Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 16 Marzo 2023 07:49
Il gruppo di hacker di spionaggio informatico Sharp Panda sta prendendo di mira le agenzie governative in Vietnam, Thailandia e Indonesia con una nuova versione di malware chiamata Soul.
CheckPoint ha identificato una nuova campagna utilizzando questo software.
È iniziato alla fine del 2022 ed è ancora in corso. Gli aggressori utilizzano attacchi di spear-phishing come vettore iniziale di compromissione.
 Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)? Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente. Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
CheckPoint è stato in grado di attribuire l’ultima operazione di spionaggio agli hacker cinesi sostenuti dallo stato in diversi modi. Tattiche, metodi e strumenti utilizzati corrispondono alle attività precedentemente viste della fazione Sharp Panda.
Nella sua nuova campagna, Sharp Panda utilizza e-mail di phishing con allegati dannosi sotto forma di file “.docx”.
Questi sono necessari per implementare la suite RoyalRoad e compromettere il sistema attraverso vulnerabilità note. L’exploit crea un’attività pianificata, quindi scarica ed esegue il loader DLL, che a sua volta carica il loader SoulSearcher stesso.
Quando viene lanciato, il modulo principale del malware Soul stabilisce una connessione con il server C2 e attende il download di moduli aggiuntivi che ne estendono le funzionalità.
La nuova versione di Soul analizzata da CheckPoint ha un’interessante modalità di “silenzio radio” che consente agli aggressori di specificare determinati giorni della settimana e ore del giorno in cui la backdoor non deve contattare il server C2 per evitare il rilevamento.
Inoltre, la nuova versione implementa il proprio protocollo per comunicare con il server C2, che utilizza vari metodi di richiesta HTTP, tra cui GET, POST e DELETE. Questa caratteristica conferisce alla backdoor una notevole flessibilità applicativa.
La connessione di Soul con il server C2 inizia con la registrazione sulla rete e l’invio dei dati della vittima (informazioni sull’hardware, tipo di sistema operativo, fuso orario, indirizzo IP, ecc.), dopodiché il malware entra in un ciclo infinito di comunicazione con il server.
I comandi che può ricevere durante questa comunicazione includono il caricamento di moduli aggiuntivi, la raccolta e l’invio di dati, il riavvio della connessione o l’interruzione completa della connessione.
Il framework Soul è stato visto per la prima volta nel 2017 e successivamente monitorato per tutto il 2019 in campagne di spionaggio cinesi gestite da aggressori senza legami apparenti con Sharp Panda.
Nonostante la solida età di Soul, gli esperti di CheckPoint hanno concluso che il malware è ancora in fase di sviluppo, la sua funzionalità e i modi per eludere il rilevamento saranno integrati solo in futuro.
RedazioneDietro molte delle applicazioni e servizi digitali che diamo per scontati ogni giorno si cela un gigante silenzioso: FreeBSD. Conosciuto soprattutto dagli addetti ai lavori, questo sistema operativo U...
Molto spesso parliamo su questo sito del fatto che la finestra tra la pubblicazione di un exploit e l’avvio di attacchi attivi si sta riducendo drasticamente. Per questo motivo diventa sempre più f...
Dal 1° luglio, Cloudflare ha bloccato 416 miliardi di richieste da parte di bot di intelligenza artificiale che tentavano di estrarre contenuti dai siti web dei suoi clienti. Secondo Matthew Prince, ...
Nel 2025, le comunità IT e della sicurezza sono in fermento per un solo nome: “React2Shell“. Con la divulgazione di una nuova vulnerabilità, CVE-2025-55182, classificata CVSS 10.0, sviluppatori ...
Cloudflare torna sotto i riflettori dopo una nuova ondata di disservizi che, nella giornata del 5 dicembre 2025, sta colpendo diversi componenti della piattaforma. Oltre ai problemi al Dashboard e all...
