Connect with us

Sicurezza Informatica

Checkpoint: Malware, RAT e vulnerabilità più diffuse nel mese di ottobre

Tempo di lettura: 7 minuti. AgentTesla è stato il malware più diffuso questo mese, con un impatto sul 7% delle organizzazioni in tutto il mondo, seguito da SnakeKeylogger con un impatto del 5% e da Lokibot con un impatto del 4%.

Published

on

Tempo di lettura: 7 minuti.

Check Point Research segnala un aumento significativo degli attacchi a Lokibot nel mese di ottobre, facendolo salire al terzo posto per la prima volta in cinque mesi. È stata rivelata per la prima volta una nuova vulnerabilità, Text4Shell, e AgentTesla ha conquistato il primo posto come malware più diffuso. Il nostro ultimo Global Threat Index di ottobre 2022 riporta che il keylogger AgentTesla ha conquistato il primo posto come malware più diffuso, con un impatto sul 7% delle organizzazioni in tutto il mondo. Si è registrato un aumento significativo del numero di attacchi da parte dell’infostealer Lokibot, che ha raggiunto il terzo posto per la prima volta in cinque mesi. Inoltre, è stata resa nota una nuova vulnerabilità, Text4Shell, che colpisce la libreria Apache Commons Text.

Lokibot è un infostealer di base progettato per raccogliere le credenziali da una varietà di applicazioni, tra cui: browser web, client di posta elettronica e strumenti di amministrazione IT. In quanto trojan, il suo obiettivo è quello di insinuarsi, senza essere individuato, in un sistema mascherandosi da programma legittimo. Può essere distribuito tramite e-mail di phishing, siti Web dannosi, SMS e altre piattaforme di messaggistica. Questo aumento di popolarità può essere spiegato dall’incremento delle campagne di spam incentrate su richieste di informazioni online, ordini e messaggi di conferma dei pagamenti.

Il mese di ottobre ha visto anche la divulgazione di una nuova vulnerabilità critica, Text4Shell (CVE-2022-42889). Basata sulla funzionalità di Apache Commons Text, consente di effettuare attacchi in rete, senza la necessità di privilegi specifici o di interazione con l’utente. Text4shell ricorda la vulnerabilità Log4Shell, che a distanza di un anno è ancora una delle principali minacce, al secondo posto nell’elenco di ottobre. Sebbene Text4Shell non sia entrata nella lista delle principali vulnerabilità sfruttate questo mese, ha già avuto un impatto su oltre l’8% delle organizzazioni in tutto il mondo e Check Point continuerà a monitorarne l’impatto.

Questo mese abbiamo assistito a molti cambiamenti nelle classifiche, con una nuova serie di famiglie di malware che compongono i tre principali. È interessante notare come Lokibot sia risalito così rapidamente al terzo posto, a dimostrazione di una tendenza crescente verso gli attacchi di phishing. Mentre ci avviamo verso il mese di novembre, periodo di grandi acquisti, è importante rimanere vigili e tenere d’occhio le e-mail sospette che potrebbero contenere codice maligno. Fate attenzione a segnali come un mittente sconosciuto, la richiesta di informazioni personali e link. In caso di dubbio, visitate direttamente i siti web e cercate le informazioni di contatto appropriate da fonti verificate, e assicuratevi di avere installato una protezione contro il malware.

La nostra ricerca ha anche rivelato che “Web Server Exposed Git Repository Information Disclosure” è la vulnerabilità sfruttata più comune, con un impatto sul 43% delle organizzazioni in tutto il mondo, seguita da vicino da “Apache Log4j Remote Code Execution”, con un impatto del 41%. Il mese di ottobre ha visto anche l’istruzione/ricerca rimanere al primo posto come settore più attaccato a livello globale.

Famiglie di malware più diffuse

*Le frecce si riferiscono alla variazione di posizione rispetto al mese precedente.

