Sicurezza Informatica
Attacchi Xctdoor di Andariel contro aziende coreane
Tempo di lettura: 3 minuti. Scopri come gli attacchi di Xctdoor stanno prendendo di mira aziende coreane sfruttando soluzioni ERP vulnerabili e server web.
![](https://www.matricedigitale.it/wp-content/uploads/2023/05/Aldebaran_kimsuky_north_korea_real_flag_advanced_persistent_thr_3ce19cd4-c653-481f-9a06-8f1252dd984b.webp)
Il Centro di Intelligence sulla Sicurezza di AhnLab (ASEC) ha recentemente scoperto un caso in cui un attore di minacce non identificato ha sfruttato una soluzione ERP coreana per eseguire un attacco backdoor Xctdoor. Dopo aver infiltrato il sistema, l’attore di minacce ha attaccato il server di aggiornamento di una specifica soluzione ERP coreana per prendere il controllo dei sistemi all’interno dell’azienda. In un altro caso di attacco, un server web vulnerabile è stato attaccato per distribuire malware. Gli obiettivi di questi attacchi sono stati identificati nelle industrie della difesa e della produzione coreane.
Tra i malware identificati, vi è una forma in cui una routine malevola è stata inserita nel programma di aggiornamento di una soluzione ERP esistente. Questo metodo è simile a un caso del 2017, quando il gruppo Andariel lo utilizzò per installare la backdoor HotCroissant.
Precedenti Attacchi del Gruppo Andariel
Rifdoor è una backdoor usata dal gruppo Andariel, un sottogruppo del noto Lazarus group. È stato scoperto per la prima volta nel novembre 2015 e la sua attività è stata confermata fino ai primi mesi del 2016. A partire dal 2017, una variante di Rifdoor è stata utilizzata in attacchi, identificata come identica a HotCroissant del Lazarus group, un backdoor rivelato dalla CISA degli Stati Uniti e da VMware’s Carbon Black nel 2020.
Tra i casi di attacco che utilizzano HotCroissant, vi è stato un incidente nel 2017 in cui una soluzione ERP coreana è stata sfruttata per distribuire malware. L’attore di minacce ha inserito una routine malevola nel programma di aggiornamento “ClientUpdater.exe”, presumibilmente per propagare internamente dopo aver violato un’organizzazione specifica.
Caso di Attacco Recente – ERP
Un caso di attacco simile è stato identificato nel maggio 2024. Diversamente dall’incidente passato in cui una routine di downloader era inserita in “ClientUpdater.exe”, questa volta una routine è stata inserita per eseguire una DLL da un percorso specifico utilizzando il processo Regsvr32.exe.
La DLL identificata è risultata essere un malware capace di rubare informazioni di sistema ed eseguire comandi dell’attore di minacce. Questo suggerisce che, similmente all’incidente passato, il server di aggiornamento di una specifica ERP è stato attaccato. La DLL finale è stata classificata come Xctdoor, sviluppata in linguaggio Go e progettata per essere eseguita tramite il processo Regsvr32.exe.
Caso di Attacco Recente – Server Web
Nel marzo 2024, sono stati confermati casi in cui i server web sono stati attaccati per installare XcLoader. Considerando che gli obiettivi erano server web Windows IIS versione 8.5, sviluppata nel 2013, si presume che il malware sia stato propagato sfruttando configurazioni scadenti o una vulnerabilità.
XcLoader utilizzato nell’attacco funziona in modo simile al tipo sviluppato in linguaggio Go, leggendo e decifrando il file “roaming.dat” nella stessa directory e iniettandolo nei processi. La differenza è che nel caso di maggio 2024, il file “roaming.dat” è in formato PE, mentre in questo caso è crittografato. XcLoader prende di mira principalmente il processo explorer.exe per l’iniezione, ma a volte seleziona anche il processo “sihost.exe”.
