Connect with us

Sicurezza Informatica

SneakyChef: il gruppo di Cyber Spionaggio dietro SugarGh0st

Tempo di lettura: 3 minuti. SneakyChef espande l’uso di SugarGh0st in attacchi mirati a livello globale come riportato nell’analisi di Cisco Talos

Pubblicato

in data

Tempo di lettura: 3 minuti.

Cisco Talos ha recentemente scoperto una campagna in corso condotta da un nuovo attore di minacce denominato SneakyChef, utilizzando il malware SugarGh0st. Questa campagna, iniziata ad agosto 2023, ha ampliato il proprio raggio d’azione includendo obiettivi in paesi di EMEA e Asia, rispetto alle precedenti osservazioni che si concentravano principalmente su Corea del Sud e Uzbekistan.

Tecniche e Target

SneakyChef utilizza documenti esca che sono scansioni di documenti di agenzie governative, per lo più relativi a Ministeri degli Affari Esteri o ambasciate di vari paesi. Sono stati individuati diversi tipi di catene di infezione, tra cui l’uso di file SFX RAR per distribuire il malware.

Caratteristiche di SugarGh0st

SugarGh0st è un RAT (Remote Access Trojan) che permette agli attori delle minacce di connettersi al sistema compromesso, eseguire comandi, raccogliere dati e esfiltrarli. La backdoor utilizza protocolli come DNS e ICMP per la comunicazione C2 (Command and Control) e può mascherare la sua attività attraverso l’uso di documenti esca legittimi.

Profili degli attacchi e obiettivi

Gli attacchi recenti di SneakyChef hanno mirato a diverse agenzie governative tra cui:

  • Ministero degli Affari Esteri dell’Angola
  • Ministero delle Risorse della Pesca e Marine dell’Angola
  • Ministero dell’Agricoltura e delle Foreste dell’Angola
  • Ministero degli Affari Esteri del Turkmenistan
  • Ministero degli Affari Esteri del Kazakistan
  • Ministero degli Affari Esteri dell’India
  • Ambasciata del Regno dell’Arabia Saudita ad Abu Dhabi
  • Ministero degli Affari Esteri della Lettonia

Tecniche di infezione

La catena di infezione utilizza file RAR autoestraenti (SFX) che contengono documenti esca e payload malevoli. Quando un utente esegue l’eseguibile SFX, il malware viene estratto e avviato, stabilendo la persistenza nel sistema compromesso e avviando la comunicazione con il server C2.

SpiceRAT: nuovo strumento di SneakyChef per attacchi mirati in EMEA e Asia

Cisco Talos ha scoperto un nuovo trojan di accesso remoto (RAT) chiamato SpiceRAT, utilizzato dall’attore di minacce SneakyChef in una recente campagna che ha preso di mira agenzie governative in EMEA e Asia. Questa campagna ha visto l’utilizzo di email di phishing per distribuire SugarGh0st e SpiceRAT utilizzando lo stesso indirizzo email.

Tecniche di Infezione

SneakyChef ha utilizzato due catene di infezione per distribuire SpiceRAT, impiegando file LNK e HTA come vettori di attacco iniziali.

Catena di Infezione Basata su LNK
  1. File RAR Malevoli: Contengono un file di collegamento di Windows (LNK) e una cartella nascosta con componenti malevoli, tra cui un eseguibile, un loader DLL malevolo, un payload cifrato e un PDF esca.
  2. Esecuzione del LNK: Il file di collegamento avvia l’eseguibile malevolo, che a sua volta carica il DLL malevolo e decripta il payload di SpiceRAT.
Catena di Infezione Basata su HTA
  1. File RAR Malevoli: Contengono un file HTA malevolo.
  2. Esecuzione dell’HTA: Esegue uno script Visual Basic che decodifica un downloader malevolo e lo esegue.

Analisi di SpiceRAT

SpiceRAT è costituito da un eseguibile legittimo utilizzato per caricare un loader DLL malevolo, che decripta e esegue il payload cifrato di SpiceRAT.

Componenti di SpiceRAT

  1. Eseguibile Legittimo: Utilizzato per caricare il DLL malevolo (es. RunHelp.exe firmato da Samsung).
  2. Loader DLL Malevolo: Decripta il payload di SpiceRAT e lo esegue in memoria.
  3. Payload di SpiceRAT: Include tre funzioni di esportazione malevole e raccoglie dati di ricognizione, comunicando con il server C2.