↑ AgentTesla – AgentTesla è un RAT avanzato che funziona come keylogger e ruba informazioni. È in grado di monitorare e raccogliere gli input della tastiera della vittima, la tastiera del sistema, di scattare screenshot e di esfiltrare le credenziali di una serie di software installati sul computer della vittima (tra cui Google Chrome, Mozilla Firefox e Microsoft Outlook).
↑ SnakeKeylogger – SnakeKeylogger è un keylogger .NET modulare e ruba-credenziali individuato per la prima volta nel novembre 2020. La sua funzione principale è quella di registrare i tasti premuti dall’utente e trasmettere i dati raccolti agli attori delle minacce. Rappresenta una grave minaccia per la sicurezza online degli utenti, poiché questo malware può rubare tutti i tipi di informazioni sensibili ed è particolarmente elusivo.
↑Lokibot – Lokibot è un Infostealer distribuito principalmente tramite e-mail di phishing e viene utilizzato per rubare vari dati come le credenziali di posta elettronica, nonché le password dei portafogli di criptovalute e dei server FTP.
↑Icedid – IcedID è un Trojan bancario emerso per la prima volta nel settembre 2017. Si diffonde tramite campagne di spam via posta e spesso utilizza altri malware come Emotet per aiutarsi a proliferare. IcedID utilizza tecniche evasive come l’iniezione di processi e la steganografia. Ruba i dati finanziari degli utenti tramite attacchi di reindirizzamento (installando un proxy locale per reindirizzare gli utenti a siti falsi clonati) e attacchi di web injection.
↓ XMRig – XMRig è un software open-source per il mining della CPU utilizzato per la criptovaluta Monero. Gli attori delle minacce spesso abusano di questo software open-source integrandolo nel loro malware per condurre il mining illegale sui dispositivi delle vittime.
↓ Emotet – Emotet è un Trojan avanzato, autopropagante e modulare. Un tempo utilizzato come Trojan bancario, Emotet viene ora utilizzato anche come distributore di altri malware o campagne dannose. Utilizza molteplici tecniche di evasione per evitare il rilevamento. Inoltre, può essere diffuso attraverso e-mail di phishing spam contenenti allegati o link dannosi.
↓ Formbook – Formbook è un Infostealer che colpisce il sistema operativo Windows ed è stato rilevato per la prima volta nel 2016. È commercializzato come Malware as a Service (MaaS) nei forum di hacking underground per le sue forti tecniche di evasione e il prezzo relativamente basso. Formbook raccoglie le credenziali da vari browser web, raccoglie screenshot, monitora e registra le sequenze di tasti e può scaricare ed eseguire file in base agli ordini impartiti dal suo C&C.
↓ Ramnit – Ramnit è un trojan bancario modulare scoperto per la prima volta nel 2010. Ramnit ruba le informazioni della sessione web, consentendo ai suoi operatori di rubare le credenziali di accesso a tutti i servizi utilizzati dalla vittima, comprese le applicazioni bancarie e gli account aziendali e dei social network. Il trojan utilizza sia domini hardcoded sia domini generati da un DGA (Domain Generation Algorithm) per contattare il server C&C e scaricare moduli aggiuntivi.
↓ Vidar- Vidar è un Infostealer che colpisce i sistemi operativi Windows. Rilevato per la prima volta alla fine del 2018, è progettato per rubare password, dati delle carte di credito e altre informazioni sensibili da vari browser web e portafogli digitali. Vidar viene venduto su vari forum online e utilizzato come malware dropper per scaricare il ransomware GandCrab come payload secondario.
↔ Remcos- Remcos è un RAT che è apparso per la prima volta in natura nel 2016. Remcos si distribuisce attraverso documenti Microsoft Office dannosi, allegati a e-mail SPAM, ed è progettato per aggirare la protezione UAC di Microsoft Windows ed eseguire il malware con privilegi di alto livello.
I settori più attaccati a livello globale

Questo mese il settore dell’istruzione/ricerca rimane al primo posto come settore più attaccato a livello globale, seguito da quello governativo/militare e da quello sanitario.

Le vulnerabilità più sfruttate

“Web Server Exposed Git Repository Information Disclosure” è rimasta la vulnerabilità più sfruttata nel mese di ottobre, con un impatto sul 43% delle organizzazioni a livello globale. Segue “Apache Log4j Remote Code Execution” al secondo posto con un impatto del 41% e “HTTP Headers Remote Code Execution” al terzo posto con un impatto globale del 39%.

