Sicurezza Informatica
SneakyChef: il gruppo di Cyber Spionaggio dietro SugarGh0st
Tempo di lettura: 3 minuti. SneakyChef espande l’uso di SugarGh0st in attacchi mirati a livello globale come riportato nell’analisi di Cisco Talos
![](https://www.matricedigitale.it/wp-content/uploads/2024/06/aldebaran33_SneakyChef_espionage_group_targets_government_agenc_945be5bf-fc65-4624-83c6-53048c25c57b.jpg)
Cisco Talos ha recentemente scoperto una campagna in corso condotta da un nuovo attore di minacce denominato SneakyChef, utilizzando il malware SugarGh0st. Questa campagna, iniziata ad agosto 2023, ha ampliato il proprio raggio d’azione includendo obiettivi in paesi di EMEA e Asia, rispetto alle precedenti osservazioni che si concentravano principalmente su Corea del Sud e Uzbekistan.
Tecniche e Target
![](https://www.matricedigitale.it/wp-content/uploads/2024/06/image-197-1.jpg)
SneakyChef utilizza documenti esca che sono scansioni di documenti di agenzie governative, per lo più relativi a Ministeri degli Affari Esteri o ambasciate di vari paesi. Sono stati individuati diversi tipi di catene di infezione, tra cui l’uso di file SFX RAR per distribuire il malware.
Caratteristiche di SugarGh0st
SugarGh0st è un RAT (Remote Access Trojan) che permette agli attori delle minacce di connettersi al sistema compromesso, eseguire comandi, raccogliere dati e esfiltrarli. La backdoor utilizza protocolli come DNS e ICMP per la comunicazione C2 (Command and Control) e può mascherare la sua attività attraverso l’uso di documenti esca legittimi.
Profili degli attacchi e obiettivi
Gli attacchi recenti di SneakyChef hanno mirato a diverse agenzie governative tra cui:
- Ministero degli Affari Esteri dell’Angola
- Ministero delle Risorse della Pesca e Marine dell’Angola
- Ministero dell’Agricoltura e delle Foreste dell’Angola
- Ministero degli Affari Esteri del Turkmenistan
- Ministero degli Affari Esteri del Kazakistan
- Ministero degli Affari Esteri dell’India
- Ambasciata del Regno dell’Arabia Saudita ad Abu Dhabi
- Ministero degli Affari Esteri della Lettonia
Tecniche di infezione
![](https://www.matricedigitale.it/wp-content/uploads/2024/06/image-197.png)
La catena di infezione utilizza file RAR autoestraenti (SFX) che contengono documenti esca e payload malevoli. Quando un utente esegue l’eseguibile SFX, il malware viene estratto e avviato, stabilendo la persistenza nel sistema compromesso e avviando la comunicazione con il server C2.
SpiceRAT: nuovo strumento di SneakyChef per attacchi mirati in EMEA e Asia
![](https://www.matricedigitale.it/wp-content/uploads/2024/06/image-198-1024x740.jpg)
Cisco Talos ha scoperto un nuovo trojan di accesso remoto (RAT) chiamato SpiceRAT, utilizzato dall’attore di minacce SneakyChef in una recente campagna che ha preso di mira agenzie governative in EMEA e Asia. Questa campagna ha visto l’utilizzo di email di phishing per distribuire SugarGh0st e SpiceRAT utilizzando lo stesso indirizzo email.
Tecniche di Infezione
SneakyChef ha utilizzato due catene di infezione per distribuire SpiceRAT, impiegando file LNK e HTA come vettori di attacco iniziali.
Catena di Infezione Basata su LNK
![](https://www.matricedigitale.it/wp-content/uploads/2024/06/image-198-1.jpg)
- File RAR Malevoli: Contengono un file di collegamento di Windows (LNK) e una cartella nascosta con componenti malevoli, tra cui un eseguibile, un loader DLL malevolo, un payload cifrato e un PDF esca.
- Esecuzione del LNK: Il file di collegamento avvia l’eseguibile malevolo, che a sua volta carica il DLL malevolo e decripta il payload di SpiceRAT.
Catena di Infezione Basata su HTA
![](https://www.matricedigitale.it/wp-content/uploads/2024/06/image-198-2-906x1024.jpg)
- File RAR Malevoli: Contengono un file HTA malevolo.
- Esecuzione dell’HTA: Esegue uno script Visual Basic che decodifica un downloader malevolo e lo esegue.