Comunicazioni C2

SpiceRAT comunica con il server C2 tramite metodi HTTP POST, inviando dati cifrati di ricognizione e ricevendo risposte cifrate contenenti ulteriori payload o comandi.

Attività Successive

SpiceRAT può eseguire plugin scaricati dal server C2, aumentando la superficie di attacco sulla rete della vittima. I plugin possono scaricare ed eseguire binari e comandi arbitrari.

Misure di protezione

Per proteggersi da queste minacce, è essenziale utilizzare soluzioni di sicurezza che possano rilevare e bloccare questi comportamenti malevoli come consiglia Cisco.

Sicurezza Informatica

Donald Trump: FBI vuole accesso a smartphone dell’attentatore

Tempo di lettura: < 1 minuto. L’FBI indaga sull’attentato a Donald Trump in Pennsylvania: i dettagli dell’indagine e attività investigative e l’accesso allo smartphone dell’attentatore

Pubblicato

in data

Tempo di lettura: < 1 minuto.

L’FBI sta investigando sull’incidente di sparatoria avvenuto il 13 luglio durante un raduno a Butler, Pennsylvania, che ha provocato la morte di una persona e ferito l’ex presidente Donald Trump e altri spettatori e vuole avere accesso allo smartphone dell’attentatore essendo questo incidente considerato come un tentativo di assassinio e un potenziale atto di terrorismo domestico.

Dettagli dell’indagine

Finora, le indagini indicano che il tiratore ha agito da solo. Tuttavia, l’FBI continua a svolgere attività investigative per determinare se ci siano stati eventuali complici associati a questo attacco. Al momento, non ci sono preoccupazioni di sicurezza pubblica in corso.

Attività Investigative

  • Motivo del Tiratore: L’FBI non ha ancora identificato un motivo per le azioni del tiratore. Sono in corso attività per determinare la sequenza degli eventi e i movimenti del tiratore prima della sparatoria.
  • Raccolta di Prove: L’FBI sta raccogliendo e analizzando prove, conducendo interviste e seguendo tutte le piste disponibili.
  • Esame del Telefono del Tiratore: Il telefono del tiratore è stato acquisito per un esame approfondito.
  • Perquisizione della Casa e del Veicolo: L’FBI ha perquisito la casa e il veicolo del tiratore per raccogliere ulteriori prove. Dispositivi sospetti trovati in entrambe le località sono stati resi sicuri dai tecnici delle bombe e sono in fase di valutazione presso il Laboratorio dell’FBI.
  • Arma da fuoco: L’arma utilizzata nella sparatoria è stata acquistata legalmente.
  • Conoscenza precedente: Il tiratore non era noto all’FBI prima di questo incidente.

L’indagine dell’FBI è condotta dall’Ufficio del FBI di Pittsburgh in coordinamento con partner locali, statali e federali. I comunicati ufficiali precedenti riguardanti l’incidente possono essere trovati su sul sito dell’FBI.

Prosegui la lettura

Sicurezza Informatica

Disney violata da NullBulge: dati sensibili diffusi Online

Tempo di lettura: 2 minuti. Il gruppo NullBulge ha violato i canali Slack degli sviluppatori di Disney, diffondendo 1,1 terabyte di dati sensibili online.

Pubblicato

in data

Tempo di lettura: 2 minuti.

Un gruppo di cybercriminali noto come NullBulge ha affermato di aver scaricato i canali Slack utilizzati dagli sviluppatori di Disney. Questa fuga di dati rappresenta una delle più significative violazioni di sicurezza per l’azienda, con un totale di 1,1 terabyte di file e messaggi chat che sono stati sottratti e successivamente diffusi online.

Dettagli della violazione

Il gruppo NullBulge ha annunciato la violazione su BreachForums, un noto sito di divulgazione di dati, fornendo screenshot delle loro scoperte. La quantità di dati rubati include progetti non ancora rilasciati, immagini grezze, codice sorgente, alcune credenziali di accesso e link a API e pagine web interne di Disney. In totale, il gruppo ha avuto accesso a quasi 10.000 canali Slack.

Elementi CompromessiDettagli
Quantità di Dati1,1 terabyte
Numero di Canali SlackQuasi 10.000
Tipi di Dati RubatiProgetti non rilasciati, immagini, codice, credenziali
Altri DatiLink a API e pagine web interne

Modalità dell’Attacco

Secondo quanto riferito dal gruppo, l’attacco è stato facilitato da un insider che ha fornito accesso ai dati interni di Disney. Tuttavia, l’informatore ha avuto un ripensamento e ha interrotto la collaborazione, costringendo NullBulge a pubblicare i dati prima del previsto. Il gruppo ha anche minacciato di diffondere ulteriori informazioni personali, come login, carte di credito e numeri di sicurezza sociale, come avvertimento per futuri collaboratori.