ASEC monitora le minacce persistenti avanzate (APT) e ha recentemente confermato casi di attacchi che sfruttano una soluzione ERP coreana. Similmente ai metodi utilizzati in precedenza dal gruppo Andariel, l’attore di minacce ha sfruttato la soluzione ERP per propagare malware all’interno delle aziende. Gli attacchi recenti sono stati confermati nel maggio 2024, prendendo di mira il settore della difesa, ma attacchi simili si verificano da tempi precedenti.
Gli utenti devono essere particolarmente cauti riguardo agli allegati nelle email da fonti sconosciute e ai file eseguibili scaricati dalle pagine web. Gli amministratori della sicurezza aziendale devono migliorare il monitoraggio dei programmi di gestione delle risorse e applicare patch per eventuali vulnerabilità di sicurezza nei programmi. È importante applicare l’ultima patch per il sistema operativo e i programmi come i browser Internet e aggiornare V3 all’ultima versione per prevenire le infezioni da malware in anticipo.
Sicurezza Informatica
OVHcloud mitiga attacco DDOS da 809 mpps
Tempo di lettura: 3 minuti. Scopri come Akamai e OVHcloud stanno mitigando gli attacchi DDoS più grandi mai registrati e l’ascesa degli attacchi basati su packet rate.
![](https://www.matricedigitale.it/wp-content/uploads/2024/07/ddos.jpg)
Negli ultimi anni, gli attacchi DDoS sono diventati sempre più sofisticati e devastanti. Recentemente, Akamai ha mitigato l’attacco DDoS basato su packet per second (PPS) più grande mai registrato, mentre OVHcloud ha osservato un aumento significativo degli attacchi basati su packet rate. Questo articolo esplora questi sviluppi e le implicazioni per la sicurezza informatica.
L’Attacco DDoS di Akamai
Akamai ha mitigato un attacco DDoS che ha raggiunto un picco di 809 milioni di pacchetti al secondo (Mpps), rendendolo il più grande attacco di questo tipo mai registrato. L’attacco è stato altamente distribuito, provenendo da diverse fonti in tutto il mondo, e ha preso di mira uno dei clienti di Akamai.
![](https://www.matricedigitale.it/wp-content/uploads/2024/07/image-44.png)
La chiave del successo di Akamai nella mitigazione di questo attacco è stata la sua capacità di distribuire il traffico malevolo attraverso la sua rete globale di server, riducendo l’impatto sul bersaglio principale. Questo approccio ha permesso ad Akamai di assorbire l’immenso volume di traffico senza compromettere la qualità del servizio per gli altri clienti.
Ascesa degli Attacchi Basati su Packet Rate – OVHcloud
![](https://www.matricedigitale.it/wp-content/uploads/2024/07/image-45.png)
OVHcloud ha rilevato un aumento significativo degli attacchi DDoS basati su packet rate, con una particolare attenzione agli attacchi che superano i 100 Mpps. Questi attacchi mirano a sovraccaricare i motori di elaborazione dei pacchetti dei dispositivi di rete vicino alla destinazione, piuttosto che saturare la larghezza di banda disponibile.
Le origini degli attacchi basati su Packet Rate
![](https://www.matricedigitale.it/wp-content/uploads/2024/07/image-48.png)
Gli attacchi basati su packet rate sono diventati una minaccia crescente, poiché richiedono risorse di elaborazione significative per essere mitigati. Questi attacchi sfruttano dispositivi compromessi, come router core, che possono generare un numero elevato di pacchetti al secondo.
![](https://www.matricedigitale.it/wp-content/uploads/2024/07/image-46.png)
OVHcloud ha osservato che molti di questi attacchi provengono da dispositivi MikroTik compromessi. Questi router, spesso utilizzati in contesti di rete aziendale, sono vulnerabili a diversi exploit che consentono agli attaccanti di utilizzarli per generare traffico DDoS ad alta velocità.
Impatto degli Attacchi Basati su Packet Rate
![](https://www.matricedigitale.it/wp-content/uploads/2024/07/image-47.png)
Gli attacchi DDoS basati su packet rate sono particolarmente efficaci perché i dispositivi di rete, come i bilanciatori di carico e i sistemi anti-DDoS, faticano a gestire un elevato numero di pacchetti. Questo può portare a latenza e perdita di prestazioni, anche se la larghezza di banda totale non è saturata.