↔ Web Server Exposed Git Repository Information Disclosure – È stata segnalata una vulnerabilità nella divulgazione di informazioni in Git Repository. Lo sfruttamento riuscito di questa vulnerabilità potrebbe consentire la divulgazione involontaria di informazioni sull’account.
↔ Esecuzione di codice remoto di Apache Log4j (CVE-2021-44228) – Esiste una vulnerabilità nell’esecuzione di codice remoto in Apache Log4j. Lo sfruttamento riuscito di questa vulnerabilità potrebbe consentire a un aggressore remoto di eseguire codice arbitrario sul sistema interessato.
↑ Esecuzione di codice remoto da parte delle intestazioni HTTP (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Le intestazioni HTTP consentono al client e al server di passare informazioni aggiuntive con una richiesta HTTP. Un aggressore remoto può utilizzare un’intestazione HTTP vulnerabile per eseguire codice arbitrario sul computer della vittima.
↑ Server Web URL malevolo Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Esiste una vulnerabilità di directory traversal su diversi server Web. La vulnerabilità è dovuta a un errore di convalida dell’input in un server web che non sanifica correttamente l’URL per i modelli di attraversamento delle directory. Se sfruttata con successo, consente agli aggressori remoti non autenticati di divulgare o accedere a file arbitrari.
↓ Iniezione di comandi su HTTP (CVE-2021-43936,CVE-2022-24086) – È stata segnalata una vulnerabilità di iniezione di comandi su HTTP. Un attaccante remoto può sfruttare questo problema inviando una richiesta appositamente creata alla vittima. Uno sfruttamento riuscito consentirebbe a un aggressore di eseguire codice arbitrario sul computer di destinazione.
↔ MVPower DVR Remote Code Execution – Nei dispositivi MVPower DVR è presente una vulnerabilità nell’esecuzione di codice remoto. Un aggressore remoto può sfruttare questa debolezza per eseguire codice arbitrario nel router interessato tramite una richiesta artigianale.
↔ Divulgazione di informazioni dell’Easter Egg di PHP – È stata segnalata una vulnerabilità di divulgazione di informazioni nelle pagine PHP. La vulnerabilità è dovuta a una configurazione errata del server Web. Un utente remoto può sfruttare questa vulnerabilità inviando un URL appositamente creato a una pagina PHP interessata.
↑ Bypass dell’autenticazione del plugin WordPress portable-phpMyAdmin (CVE-2012-5469) – Esiste una vulnerabilità di bypass dell’autenticazione nel plugin WordPress portable-phpMyAdmin. Il corretto sfruttamento di questa vulnerabilità consentirebbe agli aggressori remoti di ottenere informazioni sensibili e di ottenere un accesso non autorizzato al sistema interessato.
↔ Bypass dell’autenticazione del router Dasan GPON (CVE-2018-10561)- Esiste una vulnerabilità di bypass dell’autenticazione nei router Dasan GPON. Lo sfruttamento riuscito di questa vulnerabilità consentirebbe agli aggressori remoti di ottenere informazioni sensibili e di accedere senza autorizzazione al sistema interessato.
↓ PHPUnit Command Injection (CVE-2017-9841) – Esiste una vulnerabilità di command injection in PHPUnit. Se questa vulnerabilità viene sfruttata con successo, gli aggressori remoti possono eseguire comandi arbitrari nel sistema interessato.
Le principali minacce informatiche mobili

Questo mese, Anubis ha mantenuto il primo posto come malware mobile più diffuso, seguito da Hydra e Joker.

Anubis – Anubis è un Trojan bancario progettato per i telefoni cellulari Android. Da quando è stato rilevato inizialmente, ha acquisito ulteriori funzioni, tra cui la funzionalità di Trojan per l’accesso remoto (RAT), le capacità di keylogger e di registrazione audio, nonché varie funzionalità di ransomware. È stato rilevato in centinaia di applicazioni diverse disponibili su Google Store.
Hydra – Hydra è un Trojan bancario progettato per rubare le credenziali finanziarie chiedendo alle vittime di abilitare autorizzazioni pericolose.
Joker – Joker è uno spyware Android presente in Google Play, progettato per rubare messaggi SMS, elenchi di contatti e informazioni sul dispositivo. Il malware può anche iscrivere la vittima a servizi premium a pagamento senza che questa ne sia a conoscenza.
Il Global Threat Impact Index di Check Point e la sua ThreatCloud Map sono alimentati dall’intelligence ThreatCloud di Check Point. ThreatCloud fornisce informazioni in tempo reale sulle minacce derivate da centinaia di milioni di sensori in tutto il mondo, su reti, endpoint e cellulari. L’intelligence è arricchita da motori basati sull’intelligenza artificiale e da dati di ricerca esclusivi di Check Point Research, la divisione di intelligence e ricerca di Check Point Software Technologies.