Motivazioni e reazioni

NullBulge si definisce un gruppo hacktivista che mira a ottenere una migliore compensazione e protezione dei diritti degli artisti. Nonostante ciò, le loro azioni hanno sollevato preoccupazioni significative riguardo alla sicurezza dei dati aziendali e alla protezione delle informazioni sensibili. Disney non ha ancora rilasciato un commento ufficiale sull’incidente procurato da Nullbulge.

Questa violazione evidenzia la crescente minaccia rappresentata dagli attacchi informatici facilitati da collaboratori interni. Le aziende devono rafforzare le loro misure di sicurezza e sensibilizzare i dipendenti sui rischi e le conseguenze di tali azioni. Continueremo a monitorare la situazione e a fornire aggiornamenti man mano che emergeranno ulteriori informazioni.

Prosegui la lettura

Sicurezza Informatica

HardBit Ransomware: analisi e mitigazione delle minacce

Tempo di lettura: 3 minuti. HardBit Ransomware 4.0 introduce protezione con passphrase e obfuscazione avanzata. Scopri come proteggerti da questa minaccia.

Pubblicato

in data

Tempo di lettura: 3 minuti.

Cybereason Security Services pubblica rapporti di analisi delle minacce per informare sui pericoli attuali e fornire raccomandazioni pratiche per la protezione contro di essi ed esamina HardBit Ransomware versione 4.0, una nuova versione osservata recentemente.

HardBit Ransomware è un gruppo emerso nell’ottobre 2022, noto per non avere siti di leak e non utilizzare metodi di doppia estorsione. La versione 4.0 di HardBit introduce diversi miglioramenti rispetto alle versioni precedenti, tra cui la protezione con passphrase e l’obfuscazione avanzata.

Miglioramenti della Versione 4.0

Offuscazione del Binario

A differenza delle versioni precedenti, HardBit 4.0 è protetto da una passphrase che deve essere fornita durante l’esecuzione. Questa misura rende più difficile l’analisi del malware da parte dei ricercatori di sicurezza.

Versioni del Binario

HardBit Ransomware è disponibile in due versioni: CLI e GUI. Questa flessibilità permette al gruppo di espandere il proprio mercato a diversi livelli di competenza degli operatori.

Metodo di Distribuzione

HardBit viene distribuito tramite il malware Neshta, noto per la sua capacità di infettare file legittimi e mantenere la persistenza. Neshta funge anche da dropper per HardBit, depositando il binario ransomware nella directory temporanea durante l’esecuzione.

Analisi Tecnica

Accesso Iniziale

Il vettore di attacco iniziale di HardBit non è confermato, ma si ipotizza che gli attaccanti ottengano un punto d’appoggio nell’ambiente della vittima tramite brute force su servizi RDP e SMB aperti.

Accesso alle Credenziali

Gli attaccanti utilizzano strumenti come Mimikatz e NLBrute per il furto di credenziali e il brute force su RDP. Il loro script include anche strumenti come LaZagne e NirSoft per il recupero delle password.

Movimento Laterale

Gli attaccanti utilizzano RDP per spostarsi lateralmente nella rete aziendale della vittima, sfruttando le credenziali rubate.

Raccolta e Esfiltrazione Dati

I metodi precisi di raccolta ed esfiltrazione dei dati non sono stati identificati, ma HardBit deploya Neshta per criptare le macchine infette.

Esecuzione del Ransomware

HardBit necessita di un ID di autorizzazione decodificato per l’esecuzione. Questo ID viene decodificato utilizzando una chiave privata fornita dagli attaccanti.

Disabilitazione di Windows Defender

HardBit disabilita diverse funzionalità di Windows Defender per assicurare il successo dell’infezione, aggiornando chiavi di registro specifiche e utilizzando comandi PowerShell.

Inibizione del Recupero di Sistema

HardBit utilizza comandi come vssadmin delete shadows e wbadmin delete catalog per eliminare le copie shadow e i cataloghi di backup, impedendo il ripristino del sistema.

Criptazione dei Dati

Durante la criptazione, HardBit aggiorna le icone dei file infetti, l’etichetta del volume e crea file di messaggio contenenti le istruzioni per il riscatto.