Mitigazione e Difese
Per mitigare questi attacchi, OVHcloud ha sviluppato appliance di rete personalizzate utilizzando FPGA e software userland (DPDK). Questi dispositivi sono progettati per gestire alti tassi di pacchetti, migliorando la capacità di OVHcloud di mitigare efficacemente gli attacchi DDoS.
Gli attacchi DDoS basati su packet rate rappresentano una sfida significativa per la sicurezza delle reti. Sia Akamai che OVHcloud hanno dimostrato che con infrastrutture adeguate e soluzioni innovative, è possibile mitigare questi attacchi e proteggere i servizi online. Tuttavia, l’evoluzione continua delle tecniche di attacco richiede una vigilanza costante e un continuo sviluppo di nuove strategie di difesa.
Sicurezza Informatica
NoName057: accordo con il ransomware italiano AzzaSec. L’analisi
Tempo di lettura: 4 minuti. Analisi del ransomware AzzaSec e le implicazioni geopolitiche di un accordo con NoName057 che modifica il concetto di Hacktivismo
![](https://www.matricedigitale.it/wp-content/uploads/2024/06/aldebaran33_hacktivism_6afa1033-cc46-4764-ab14-1888f365dbef.jpg)
Il 26 giugno 2024, il gruppo NoName057 ha annunciato una nuova alleanza con AzzaSec, un team di hacker italiani, aumentando la loro visibilità nel panorama del cybercrime. AzzaSec, noto per i vari defacement di siti web, ha lanciato il proprio ransomware il 23 giugno 2024. Un report di Meridian Group fornisce un’analisi approfondita del sample ottenuto del ransomware AzzaSec, delle sue funzionalità e delle sue implicazioni per la sicurezza informatica.
Meridian Group: analisi del ransomware AzzaSec
Abbiamo creato un report interno per i nostri clienti che analizza l’alleanza tra il gruppo Noname057 e AzzaSec, che ha recentemente lanciato il proprio ransomware.” dichiara a Pietro di Maria di Meridian Group che ha condiviso il report in esclusiva con la redazione. “Questo ransomware, sviluppato in Visual Basic e Dotnet, è progettato per cifrare i file delle vittime, eliminare le shadow copy di Windows e modificare lo sfondo del desktop con messaggi di riscatto intimidatori“.
Struttura del ransomware AzzaSec
Il ransomware di AzzaSec è costituito da un unico elemento che include tutto il codice necessario per cifratura, comunicazioni HTTPS e persistenza nel sistema. È scritto in Visual Basic (VB) e Dotnet (.NET).
- Visual Basic (VB): Utilizzato per creare script che possono accedere, modificare e cifrare i file di sistema e interagire con l’utente.
- Dotnet (.NET): Fornisce capacità avanzate per la gestione e la cifratura dei dati, compatibilità con diverse versioni di Windows e facilità di integrazione con servizi web.
Azioni del malware
- Creazione della persistenza: Il malware crea un file nella cartella di avvio automatico di Windows per assicurare l’esecuzione ad ogni riavvio.
- Comunicazione e cifratura: Il malware inizia due procedure di comunicazione remota (RPC) per cifrare i file e eliminare le shadow copy.
- Modifica dello sfondo: Imposta un’immagine personalizzata come sfondo del desktop con le istruzioni per il pagamento del riscatto.
- Ransom Note: Visualizza un documento intimidatorio che spiega cosa è accaduto al PC e fornisce istruzioni per il pagamento del riscatto.
Le comunicazioni del malware avvengono principalmente tramite connessioni HTTPS, inviando informazioni critiche come la chiave di cifratura ai server degli hacker. Tuttavia, il campione analizzato mostra una semplicità che suggerisce una fase iniziale di sviluppo, ma non va sottovalutata la minaccia che rappresenta.
Analisi delle funzionalità di cifratura del Ransomware
![](https://www.matricedigitale.it/wp-content/uploads/2024/07/image-42.png)
Il ransomware utilizza l’algoritmo AES (Advanced Encryption Standard) per la cifratura e la decifratura dei file. La funzione centrale EncryptOrDecryptFile gestisce sia la cifratura che la decifratura.