Analisi di SpiceRAT
![](https://www.matricedigitale.it/wp-content/uploads/2024/06/image-198.png)
SpiceRAT è costituito da un eseguibile legittimo utilizzato per caricare un loader DLL malevolo, che decripta e esegue il payload cifrato di SpiceRAT.
Componenti di SpiceRAT
- Eseguibile Legittimo: Utilizzato per caricare il DLL malevolo (es.
RunHelp.exe
firmato da Samsung). - Loader DLL Malevolo: Decripta il payload di SpiceRAT e lo esegue in memoria.
- Payload di SpiceRAT: Include tre funzioni di esportazione malevole e raccoglie dati di ricognizione, comunicando con il server C2.
Comunicazioni C2
SpiceRAT comunica con il server C2 tramite metodi HTTP POST, inviando dati cifrati di ricognizione e ricevendo risposte cifrate contenenti ulteriori payload o comandi.
Attività Successive
SpiceRAT può eseguire plugin scaricati dal server C2, aumentando la superficie di attacco sulla rete della vittima. I plugin possono scaricare ed eseguire binari e comandi arbitrari.
Misure di protezione
Per proteggersi da queste minacce, è essenziale utilizzare soluzioni di sicurezza che possano rilevare e bloccare questi comportamenti malevoli come consiglia Cisco.
Sicurezza Informatica
Kimsuky sfrutta TRANSLATEXT contro l’Accademia Sudcoreana
Tempo di lettura: 2 minuti. Kimsuky utilizza TRANSLATEXT per prendere di mira l’accademia sudcoreana, rubando dati sensibili tramite un’estensione Chrome malevola.
![](https://www.matricedigitale.it/wp-content/uploads/2023/05/Aldebaran_kimsuky_north_korea_real_flag_advanced_persistent_thr_3ce19cd4-c653-481f-9a06-8f1252dd984b.webp)
Il gruppo di hacker nordcoreano Kimsuky ha recentemente utilizzato una nuova estensione del browser Chrome chiamata TRANSLATEXT per prendere di mira il settore accademico sudcoreano. Secondo l’analisi condotta da Zscaler, questa campagna ha utilizzato metodi sofisticati per distribuire malware e raccogliere dati sensibili.
Dettagli tecnici dell’attacco
Kimsuky ha consegnato un file archivio denominato “한국군사학논집 심사평서 (1).zip”, che tradotto significa “Revisione di una Monografia sulla Storia Militare Coreana”. L’archivio conteneva due file esca: documenti HWP (un formato di file popolare in Corea del Sud) e un eseguibile Windows camuffato da documenti correlati. Quando l’utente lancia l’eseguibile, il malware recupera uno script PowerShell dal server del cyber-attore.
![](https://www.matricedigitale.it/wp-content/uploads/2024/06/image-246-1024x471.png)
Questo script PowerShell carica informazioni generali sulla vittima e crea un collegamento Windows che recupera un ulteriore script PowerShell dallo stesso server. Durante le ricerche di Zscaler, è stato scoperto un altro script PowerShell e un account GitHub utilizzato dall’attore della minaccia per caricare i dati delle vittime e un’estensione Chrome precedentemente eliminata.
Fase | Descrizione |
---|---|
File iniziale | “한국군사학논집 심사평서 (1).zip” con documenti esca e un eseguibile Windows |
Script PowerShell | Recuperato dal server del cyber-attore, carica informazioni generali sulla vittima |
Estensione Chrome TRANSLATEXT | Registrata nel registro di Windows per forzare l’installazione senza il permesso dell’utente |
Analisi di TRANSLATEXT
![](https://www.matricedigitale.it/wp-content/uploads/2024/06/image-247-1024x822.png)
TRANSLATEXT è stata caricata su GitHub con il nome “GoogleTranslate.crx” e mascherata da estensione di Google Translate. In realtà, conteneva quattro file Javascript malevoli progettati per aggirare le misure di sicurezza, rubare indirizzi email, credenziali, cookie, catturare schermate del browser e esfiltrare dati rubati.
File Javascript | Funzione |
---|---|
auth.js | Iniettato nelle pagine di login di Naver e Kakao per aggirare le misure di sicurezza |
gsuit.js | Iniettato nella pagina di login di Gmail per aggirare le misure di sicurezza |
content.js | Iniettato in tutte le pagine web per monitorare e rubare informazioni |
background.js | Gestisce la comunicazione con il server di comando e controllo (C2) |
La presenza di vari file Javascript suggerisce che TRANSLATEXT sia stata progettata per colpire una vasta gamma di piattaforme di login, raccogliendo dati sensibili e inviandoli al server C2 attraverso richieste HTTP POST.