FONTE

Canale Telegram Matrice Digitale

Sicurezza Informatica

Windows, rischi Visual Studio Code, file MSC e kernel

Tempo di lettura: 3 minuti. Attacchi a Visual Studio Code e kernel di Windows: scopri come nuove minacce sfruttano estensioni malevole, file MSC e vulnerabilità critiche per colpire utenti globali.

Published

on

Tempo di lettura: 3 minuti.

Negli ultimi giorni, esperti di sicurezza hanno individuato nuove minacce che sfruttano estensioni malevole di Visual Studio Code, file MSC di Microsoft e una vulnerabilità critica nel kernel di Windows. Questi attacchi, sempre più sofisticati, rappresentano rischi significativi per sviluppatori, organizzazioni e utenti globali.

Visual Studio Code: estensioni malevole nel marketplace

Un’ampia campagna di attacchi è stata individuata su Visual Studio Code (VSCode), con oltre 18 estensioni malevole progettate per colpire sviluppatori e comunità legate alle criptovalute. Le estensioni, tra cui “Ethereum.SoliditySupport” e “ZoomWorkspace.Zoom,” mascherano funzioni dannose attraverso falsi numeri di installazioni e recensioni positive.

Le estensioni scaricano payload offuscati da domini fasulli come “microsoft-visualstudiocode[.]com”. Una volta installate, attivano comandi PowerShell che decriptano stringhe AES per eseguire codice dannoso. I rischi principali includono il furto di credenziali e movimenti laterali verso risorse cloud, specialmente su piattaforme come Microsoft Azure.

Gli esperti raccomandano di validare sempre le estensioni prima di installarle e di controllare i loro codici sorgente per evitare compromissioni della supply chain.

Attacchi tramite file MSC: una minaccia emergente

Un’altra campagna, denominata FLUX#CONSOLE, sfrutta file MSC (Microsoft Common Console Document) per distribuire backdoor mirate. Questi file, mascherati da documenti PDF (“Tax Reductions, Rebates and Credits 2024”), eseguono JavaScript integrato per caricare DLL dannose come “DismCore.dll.”

Gli attacchi sono stati osservati principalmente in Pakistan, dove gli aggressori utilizzano documenti a tema fiscale come esca. Questi file MSC rappresentano un’evoluzione dei tradizionali file LNK, offrendo agli attori malevoli un metodo stealth per infiltrarsi nei sistemi.

Le analisi suggeriscono che il malware installato tramite questi attacchi consente la raccolta di dati sensibili e l’esecuzione di comandi remoti, rendendo necessario un monitoraggio continuo e la segmentazione delle reti aziendali.

Kernel di Windows: vulnerabilità sfruttata per ottenere privilegi SYSTEM

Una vulnerabilità critica del kernel di Windows, identificata come CVE-2024-35250, è attivamente sfruttata per ottenere privilegi SYSTEM. Questa falla, presente nel componente Microsoft Kernel Streaming Service (MSKSSRV.SYS), permette a un attore locale di eseguire attacchi a bassa complessità senza richiedere l’interazione dell’utente.

Originariamente scoperta dal team di ricerca DEVCORE e dimostrata durante il Pwn2Own Vancouver 2024, la vulnerabilità è stata corretta da Microsoft nel Patch Tuesday di giugno 2024. Tuttavia, con la recente pubblicazione di exploit Proof-of-Concept (PoC) su GitHub, gli attacchi sono aumentati in frequenza, rendendo necessario un intervento urgente per mitigare i rischi.

Meccanismo dell’attacco e conseguenze

Gli aggressori sfruttano un untrusted pointer dereference, un tipo di debolezza che consente loro di manipolare la memoria del kernel e di ottenere un controllo completo sul sistema. Durante i test, questa tecnica è stata utilizzata per compromettere dispositivi con Windows 11 versione 23H2, eseguendo comandi con i massimi privilegi.

CISA ha classificato questa vulnerabilità come prioritaria, aggiungendola al suo catalogo Known Exploited Vulnerabilities (KEV) e imponendo alle agenzie federali di aggiornare i propri sistemi entro il 6 gennaio 2025. L’agenzia raccomanda anche alle organizzazioni private di applicare immediatamente le patch e di implementare controlli di accesso rigorosi.

Queste campagne, che spaziano dall’abuso di estensioni di Visual Studio Code alle vulnerabilità nel kernel di Windows, dimostrano la crescente sofisticazione degli attacchi informatici. Proteggersi richiede un approccio proattivo, che includa l’aggiornamento regolare dei software, il monitoraggio delle attività di rete e la segmentazione delle risorse sensibili.