Analisi delle funzionalità Anti-Emulatore del Ransomware
Il ransomware implementa tecniche anti-emulatore per evitare l’esecuzione in ambienti controllati come emulatori, sandbox e macchine virtuali. Include funzioni per rilevare debugger, ambienti Sandboxie, macchine virtuali e piattaforme di analisi dinamica come Any.Run.
“Durante l’analisi, sono state rilevate diverse funzionalità anti-emulatore, che impediscono al ransomware di essere eseguito in ambienti controllati come sandbox e macchine virtuali. Nonostante la sua complessità, il ransomware non utilizza tecniche avanzate di evasione, rendendo possibile l’analisi e il reverse engineering del suo codice”.
Azioni sui processi
Il malware avvia e termina diversi processi durante la sua esecuzione, dimostrando la capacità di manipolare il sistema operativo. Le sessioni TCP stabilite tra il malware e il server dell’acquirente vengono utilizzate principalmente per lo scambio di informazioni critiche, come il nome del sistema infetto e la chiave di cifratura.
![](https://www.matricedigitale.it/wp-content/uploads/2024/07/image-43.png)
Per intercettare e analizzare le comunicazioni tra il malware e il server dell’acquirente, è possibile utilizzare un proxy con un certificato SSL trusted dal computer infetto. Questa tecnica permette di sniffare i pacchetti HTTPS e risalire alla chiave di cifratura utilizzata dal ransomware.
AzzaSec e XTEAM1916
L’analisi delle stringhe estratte dal ransomware suggerisce una possibile collaborazione tra AzzaSec e XTEAM1916, un gruppo di cybercriminali con base in Afghanistan.
Giudizio di Meridian Group sul ransomware AzzaSec
Il sample analizzato dalla società di sicurezza appare piuttosto spartano e privo di molti sistemi di sicurezza avanzati. La mancanza di comunicazioni complesse con server esterni indica che il malware è suscettibile all’analisi e al reverse engineering, suggerendo una possibile fase iniziale di sviluppo o una competenza tecnica limitata degli autori.
L’accordo con NoName057 e le implicazioni geopolitiche
NoName057 è stato intervistato in esclusiva più volte da Matrice Digitale agli albori del conflitto ucraino e nel corso di questi mesi ha sferrato diversi attacchi contro alcuni siti web della pubblica amministrazione italiana, alcuni bucati più volte. L’aspetto che emerge da questo gemellaggio, meritando un’analisi, è quella attuale nello scacchiere geopolitico dei gruppi Hacktivisti di nuova generazione che intraprendono scelte politiche e di appartenenza contro apparati di potere.
![](https://www.matricedigitale.it/wp-content/uploads/2024/07/image-44.jpg)
Questo concept subentra alla consolidata percezione che si ha dell’Hacktivismo stesso dove in passato i gruppi o i collettivi hanno sposato delle cause etiche come la lotta alla pedofilia, alla zoofilia, alla censura globale e di Internet in particolare, o si sono schierati in favore dei i diritti delle categorie minori oppure hanno esercitato azioni dimostrative a tutela della privacy.
Oggi si entra in una nuova dimensione dove i gruppi svolgono attività vicine a quelle dei criminali cibernetici, vedi l’utilizzo di un ransomware, ed in alcuni casi sembrerebbero strumentali ai governi come se fossero degli attori statali qualsiasi impegnati nelle dinamiche della guerra cibernetica.