Misure di Sicurezza e Collaborazione
Durante l’analisi, Zscaler ha notificato i team di sicurezza di Google e Naver riguardo a queste vulnerabilità di sicurezza, collaborando strettamente per mitigare il problema. L’obiettivo principale dell’attacco era raccogliere dati sensibili dagli accademici sudcoreani, con l’estensione TRANSLATEXT che fungeva da strumento principale per la raccolta di queste informazioni.
L’utilizzo di TRANSLATEXT da parte di Kimsuky per prendere di mira l’accademia sudcoreana dimostra il livello di sofisticazione raggiunto dagli attacchi di questo gruppo. La collaborazione tra Zscaler, Google e Naver è essenziale per contrastare queste minacce e proteggere i dati degli utenti. È cruciale per gli utenti essere consapevoli delle minacce e adottare misure di sicurezza appropriate per proteggere i propri dati personali e professionali.
Sicurezza Informatica
Cina, preoccupazioni su dati personali e sicurezza: aziende cinesi e il caso TEMU
Tempo di lettura: 2 minuti. Indagine sulle aziende cinesi per presunto sfruttamento dei dati personali e causa contro TEMU per malware
![](https://www.matricedigitale.it/wp-content/uploads/2024/05/aldebaran33_advanced_persistent_threath_from_china_cybersecurit_2fc5cc43-1813-47ea-863c-11fe0944c0a3.jpg)
La sicurezza dei dati personali è una questione di crescente preoccupazione, con indagini e accuse che coinvolgono aziende cinesi e , recentemente, l’amministrazione Biden ha avviato un’indagine sulle aziende di telecomunicazioni cinesi come China Mobile, China Unicom e China Telecom per presunto sfruttamento dei dati personali degli utenti statunitensi ma, contemporaneamente, il procuratore generale dell’Arkansas ha citato in giudizio TEMU, un popolare app di shopping online, accusandola di essere un malware pericoloso.
Indagine su China Mobile, China Unicom e China Telecom
Le aziende cinesi China Mobile, China Unicom e China Telecom sono sotto indagine da parte del Dipartimento del Commercio degli Stati Uniti. L’indagine riguarda il presunto sfruttamento dei dati personali degli utenti statunitensi raccolti attraverso i loro servizi cloud e internet. Secondo fonti anonime, queste aziende potrebbero consegnare le informazioni raccolte al governo cinese, un’accusa che ha portato alla convocazione delle aziende da parte del Dipartimento del Commercio.
![](https://www.matricedigitale.it/wp-content/uploads/2024/06/image-246-1024x683.jpg)
Le aziende cinesi non hanno commentato ufficialmente queste accuse. Un portavoce dell’ambasciata cinese a Washington D.C. ha dichiarato che gli Stati Uniti dovrebbero smettere di sopprimere le aziende cinesi sotto falsi pretesti, aggiungendo che la Cina continuerà a difendere i diritti e gli interessi delle sue aziende. Reuters, dopo un’indagine indipendente, non ha trovato prove che le tre aziende abbiano fornito dati personali degli utenti statunitensi al governo cinese.
Azienda | Servizi Offerti in USA | Accusa |
---|---|---|
China Mobile | Servizi cloud e routing internet | Presunto sfruttamento dei dati degli utenti |
China Unicom | Servizi cloud e routing internet | Presunto sfruttamento dei dati degli utenti |
China Telecom | Servizi cloud e routing internet | Presunto sfruttamento dei dati degli utenti |
Causa Legale Contro TEMU
TEMU, una popolare app di shopping online cinese, è stata citata in giudizio dal procuratore generale dell’Arkansas, Tim Griffin, con l’accusa di essere un malware pericoloso che spia gli utenti. La causa sostiene che l’app TEMU accede segretamente a quasi tutti i dati sul cellulare di un utente, inclusi fotocamera, posizione specifica, contatti, messaggi di testo e documenti. Inoltre, la causa afferma che TEMU può ricompilarsi, modificare le proprietà e ignorare le impostazioni di privacy dei dati dell’utente, rendendo difficile rilevare il malware anche per utenti esperti.
TEMU ha negato tutte le accuse, definendole infondate e basate su disinformazioni diffuse online. Nonostante le accuse, TEMU è stata l’app di shopping più scaricata nel 2023, con oltre 337 milioni di download. Le teorie suggeriscono che i prezzi estremamente bassi offerti da TEMU siano il risultato della pressione sui produttori per abbassare ulteriormente i prezzi, spesso lasciando i produttori con pochi o nessun profitto.