Canale Telegram Matrice Digitale

Continue Reading

Sicurezza Informatica

HubPhish, targeting politico e vulnerabilità critiche

Tempo di lettura: 3 minuti. HubPhish, targeting politico e vulnerabilità critiche: analisi delle minacce e linee guida di sicurezza di CISA per dispositivi mobili e reti.

Published

on

Tempo di lettura: 3 minuti.

Le recenti analisi di esperti di sicurezza mettono in evidenza campagne sofisticate come HubPhish, che sfrutta strumenti di HubSpot per attacchi di phishing su larga scala, e azioni legali contro pratiche di targeting politico illecito in Europa. Parallelamente, CISA introduce linee guida per comunicazioni mobili sicure e aggiunge nuove vulnerabilità critiche al suo catalogo.

HubPhish: campagne di phishing sofisticate tramite HubSpot

Il gruppo responsabile della campagna HubPhish, individuato da Palo Alto Networks Unit 42, ha preso di mira oltre 20.000 utenti aziendali in Europa, utilizzando i servizi di HubSpot Free Form Builder per ingannare le vittime. I cybercriminali inviavano email di phishing a tema DocuSign che reindirizzavano a falsi login di Office 365, mirati a sottrarre credenziali.

La campagna sfrutta domini ospitati su TLD .buzz e infrastrutture come Bulletproof VPS per garantire persistenza nei sistemi compromessi. Gli attori aggiungono nuovi dispositivi sotto il loro controllo negli account compromessi, continuando con movimenti laterali verso infrastrutture Microsoft Azure per accedere a risorse cloud.

Questo esempio di phishing avanzato dimostra come i servizi legittimi possano essere abusati per campagne malevole, evidenziando la necessità di rigide misure di sicurezza, come il controllo di domini sconosciuti e l’uso di autenticazione a più fattori.

Targeting politico illecito e violazione del GDPR nell’UE

L’European Data Protection Supervisor (EDPS) ha dichiarato illegale il targeting politico dei cittadini basato sulle loro opinioni personali. La decisione segue una denuncia contro la Commissione Europea, accusata di utilizzare dati sensibili per una campagna a favore della regolamentazione CSAR (Child Sexual Abuse Regulation).

Le campagne di micro-targeting hanno sfruttato proxy data come parole chiave di interesse politico per segmentare il pubblico. La violazione del GDPR dimostra il rischio che pratiche simili possano influenzare la democrazia, spingendo i legislatori a considerare regolamenti più rigidi.

CISA: nuove linee guida per comunicazioni mobili sicure

La Cybersecurity and Infrastructure Security Agency (CISA) ha pubblicato un nuovo documento di riferimento con linee guida per migliorare la sicurezza delle comunicazioni mobili. Questo strumento è pensato per aiutare le organizzazioni a proteggere i dispositivi mobili aziendali e le reti wireless da minacce crescenti.

Le raccomandazioni principali includono:

  • Segmentazione delle reti mobili per separare dispositivi aziendali da quelli personali.
  • Autenticazione multi-fattore (MFA) per ridurre il rischio di compromissione delle credenziali.
  • Aggiornamenti regolari del firmware per mitigare vulnerabilità nei sistemi operativi mobili.
  • Monitoraggio continuo per identificare comportamenti anomali e attività sospette.

Le linee guida sottolineano anche l’importanza di educare i dipendenti sui rischi associati all’uso di dispositivi mobili per attività aziendali, enfatizzando il ruolo della consapevolezza nella protezione delle infrastrutture digitali.

Nuove vulnerabilità aggiunte al catalogo CISA

CISA ha aggiornato il proprio Known Exploited Vulnerabilities Catalog, aggiungendo quattro vulnerabilità critiche che sono già state sfruttate attivamente in attacchi mirati. Tra queste spiccano:

  • CVE-2018-14933 NUUO NVRmini Devices OS Command Injection Vulnerability
  • CVE-2022-23227 NUUO NVRmini 2 Devices Missing Authentication Vulnerability
  • CVE-2019-11001 Reolink Multiple IP Cameras OS Command Injection Vulnerability
  • CVE-2021-40407 Reolink RLC-410W IP Camera OS Command Injection Vulnerability

Queste vulnerabilità rappresentano rischi significativi per reti aziendali e infrastrutture governative. BOD 22-01, il Binding Operational Directive emesso da CISA, obbliga le agenzie federali a risolvere queste vulnerabilità entro scadenze specifiche. Tuttavia, CISA raccomanda a tutte le organizzazioni, pubbliche e private, di adottare lo stesso approccio per mitigare le minacce.

