiettivi dell’attore minaccioso siano il furto di informazioni e il controllo remoto dei sistemi bersaglio.
Consigli per la sicurezza
Gli utenti che hanno scaricato ed eseguito i PoC sono invitati a rimuovere le chiavi SSH non autorizzate, eliminare il file kworker, cancellare il percorso kworker dal file bashrc e controllare /tmp/.iCE-unix.pid per potenziali minacce. È importante adottare pratiche sicure come testare in ambienti isolati (ad esempio, macchine virtuali) per fornire un livello di protezione.