Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Silvia Felici : 8 Maggio 2023 14:02
L’attacco mira a vari organi governativi dell’Ucraina. L’agenzia ha attribuito questa campagna di phishing ad APT28, un gruppo noto anche come Fancy Bear, Forest Blizzard, FROZENLAKE, Iron Twilight, Sednit e Sofacy.
Secondo quanto riferito, i messaggi di posta elettronica hanno come oggetto “Windows Update” e contengono presunte istruzioni in lingua ucraina per eseguire un comando PowerShell, con il pretesto di aggiornamenti di sicurezza.
L’esecuzione dello script carica ed esegue uno script di PowerShell della fase successiva, progettato per raccogliere informazioni dal sistema di base tramite comandi come tasklist e systeminfo per esfiltrare i dettagli tramite una richiesta HTTP a un’API Mocky.
 Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)? Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente. Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Per convincere gli obiettivi ad eseguire le azioni, le e-mail hanno impersonato gli amministratori di sistema delle entità governative prese di mira, utilizzando falsi account di posta elettronica di Microsoft Outlook creati con i nomi e le iniziali reali dei dipendenti.
CERT-UA ha raccomandato alle organizzazioni di limitare la capacità degli utenti di eseguire script PowerShell e di monitorare le connessioni di rete all’API Mocky.
La divulgazione dell’attacco arriva dopo che APT28 è stato collegato ad attacchi che sfruttavano difetti di sicurezza ora corretti nelle apparecchiature di rete per condurre ricognizioni e distribuire malware contro obiettivi selezionati.
Il Threat Analysis Group (TAG) di Google ha anche pubblicato un avviso il mese scorso, dettagliando un’operazione di raccolta delle credenziali effettuata dall’autore della minaccia per reindirizzare i visitatori dei siti web del governo ucraino a domini di phishing.
I gruppi di hacker russi sono stati anche collegati allo sfruttamento di un difetto critico di escalation dei privilegi in Microsoft Outlook (CVE-2023-23397, punteggio CVSS: 9.8) in intrusioni dirette contro il governo, i trasporti, l’energia e i settori militari in Europa.
Inoltre, Fortinet FortiGuard Labs ha scoperto un attacco di phishing in più fasi che sfrutta un documento Word presumibilmente dall’Energoatom ucraino come esca per fornire il framework post-sfruttamento Havoc open source.
Secondo Recorded Future, una società di sicurezza informatica, “resta molto probabile che i servizi di intelligence, militari e delle forze dell’ordine russi abbiano un’intesa tacita di lunga data con gli attori delle minacce informatiche“.
“In alcuni casi, è quasi certo che queste agenzie mantengano una relazione consolidata e sistematica con gli attori delle minacce criminali informatiche, tramite collaborazione indiretta o tramite reclutamento“.
Fonte Thehackernews
Silvia FeliciL’azienda italiana di difesa Leonardo ha presentato il suo nuovo sistema Michelangelo Dome. Secondo l’azienda, è progettato per contrastare missili ipersonici e attacchi di massa con droni. Duran...
Secondo l’esperto di informatica forense Elom Daniel, i messaggi di WhatsApp possono contenere dati di geolocalizzazione nascosti anche quando l’utente non ha intenzionalmente condiviso la propria...
L’ecosistema npm è nuovamente al centro di un vasto attacco alla supply chain attribuito alla campagna Shai-Hulud. Questa ondata ha portato alla diffusione di centinaia di pacchetti apparentemente ...
Il team di GrapheneOS annuncia la chiusura completa della sua infrastruttura in Francia. Gli sviluppatori stanno accelerando il passaggio dal provider di hosting OVH e accusano dalle autorità frances...
Il Roskomnadzor della Federazione Russa ha annunciato che continua a imporre restrizioni sistematiche all’app di messaggistica WhatsApp a causa di violazioni della legge russa. Secondo l’agenzia, ...