Le campagne di phishing come HubPhish, i rischi legati al targeting politico illecito e le vulnerabilità sfruttate attivamente evidenziano l’importanza di misure proattive di sicurezza. Con le nuove linee guida di CISA per le comunicazioni mobili e l’aggiornamento del catalogo di vulnerabilità, le organizzazioni possono rafforzare la propria difesa contro attacchi complessi e persistenti.

Canale Telegram Matrice Digitale

Continue Reading

Sicurezza Informatica

TA397: spionaggio internazionale con WmRAT e MiyaRAT

Tempo di lettura: 2 minuti. TA397 utilizza nuove tecniche di attacco per distribuire WmRAT e MiyaRAT, colpendo organizzazioni governative e della difesa.

Published

on

Tempo di lettura: 2 minuti.

Il gruppo di cyber spionaggio TA397, noto anche come Bitter, ha introdotto nuove e sofisticate catene di attacco per colpire organizzazioni governative e del settore della difesa, principalmente nelle regioni EMEA (Europa, Medio Oriente e Africa) e APAC (Asia-Pacifico). Proofpoint ha analizzato una recente campagna che utilizza tecniche avanzate per distribuire i malware WmRAT e MiyaRAT, progettati per raccogliere informazioni sensibili.

Una catena di infezione mirata e ingannevole

Il 18 novembre 2024, TA397 ha condotto un attacco mirato contro un’organizzazione della difesa in Turchia, utilizzando un’esca sotto forma di email di spear phishing. L’email conteneva un archivio RAR con diversi file, tra cui:

  • Un documento PDF legittimo proveniente dalla World Bank che descrive un progetto infrastrutturale in Madagascar.
  • Un file di collegamento LNK mascherato da documento PDF.
  • Flussi di dati alternativi (ADS) nascosti che contenevano codice PowerShell dannoso.

L’utente, attirato dall’apparente legittimità del file PDF, eseguiva inavvertitamente il file LNK, attivando una catena di infezione che includeva:

  1. L’apertura del PDF come decoy per distrarre l’utente.
  2. L’esecuzione di script PowerShell tramite il flusso ADS.
  3. La creazione di un’attività pianificata che comunicava regolarmente con il server di comando e controllo (C2) jacknwoods[.]com.

Questa attività pianificata inviava informazioni di base sul dispositivo della vittima e scaricava ulteriori payload malevoli, tra cui i RAT (Remote Access Trojans) WmRAT e MiyaRAT.

WmRAT e MiyaRAT: strumenti di spionaggio avanzati

WmRAT, scritto in C++, offre funzionalità classiche di RAT, come la cattura di screenshot, l’esfiltrazione di file e l’esecuzione di comandi remoti. Il malware utilizza una semplice crittografia per comunicare con il server C2, rendendo difficile l’intercettazione da parte delle difese di rete.

MiyaRAT, introdotto più recentemente, include funzionalità simili, ma con una crittografia più sofisticata e un livello più elevato di offuscamento del codice. Questo strumento è riservato a obiettivi di alto valore, come evidenziato dalla distribuzione limitata in campagne selezionate.

Entrambi i malware sono stati utilizzati per raccogliere informazioni critiche, come dati sulle directory, processi in esecuzione e geolocalizzazione, e per interagire direttamente con la rete dell’organizzazione compromessa.

Tecniche di persistenza e copertura delle tracce

TA397 dimostra una notevole abilità nell’evadere le misure di sicurezza, utilizzando:

  • Attività pianificate per garantire la persistenza.
  • Offuscamento dei file esca, mascherati per sembrare innocui.
  • Crittografia personalizzata per proteggere le comunicazioni con i server C2.

Queste tecniche, combinate con un’infrastruttura di comando e controllo che utilizza domini legittimi e indirizzi IP non direttamente riconducibili al gruppo, complicano ulteriormente le indagini forensi.

TA397 “rappresenta una minaccia significativa per organizzazioni strategiche in tutto il mondo”. Le sue campagne mirate dimostrano una continua evoluzione delle tecniche di attacco, sottolineando la necessità di misure di difesa avanzate e un monitoraggio costante delle infrastrutture IT per rilevare attività sospette.

