Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
I ricercatori di TrendAI hanno scoperto una campagna di cyberspionaggio cinese che colpisce enti governativi e aziende attraverso vulnerabilità di Microsoft Exchange e IIS. La campagna, denominata SHADOW-EARTH-053, è focalizzata sulla raccolta di informazioni e sul furto di proprietà intellettuale
I ricercatori di TrendAI hanno scoperto che i cybercriminali stanno sfruttando vecchie vulnerabilità di Microsoft Exchange e di IIS per la raccolta di informazioni e il furto di proprietà intellettuale, in oltre otto paesi asiatici e in un paese europeo della NATO.
I ricercatori diTrendAI™, leader globale di AI security e business unit di Trend Micro™, hanno scoperto una campagna di cyberspionaggio condotta da un gruppo cybercriminale cinese che sta prendendo di mira enti governativi, IT contractor della difesa e aziende di trasporti in oltre otto Paesi del sud-est asiatico e in un Paese europeo della NATO. La campagna di cyberspionaggio è analizzata nell’ultima ricerca presentata dall’azienda, intitolata “Inside Shadow-Earth-053: A China-Aligned Cyberespionage Campaign Against Government and Defense Sectors in Asia”.
L’attività, denominata SHADOW-EARTH-053, è focalizzata sulla raccolta di informazioni e sul furto di proprietà intellettuale e supporta gli interessi strategici della Cina. I ricercatori hanno scoperto che i cybercriminali stanno sfruttando vecchie vulnerabilità di Microsoft Exchange e di IIS, tra cui quella comunemente nota come ProxyLogon, per implementare web shell, impianti SHADOWPAD e strumenti per rubare credenziali, spostarsi lateralmente ed estrarre dati dalle e-mail di dirigenti e di profili importanti all’interno degli obiettivi presi di mira.
La particolarità di questa campagna cybercriminale è la sovrapposizione con un altro set di intrusioni, denominato SHADOW-EARTH-054. Quasi la metà degli obiettivi di SHADOW-EARTH-053 è stata infatti colpita anche da SHADOW-EARTH-054, tramite strumenti condivisi e hash di file identici. Questo suggerisce uno sfruttamento ripetuto della stessa infrastruttura esposta e non una singola compromissione.
In concreto, il gruppo cybercriminale sta sfruttando le vulnerabilità N-day nei server Microsoft Exchange e nei server Internet Information Services (IIS) esposti su Internet, ad esempio la vulnerabilità ProxyLogon. Dopo aver individuato il punto in cui fare breccia nei sistemi di difesa, i malintenzionati distribuiscono la web shell GODZILLA per ottenere un accesso persistente all’obiettivo e procedono quindi a installare il malware ShadowPad tramite il DLL sideloading di eseguibili legittimi e firmati. Questo consente loro di assumere il pieno controllo dei sistemi colpiti.
Le falle N-day nei server Microsoft Exchange e Internet Information Services (IIS) sono in realtà vecchie vulnerabilità di Microsoft Exchange che, però, continuano a rappresentare vettori di accesso iniziali attuali ed efficaci. I cybercriminali stanno sfruttando con successo queste vulnerabilità, che ormai dovrebbero essere state corrette da tempo, a conferma che le organizzazioni che utilizzano ancora server Exchange obsoleti o non aggiornati rimangono esposte a importanti minacce cybercriminali. I rischi più concreti includono la compromissione delle caselle di posta, il furto delle credenziali e l’accesso prolungato alle proprie reti da parte di gruppi cybercriminali. A questi potenziali danni bisogna poi aggiungere anche quelli economici e reputazionali che ne conseguono.
La famiglia di malware ShadowPad, una sofisticata backdoor modulare in precedenza open source, è nota per essere impiegata da diversi gruppi di intrusione e per essere già ampiamente utilizzata da gruppi cybercriminali allineati con la Cina. Sia gli obiettivi selezionati sia la tempistica operativa sono inoltre strettamente correlati a eventi geopolitici e interessi strategici nella regione. I Paesi principali coinvolti nell’attacco sono l’India, la Malesia, il Myanmar, il Pakistan, la Polonia, lo Sri Lanka, Taiwan e la Thailandia.
Le organizzazioni che gestiscono infrastrutture Microsoft Exchange o IIS esposte a Internet, in particolare nelle aree geografiche interessate, dovrebbero considerare questa campagna un’opportunità per verificare i livelli di patch, valutare le capacità di rilevamento delle web shell e analizzare attentamente il traffico in uscita dai server web.
Ulteriori informazioni sono disponibili a questolink
QUATTRO LEZIONI PER COMPRENDERE IL DARKWEB ED ENTRARE DA PROTAGONISTI NELLA CYBER THREAT INTELLIGENCE.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]
Dopo il successo delle scorse edizioni, Red Hot Cyber è lieta di annunciare una nuova live-class del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi e-learning pre-registrati, queste lezioni online in tempo reale, condotte dal professor Pietro Melillo, offrono un’esperienza formativa interattiva e coinvolgente, ideale per approfondire i contenuti e affrontare casi pratici.
Le Live Class sono progettate per garantire un apprendimento mirato e personalizzato, con un massimo di 14 partecipanti per sessione. Questo consente di adattare il percorso formativo alle esigenze specifiche, ma anche di mantenere alta la qualità: i posti sono limitati e nelle scorse edizioni sono andati in sold-out due settimane prima dell’inizio. Prenota subito per assicurarti il tuo posto!
Risorse online:
Al termine del corso, potrai accedere all’esclusivo Laboratorio di Intelligence DarkLab, un ambiente operativo dove mettere in pratica le competenze acquisite. Sarà l’occasione per sperimentare attività di investigazione nel Dark Web, analisi delle minacce e redazione di report di intelligence e ricerche approfondite.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]