Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 27 Dicembre 2024 10:15
Il gruppo di hacker APT29 (Midnight Blizzard) ha lanciato una massiccia campagna utilizzando 193 server proxy per attacchi man-in-the-middle (MiTM) tramite Remote Desktop Protocol (RDP ). Lo scopo degli attacchi è rubare dati, account e installare malware.
Per eseguire attacchi MiTM, i Red Team utilizzano lo strumento PyRDP, che consente di scansionare i file system delle vittime, estrarre dati in background e avviare in remoto applicazioni dannose in un ambiente compromesso.
Trend Micro sta monitorando le attività di un gruppo chiamato “Earth Koshchei” e riferisce che gli attacchi sono mirati a organizzazioni governative e militari, missioni diplomatiche, società IT, fornitori di servizi cloud, società di telecomunicazioni e sicurezza informatica. La campagna si rivolge a organizzazioni negli Stati Uniti, Francia, Australia, Ucraina, Portogallo, Germania, Israele, Grecia, Turchia e Paesi Bassi.
Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)
Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà
la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.
La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.
Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Il metodo di attacco prevede di indurre gli utenti a connettersi a falsi server RDP creati dopo aver eseguito un file ricevuto tramite e-mail di phishing. Una volta stabilita una connessione, le risorse del sistema locale (dischi, reti, appunti, stampanti e dispositivi I/O) diventano disponibili agli aggressori.
Il rapporto Trend Micro rivela i dettagli dell’infrastruttura, che comprende 193 server proxy RDP che reindirizzano le connessioni a 34 server controllati dagli aggressori. Ciò consente agli hacker di dirottare le sessioni RDP utilizzando PyRDP. I criminali informatici possono registrare le credenziali in testo non crittografato o come hash NTLM, rubare dati dagli appunti e dai file system ed eseguire comandi tramite la console o PowerShell.
Gli esperti notano che la tecnica è stata descritta per la prima volta nel 2022 da Mike Felch, il che potrebbe aver ispirato APT29 a utilizzarla. Una volta stabilita la connessione, il server falso imita il comportamento di un server RDP legittimo, consentendo agli aggressori di inserire script dannosi, modificare le impostazioni di sistema e manipolare il file system della vittima.
Tra le configurazioni dannose ce n’è una che invia all’utente una falsa richiesta di connessione ad AWS Secure Storage Stability Test, creando l’impressione di un processo legittimo e fuorviando l’utente.
Per mascherare gli attacchi, gli aggressori utilizzano servizi VPN commerciali che pagano in criptovaluta, nodi di uscita TOR e servizi proxy che utilizzano gli indirizzi IP di altri utenti. Tali misure rendono difficile risalire ai reali indirizzi IP dei server dannosi.
Gli esperti sottolineano che prevenire gli attacchi richiede maggiore attenzione alle e-mail di phishing inviate da indirizzi legittimi precedentemente compromessi. Si consiglia di utilizzare connessioni RDP solo con server attendibili ed evitare di eseguire applicazioni ricevute tramite posta elettronica.
RedazioneDomani celebreremo uno degli elementi più iconici – e al tempo stesso vulnerabili – della nostra vita digitale: la password. Da semplice chiave d’accesso inventata negli anni...
Ci sono luoghi nel web dove la normalità cede il passo all’illecito, dove l’apparenza di un marketplace moderno e funzionale si trasforma in una vetrina globale per ogni tipo di rea...
Le backdoor come sappiamo sono ovunque e qualora presenti possono essere utilizzate sia da chi le ha richieste ma anche a vantaggio di chi le ha scoperte e questo potrebbe essere un caso emblematico s...
Il 25 febbraio 2025 WindTre ha rilevato un accesso non autorizzato ai sistemi informatici utilizzati dai propri rivenditori. L’intrusione, riconosciuta come un’azione malevola, è st...
Ancora non sono chiari i motivi che hanno causato un grave Blackout in Spagna e Portogallo nelle ultime ore. Vaste aree sono rimaste senza energia elettrica, scatenando un’ondata di speculazion...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