Canale Telegram Matrice Digitale

Continue Reading

Facebook

CYBERSECURITY

Sicurezza Informatica7 ore ago

Windows, rischi Visual Studio Code, file MSC e kernel

Tempo di lettura: 3 minuti. Attacchi a Visual Studio Code e kernel di Windows: scopri come nuove minacce sfruttano estensioni...

Sicurezza Informatica9 ore ago

HubPhish, targeting politico e vulnerabilità critiche

Tempo di lettura: 3 minuti. HubPhish, targeting politico e vulnerabilità critiche: analisi delle minacce e linee guida di sicurezza di...

Sicurezza Informatica16 ore ago

Nvidia, SonicWall e Apache Struts: vulnerabilità critiche e soluzioni

Tempo di lettura: 3 minuti. Nvidia, SonicWall e Apache Struts: vulnerabilità critiche e le soluzioni consigliate per migliorare la sicurezza...

Sicurezza Informatica5 giorni ago

BadBox su IoT, Telegram e Viber: Germania e Russia rischiano

Tempo di lettura: < 1 minuto. Malware preinstallati su dispositivi IoT e sanzioni russe contro Telegram e Viber: scopri le...

Sicurezza Informatica6 giorni ago

PUMAKIT: analisi del RootKit malware Linux

Tempo di lettura: 3 minuti. PUMAKIT, il sofisticato rootkit per Linux, sfrutta tecniche avanzate di stealth e privilege escalation. Scopri...

Sicurezza Informatica7 giorni ago

Vulnerabilità Cleo: attacchi zero-day e rischi di sicurezza

Tempo di lettura: 2 minuti. Cleo, azienda leader nel software di trasferimento file gestito (MFT), è al centro di una...

Sicurezza Informatica1 settimana ago

Vulnerabilità cavi USB-C, Ivanti, WPForms e aggiornamenti Adobe

Tempo di lettura: 3 minuti. Vulnerabilità nei cavi USB-C, WPForms e Ivanti; aggiornamenti Adobe per Acrobat e Illustrator. Rischi e...

Microsoft Patch Tuesday Microsoft Patch Tuesday
Sicurezza Informatica1 settimana ago

Microsoft Patch Tuesday dicembre 2024: sicurezza e funzionalità

Tempo di lettura: 2 minuti. Microsoft dicembre 2024: aggiornamenti Windows 11 e 10 con patch per vulnerabilità zero-day, nuove funzionalità...

Windows 11 Recall Windows 11 Recall
Tech2 settimane ago

Windows 11 e le novità di Copilot+: funzionalità avanzate e nuove esperienze

Tempo di lettura: 5 minuti. Microsoft amplia le funzionalità di Windows 11 con Copilot+ e Recall, mentre iFixit introduce pezzi...

Editoriali2 settimane ago

Cybersicurezza: perchè c’è clamore sulle parole di Gratteri?

Tempo di lettura: 2 minuti. Nicola Gratteri critica il sistema IT italiano, paragonandolo agli acquedotti con il 45% di dati...

Truffe recenti

Sicurezza Informatica2 mesi ago

Qualcomm, LEGO e Arc Browser: Sicurezza sotto attacco e misure di protezione rafforzate

Tempo di lettura: 3 minuti. Qualcomm corregge una vulnerabilità zero-day, LEGO affronta una truffa in criptovalute e Arc Browser lancia...

Sicurezza Informatica3 mesi ago

Truffa “Il tuo partner ti tradisce”: chiedono di pagare per vedere le prove

Tempo di lettura: < 1 minuto. Una nuova truffa "Il tuo partner ti tradisce" chiede il pagamento per vedere prove...

Sicurezza Informatica5 mesi ago

Scam internazionale tramite Facebook e app: ERIAKOS e malware SMS stealer

Tempo di lettura: 4 minuti. Analisi delle campagne di scam ERIAKOS e del malware SMS Stealer che mirano gli utenti...

Sicurezza Informatica5 mesi ago

Meta banna 60.000 Yahoo Boys in Nigeria per sextortion

Tempo di lettura: 3 minuti. Meta combatte le truffe di estorsione finanziaria dalla Nigeria, rimuovendo migliaia di account e collaborando...

