Silvia Felici : 8 Maggio 2023 14:02
L’attacco mira a vari organi governativi dell’Ucraina. L’agenzia ha attribuito questa campagna di phishing ad APT28, un gruppo noto anche come Fancy Bear, Forest Blizzard, FROZENLAKE, Iron Twilight, Sednit e Sofacy.
Secondo quanto riferito, i messaggi di posta elettronica hanno come oggetto “Windows Update” e contengono presunte istruzioni in lingua ucraina per eseguire un comando PowerShell, con il pretesto di aggiornamenti di sicurezza.
L’esecuzione dello script carica ed esegue uno script di PowerShell della fase successiva, progettato per raccogliere informazioni dal sistema di base tramite comandi come tasklist e systeminfo per esfiltrare i dettagli tramite una richiesta HTTP a un’API Mocky.
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Per convincere gli obiettivi ad eseguire le azioni, le e-mail hanno impersonato gli amministratori di sistema delle entità governative prese di mira, utilizzando falsi account di posta elettronica di Microsoft Outlook creati con i nomi e le iniziali reali dei dipendenti.
CERT-UA ha raccomandato alle organizzazioni di limitare la capacità degli utenti di eseguire script PowerShell e di monitorare le connessioni di rete all’API Mocky.
La divulgazione dell’attacco arriva dopo che APT28 è stato collegato ad attacchi che sfruttavano difetti di sicurezza ora corretti nelle apparecchiature di rete per condurre ricognizioni e distribuire malware contro obiettivi selezionati.
Il Threat Analysis Group (TAG) di Google ha anche pubblicato un avviso il mese scorso, dettagliando un’operazione di raccolta delle credenziali effettuata dall’autore della minaccia per reindirizzare i visitatori dei siti web del governo ucraino a domini di phishing.
I gruppi di hacker russi sono stati anche collegati allo sfruttamento di un difetto critico di escalation dei privilegi in Microsoft Outlook (CVE-2023-23397, punteggio CVSS: 9.8) in intrusioni dirette contro il governo, i trasporti, l’energia e i settori militari in Europa.
Inoltre, Fortinet FortiGuard Labs ha scoperto un attacco di phishing in più fasi che sfrutta un documento Word presumibilmente dall’Energoatom ucraino come esca per fornire il framework post-sfruttamento Havoc open source.
Secondo Recorded Future, una società di sicurezza informatica, “resta molto probabile che i servizi di intelligence, militari e delle forze dell’ordine russi abbiano un’intesa tacita di lunga data con gli attori delle minacce informatiche“.
“In alcuni casi, è quasi certo che queste agenzie mantengano una relazione consolidata e sistematica con gli attori delle minacce criminali informatiche, tramite collaborazione indiretta o tramite reclutamento“.
Fonte Thehackernews
Silvia FeliciTrend Micro ha rilevato un attacco mirato ai settori governativo e aeronautico in Medio Oriente, utilizzando un nuovo ransomware chiamato Charon. Gli aggressori hanno utilizzato una complessa catena d...
Diversi prodotti di sicurezza Fortinet, tra cui FortiOS, FortiProxy e FortiPAM, sono interessati da una vulnerabilità di evasione dell’autenticazione di alta gravità. La falla, monito...
Agosto Patch Tuesday: Microsoft rilascia aggiornamenti sicurezza che fixano 107 vulnerabilità nei prodotti del suo ecosistema. L’aggiornamento include correzioni per 90 vulnerabilità,...
29.000 server Exchange sono vulnerabili al CVE-2025-53786, che consente agli aggressori di muoversi all’interno degli ambienti cloud Microsoft, portando potenzialmente alla compromissione compl...
Come era prevedibile, il famigerato bug scoperto su WinRar, viene ora sfruttato attivamente dai malintenzionati su larga scala, vista la diffusione e la popolarità del software. Gli esperti di ES...