Analisi Comparativa delle Versioni

TatticheHardBit 2.0HardBit 3.0HardBit 4.0
Disabilitazione di Windows Defender
Inibizione del Recupero di Sistema
Pacchetto Neshta
Protezione con Passphrase
Arresto dei Servizi
Supporto GUI
Modalità Wiper
File di configurazione
Obfuscazione con Ryan-_-Borland_Protector

Raccomandazioni per la Protezione

Cybereason raccomanda di abilitare il controllo delle applicazioni, la protezione predittiva contro i ransomware e la prevenzione dei payload varianti nel Cybereason Defense Platform per prevenire infezioni da HardBit Ransomware.

Prosegui la lettura

Facebook

CYBERSECURITY

Sicurezza Informatica10 ore fa

HardBit Ransomware: analisi e mitigazione delle minacce

Tempo di lettura: 3 minuti. HardBit Ransomware 4.0 introduce protezione con passphrase e obfuscazione avanzata. Scopri come proteggerti da questa...

Sicurezza Informatica2 giorni fa

Vulnerabilità in Modern Events Calendar: migliaia di WordPress a rischio

Tempo di lettura: 2 minuti. Vulnerabilità critica nel plugin Modern Events Calendar consente il caricamento arbitrario di file da parte...

Sicurezza Informatica2 giorni fa

Attacco RADIUS: panoramica dettagliata

Tempo di lettura: 3 minuti. Il protocollo RADIUS può essere compromesso utilizzando tecniche avanzate di collisione MD5 per eseguire attacchi...

Sicurezza Informatica2 giorni fa

ViperSoftX sfrutta AutoIt e CLR per l’esecuzione Stealth di PowerShell

Tempo di lettura: 3 minuti. ViperSoftX utilizza AutoIt e CLR per eseguire comandi PowerShell in modo stealth, eludendo i meccanismi...

Sicurezza Informatica2 giorni fa

Malware Poco RAT mira vittime di lingua spagnola

Tempo di lettura: 3 minuti. Poco RAT, nuovo malware che prende di mira le vittime di lingua spagnola con campagne...

Microsoft teams Microsoft teams
Sicurezza Informatica3 giorni fa

Falso Microsoft Teams per Mac distribuisce Atomic Stealer

Tempo di lettura: 2 minuti. Un falso Microsoft Teams per Mac distribuisce il malware Atomic Stealer tramite una campagna di...

CISA logo CISA logo
Sicurezza Informatica3 giorni fa

CISA hackera Agenzia Federale USA: vulnerabilità critiche Svelate

Tempo di lettura: 2 minuti. CISA svela vulnerabilità critiche in un'agenzia federale USA attraverso un'esercitazione di red team SILENTSHIELD

Sicurezza Informatica3 giorni fa

DarkGate usa file Excel per diffondere malware

Tempo di lettura: 3 minuti. DarkGate utilizza file Excel per diffondere malware sofisticato. Scopri come funziona questa minaccia e come...

Sicurezza Informatica4 giorni fa

SSH sotto attacco a causa di bug e vulnerabilità

Tempo di lettura: 3 minuti. Scopri le nuove minacce di CRYSTALRAY e la vulnerabilità di OpenSSH in RHEL 9. Approfondisci...

Sicurezza Informatica4 giorni fa

CoreTech: accordo con TuxCare migliora sicurezza negli ambienti Linux

Tempo di lettura: 2 minuti. L'accordo migliora lo standard qualitativo dell'offerta Linux per quel che concerne la risposta alle vulnerabilità

Truffe recenti

Inchieste7 giorni fa

Idealong.com chiuso, ma attenti a marketideal.xyz e bol-it.com

Tempo di lettura: 2 minuti. Dopo aver svelato la truffa Idealong, abbiamo scoperto altri link che ospitano offerte di lavoro...

Inchieste2 settimane fa

Idealong.com spilla soldi ed assolda lavoratori per recensioni false

Tempo di lettura: 4 minuti. Il metodo Idealong ha sostituito Mazarsiu e, dalle segnalazioni dei clienti, la truffa agisce su...

Sicurezza Informatica2 settimane fa

Truffa lavoro online: Mazarsiu sparito, attenti a idealong.com

Tempo di lettura: 2 minuti. Dopo il sito Mazarsiu, abbandonato dai criminali dopo le inchieste di Matrice Digitale, emerge un...

fbi fbi
Sicurezza Informatica1 mese fa

FBI legge Matrice Digitale? Avviso sulle truffe di lavoro Online

Tempo di lettura: 2 minuti. L'FBI segnala un aumento delle truffe lavoro da casa con pagamenti in criptovaluta, offrendo consigli...