Inchieste5 mesi ago

Idealong.com chiuso, ma attenti a marketideal.xyz e bol-it.com

Tempo di lettura: 2 minuti. Dopo aver svelato la truffa Idealong, abbiamo scoperto altri link che ospitano offerte di lavoro...

Inchieste6 mesi ago

Idealong.com spilla soldi ed assolda lavoratori per recensioni false

Tempo di lettura: 4 minuti. Il metodo Idealong ha sostituito Mazarsiu e, dalle segnalazioni dei clienti, la truffa agisce su...

Sicurezza Informatica6 mesi ago

Truffa lavoro online: Mazarsiu sparito, attenti a idealong.com

Tempo di lettura: 2 minuti. Dopo il sito Mazarsiu, abbandonato dai criminali dopo le inchieste di Matrice Digitale, emerge un...

fbi fbi
Sicurezza Informatica7 mesi ago

FBI legge Matrice Digitale? Avviso sulle truffe di lavoro Online

Tempo di lettura: 2 minuti. L'FBI segnala un aumento delle truffe lavoro da casa con pagamenti in criptovaluta, offrendo consigli...

Sicurezza Informatica7 mesi ago

Milano: operazione “Trust”, frodi informatiche e riciclaggio di criptovaluta

Tempo di lettura: 2 minuti. Scoperta un'organizzazione criminale transnazionale specializzata in frodi informatiche e riciclaggio di criptovaluta nell'operazione "Trust"

Inchieste7 mesi ago

Truffa lavoro Online: analisi metodo Mazarsiu e consigli

Tempo di lettura: 4 minuti. Mazarsiu e Temunao sono solo due portali di arrivo della truffa di lavoro online che...

Tech

Smartphone7 ore ago

OnePlus Ace 5 Pro e Moto G05 Series: innovazione e affidabilità

Tempo di lettura: 3 minuti. OnePlus Ace 5 Pro vs Moto G05 Series: scopri i dettagli sui nuovi flagship e...

Robotica8 ore ago

Microrobot magnetico nel trattamento dell’infertilità femminile

Tempo di lettura: 2 minuti. Microrobot magnetico per l’infertilità: una soluzione meno invasiva per trattare le ostruzioni delle tube di...

Smartphone8 ore ago

Vivo X200 Pro vs Google Pixel 9 Pro: quale flagship scegliere?

Tempo di lettura: 4 minuti. Vivo X200 Pro vs Google Pixel 9 Pro: confronto tra design, fotocamere, autonomia e prestazioni....

Intelligenza Artificiale9 ore ago

L’intelligenza artificiale: strumenti e trattamenti personalizzati in medicina

Tempo di lettura: 2 minuti. L’intelligenza artificiale trasforma la sanità con il Reinforcement Learning e le QuantNets. Strumenti innovativi per...

Galaxy S25 Plus Galaxy S25 Plus
Smartphone9 ore ago

Galaxy S25: colori inediti, aggiornamenti per S22 e S21

Tempo di lettura: 3 minuti. Galaxy S25 con colori inediti e patch di dicembre per Galaxy S22 e S21: scopri...

Tech9 ore ago

Google Chrome Beta 132: aggiornamenti per iOS e Android

Tempo di lettura: < 1 minuto. Google Chrome Beta 132 per iOS e Android introduce miglioramenti alle prestazioni e stabilità....

iPhone 17 Pro iPhone 17 Pro
Smartphone14 ore ago

iPhone 17 Pro: evoluzione del design e incertezze sul modulo fotocamera

Tempo di lettura: 4 minuti. iPhone 17: nuovi sensori fotografici, design raffinato e prestazioni migliorate con il chip A18 Bionic.

Smartphone16 ore ago

Galaxy S25, Z Fold 7 e Instagram Night Mode: novità Android

Tempo di lettura: 3 minuti. Samsung e Instagram introducono novità che migliorano l’esperienza utente, tra innovazioni nel design del Galaxy...

Tech1 giorno ago

Apple e Samsung: altre Beta iOS 18.3 e One UI 7

Tempo di lettura: 4 minuti. Apple rilascia iOS 18.3 e macOS 15.3 Beta, mentre Samsung prepara il Galaxy S25 con...

Intelligenza Artificiale1 giorno ago

L’intelligenza artificiale interpreta lingua dei segni in tempo reale

Tempo di lettura: 2 minuti. L’AI interpreta la lingua dei segni americana con il 98% di accuratezza. Lo studio FAU...

Tendenza