Condivide questa osservazione anche Pietro di Maria che rincara la dose sulle qualità di realizzazione del ransomware “Nonostante sia necessario prestare sempre la massima attenzione alle attività criminali e ai nuovi gruppi, è importante considerare che fino a qualche anno fa un gruppo come AzzaSec sarebbe stato etichettato come un gruppo di troll. Oggi, invece, viene considerato da alcuni come un gruppo di hacktivisti e da altri come una APT (Advanced Persistent Threat). Forse serve maggiore attenzione anche nella definizione delle minacce e dei gruppi criminali. Quello che emerge dalla nostra ricerca è che i gruppi hacktivisti non sono pericolosi come si potrebbe pensare.“
Sicurezza Informatica
Truffa lavoro online: Mazarsiu sparito, attenti a idealong.com
Tempo di lettura: 2 minuti. Dopo il sito Mazarsiu, abbandonato dai criminali dopo le inchieste di Matrice Digitale, emerge un clone della truffa: idealong.com
![](https://www.matricedigitale.it/wp-content/uploads/2024/07/image-30.png)
Nelle settimane precedenti abbiamo raccontato la truffa di Mazarsiu: un portale dove si offre lavoro online, ma in realtà si chiedono soldi ai poveri malcapitati con la promessa che otterranno una somma maggiore di quella investita, ma adesso la truffa sembra aver raggiunto la massa con un nuovo portale denominato idealong.
![](https://www.matricedigitale.it/wp-content/uploads/2024/07/image-31-1024x689.png)
Dopo l’attività di Matrice Digitale e la maggiore conoscenza in rete grazie ai nostri articoli sulla truffa, il sito Internet è scomparso.
![](https://www.matricedigitale.it/wp-content/uploads/2024/07/image-31-1-1024x730.jpg)
Tutto finito? Assolutamente no, in realtà Mazarsiu, come abbiamo già spiegato, è un vero e proprio metodo che contatta utenti anche attraverso Whatsapp, anche noi lo siamo stati dagli stessi truffatori. L’aspetto più interessante è che il sito sembrerebbe aver cambiato le richieste nei confronti di coloro che vengono cooptati a questo tipo di attività.
![](https://www.matricedigitale.it/wp-content/uploads/2024/07/image-31-473x1024.jpg)
Alcuni utenti nell’ultimo periodo hanno segnalato un cambio di strategia criminale perchè dichiarano di essere impiegati nell’effettuare conferme di ordine attraverso la piattaforma senza alcuna richiesta di soldi. La truffa consiste nel prestare un lavoro senza essere pagati.
![](https://www.matricedigitale.it/wp-content/uploads/2024/07/image-30-1-461x1024.jpg)
Grazie a queste nuove segnalazioni abbiamo scoperto non solo che Mazarsiu non esiste più, ma che è nato un altro portale da evitare assolutamente perché replica la stessa truffa: www.idealong.com. non è dato sapere come sia possibile che non vengano chiesti i soldi alle persone , ma sappiamo che svolgendo questi ultimi un lavoro, molto probabilmente vengono prestati a confermare eventuali ordini effettuati da altri che invece hanno investito i propri soldi. Sembrerebbe un modo per uscirne puliti, creando un filtro tra un’eventuale attività investigativa ed i criminali composto da persone che inconsapevolmente si prestano alla truffa.
Continuate ad inviarci le segnalazioni alla redazione in modo tale da poter non solo smascherare e denunciare nuove piattaforme simili, ma anche per continuare a studiare le tattiche e le strategie criminali che si nascondono dietro questo metodo.
- Smartphone1 settimana fa
Aggiornamenti e novità per i Galaxy A54, A05s, Watch 6 e S24
- Smartphone1 settimana fa
Samsung One UI 7.0 e One UI 6.1: novità e miglioramenti
- Smartphone1 settimana fa
Samsung Galaxy S25 Ultra: design nuovo e specifiche potenti
- Smartphone1 settimana fa
Novità SmartTag 2 e per il Galaxy S25 Ultra
- Economia1 settimana fa
DnF Mobile sbanca la Cina: 100 Milioni di Dollari in 10 Giorni
- Smartphone7 giorni fa
Aggiornamenti Software per Galaxy A53, A55 e specifiche del nuovo A06
- Smartphone1 settimana fa
Ultime dal Galaxy Z Flip 6 e Fold 6, ma la novità sono i sensori ISOCELL e l’S25
- Economia1 settimana fa
Julian Assange riceve una donazione di 500K in Bitcoin da un Anonimo