Sicurezza Informatica2 mesi fa

Milano: operazione “Trust”, frodi informatiche e riciclaggio di criptovaluta

Tempo di lettura: 2 minuti. Scoperta un'organizzazione criminale transnazionale specializzata in frodi informatiche e riciclaggio di criptovaluta nell'operazione "Trust"

Inchieste2 mesi fa

Truffa lavoro Online: analisi metodo Mazarsiu e consigli

Tempo di lettura: 4 minuti. Mazarsiu e Temunao sono solo due portali di arrivo della truffa di lavoro online che...

Inchieste2 mesi fa

Mazarsiu e Temunao: non solo truffa, ma un vero metodo

Tempo di lettura: 4 minuti. Le inchieste su Temunao e Marasiu hanno attivato tante segnalazioni alla redazione di persone che...

Pharmapiuit.com Pharmapiuit.com
Inchieste2 mesi fa

Pharmapiuit.com : sito truffa online dal 2023

Tempo di lettura: 2 minuti. Pharmapiuit.com è l'ultimo sito truffa ancora online di una serie di portali che promettono forti...

Temunao.Top Temunao.Top
Inchieste2 mesi fa

Temunao.Top: altro sito truffa che promette lavoro OnLine

Tempo di lettura: 2 minuti. Temunao.top è l'ennesimo sito web truffa che promette un premio finale a coloro che effettuano...

Inchieste2 mesi fa

Attenti a Mazarsiu.com : offerta lavoro truffa da piattaforma Adecco

Tempo di lettura: 2 minuti. Dalla piattaforma Adecco ad un sito che offre lavoro attraverso le Google Ads: è la...

Tech

Tech4 ore fa

Aggiornamento di Linux 6.10: le novità del kernel

Tempo di lettura: < 1 minuto. Novità Kernel Linux 6.10, inclusi miglioramenti per bcachefs, netfs e driver cruciali: i dettagli...

Xiaomi Mix Flip Xiaomi Mix Flip
Smartphone4 ore fa

Xiaomi MIX Flip avvistato su Geekbench: specifiche e dettagli

Tempo di lettura: 2 minuti. Xiaomi MIX Flip avvistato su Geekbench con Snapdragon 8 Gen 3 SoC, 12GB di RAM...

Smartphone7 ore fa

CMF Phone 1 ha una riparabilità complessa e scadente

Tempo di lettura: 2 minuti. CMF Phone 1, con il suo design modulare, presenta sfide significative per la riparabilità: dettagli...

Smartphone8 ore fa

HMD Skyline: ritorna al design iconico del Nokia Lumia 920

Tempo di lettura: 2 minuti. Scopri l'HMD Skyline, il nuovo smartphone di HMD Global con un design ispirato al Nokia...

Smartphone8 ore fa

iQOO Z9 Lite 5G disponibile in India: prezzo e specifiche tecniche

Tempo di lettura: 3 minuti. iQOO Z9 Lite 5G è stato lanciato in India con specifiche competitive : Scopri il...

Tech9 ore fa

Qualcomm: innovazione nei processori con Snapdragon X e 8 Gen 4

Tempo di lettura: 2 minuti. Qualcomm continua a ridefinire il panorama dei processori con il lancio di nuove serie di...

Samsung visore XR oledos Samsung visore XR oledos
Smartphone9 ore fa

Samsung inarrestabile: visore e foto astrali per l’S23 e S24

Tempo di lettura: 3 minuti. Scopri il lancio del Samsung XR headset, gli aggiornamenti della fotocamera per Galaxy S23 e...

Tech10 ore fa

Apple HomePod Mini in colore Midnight

Tempo di lettura: < 1 minuto. Apple ha lanciato una nuova variante di colore "Midnight" per l'HomePod mini, sostituendo l'opzione...

Tech10 ore fa

Galaxy Buds 3: maggiore resistenza e comfort superiore

Tempo di lettura: 2 minuti. Miglioramenti delle Galaxy Buds 3 e Galaxy Buds 3 Pro, con una maggiore resistenza a...

Antutu logo Antutu logo
Smartphone17 ore fa

I migliori 10 smartphone Android su AnTuTu per Giugno 2024

Tempo di lettura: 5 minuti. I migliori 10 smartphone Android su AnTuTu per giugno 2024, con modelli di ASUS, nubia,...

Tendenza