Accusa | Dettaglio |
---|---|
Malware e Spionaggio | Accesso a fotocamera, posizione, contatti, messaggi di testo, documenti |
Modifica delle Proprietà | Capacità di ricompilarsi, modificare proprietà e ignorare le impostazioni di privacy |
Impatto sui Consumatori | Presunti rischi per la privacy e la sicurezza dei dati degli utenti |
Le preoccupazioni sulla sicurezza dei dati personali raccolti dalle aziende cinesi e il caso legale contro TEMU evidenziano la necessità di una vigilanza continua e di regolamentazioni rigorose per proteggere gli utenti. Le indagini e le azioni legali in corso mirano a garantire che le aziende rispettino le norme sulla privacy e la sicurezza dei dati, proteggendo gli utenti da potenziali abusi.
Sicurezza Informatica
TeamViewer bucato: è stato APT29
Tempo di lettura: < 1 minuto. TeamViewer comunica i dettagli sull’incidente di sicurezza del 26 giugno, attribuito ad APT29: Nessun accesso ai dati dei clienti.
![](https://www.matricedigitale.it/wp-content/uploads/2024/06/aldebaran33_apt29_or_cozy_bear_is_an_advanced_persistent_threat_0792681c-26e7-4963-8028-c4305365b4c3.jpg)
TeamViewer ha recentemente comunicato i dettagli di un incidente di sicurezza avvenuto il 26 giugno che sembrerebbe essere ad opera di APT29. Un team dedicato, composto da esperti di sicurezza di TeamViewer e specialisti globali di cyber sicurezza, ha lavorato 24 ore su 24 per investigare l’incidente utilizzando tutti i mezzi disponibili ed è in costante contatto con fornitori di intelligence sulle minacce e autorità competenti per aggiornare l’indagine.
Dettagli dell’incidente
L’indagine ha rivelato che l’attacco ha coinvolto le credenziali di un account standard di un dipendente all’interno dell’ambiente IT aziendale di TeamViewer. Grazie al monitoraggio continuo della sicurezza, il team ha identificato comportamenti sospetti relativi a questo account e ha immediatamente attivato le misure di risposta agli incidenti. In collaborazione con il supporto esterno per la risposta agli incidenti, TeamViewer attribuisce questa attività al noto attore di minacce APT29, anche conosciuto come Midnight Blizzard.
Contenimento e protezione dei Dati
Secondo le scoperte attuali dell’indagine, l’attacco è stato contenuto all’interno dell’ambiente IT aziendale e non ci sono prove che l’attore di minacce abbia avuto accesso all’ambiente di produzione o ai dati dei clienti. TeamViewer utilizza una forte segregazione tra l’IT aziendale, l’ambiente di produzione e la piattaforma di connettività TeamViewer. Questo significa che tutti i server, le reti e gli account sono mantenuti rigorosamente separati per prevenire accessi non autorizzati e movimenti laterali tra i diversi ambienti. Questa segregazione è una delle molteplici misure di protezione nel nostro approccio di ‘difesa in profondità’.
Impegno per la Trasparenza
La sicurezza è di fondamentale importanza per TeamViewer ed è profondamente radicata nella nostra cultura aziendale e continuerà ad aggiornare lo stato delle nostre indagini nel nostro Trust Center man mano che saranno disponibili nuove informazioni. Il prossimo aggiornamento è previsto entro la fine della giornata odierna, CEST.
- Smartphone1 settimana fa
Aggiornamenti di sicurezza Galaxy S21 FE e A55
- Smartphone1 settimana fa
Samsung Galaxy A24, A53 5G e S24 ricevono aggiornamenti importanti
- Smartphone1 settimana fa
Realme GT 6 vs POCO F6: quale scegliere?
- Smartphone1 settimana fa
Honor 200 Pro vs. Google Pixel 8 Pro: quale scegliere?
- Smartphone1 settimana fa
Galaxy A42 5G, S20 FE e A52s si aggiornano: One UI 6.1.1 arriva presto
- Smartphone1 settimana fa
Samsung Galaxy A53 5G, S23 FE e One UI 6.1.1: novità e aggiornamenti
- Smartphone6 giorni fa
Samsung dice addio a A51, A41 e M01: resiste l’S21 Ultra
- Smartphone1 settimana fa
Samsung Galaxy Z Fold 6, Z Flip 6 e S25 Ultra: novità e specifiche