Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

DoubleFeature: lo strumento di hacking della NSA riscoperto dalla fuga del 2017

Redazione RHC : 12 Gennaio 2022 11:47

Gli specialisti della società di sicurezza informatica Check Point hanno presentato una descrizione dettagliata del sistema DoubleFeature, progettato per registrare le varie fasi di post-sfruttamento associate all’implementazione di DanderSpritz.

DanderSpritz è un ambiente malware completo dell’arsenale APT di Equation Group, gruppo affiliato alla National Security Agency (NSA) degli Stati Uniti.

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Infatti, per la prima volta, DanderSpritz è diventato noto il 14 aprile 2017, quando il gruppo di hacker The Shadow Brokers ha pubblicato gli strumenti rubati alla NSA.

La perdita conteneva anche l’exploit sviluppato dalla NSA EternalBlue, che ha reso possibile il massiccio attacco da parte del ransomware WannaCry e NotPetya nel giugno 2017.

DanderSpritz è un framework modulare, discreto e completamente funzionale basato su decine di plugin per attività di post-sfruttamento su host Windows e Linux.

Uno di questi è DoubleFeature, uno strumento diagnostico per macchine infette da DanderSpritz.

Lo strumento DoubleFeature, progettato per gli strumenti di registrazione che vengono distribuiti su una macchina attaccata, è un pannello di controllo nel linguaggio di programmazione Python.

Tra le altre cose, il pannello funge anche da utility di reporting per estrarre informazioni dai log e caricarle su un server controllato dagli aggressori.

L’output viene interpretato utilizzando un file eseguibile personalizzato DoubleFeatureReader.exe.

I plugin monitorati da DoubleFeature includono: strumenti quali UnitedRake (secondo nome EquationDrug) e PeddleCheap per l’accesso remoto, poi la backdoor StraitBizarre, la piattaforma spyware KillSuit (secondo nome GrayFish), il toolkit di persistenza DiveBar, il driver per l’accesso nascosto alla rete FlewAvenue, nonché l’impianto MistyVeal, che verifica l’autenticità del sistema compromesso.

“A volte il mondo degli strumenti APT di fascia alta e il mondo del malware sembrano essere due universi paralleli. Le fazioni finanziate dai governi in genere gestiscono enormi basi di codice segrete con un enorme set di funzioni che sono state utilizzate per più di un decennio per necessità pratica. Si scopre che stiamo ancora digerendo lentamente la fuga di quattro anni fa, che ci ha rivelato DanderSpritz”

hanno osservato i ricercatori.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Hai seguito un bel tutorial su TikTok e non sei stato attento? Bravo, ti sei beccato un malware!

In un preoccupante segnale dell’evoluzione delle tattiche cybercriminali, i threat actor stanno ora sfruttando la popolarità di TikTok come canale per la distribuzione di malware avanzati ...

Lumma Stealer: inizio del takedown o solo una mossa tattica?

Nelle ultime ore si è assistito a un grande clamore mediatico riguardante il “takedown” dell’infrastruttura del noto malware-as-a-service Lumma Stealer, con un’operazi...

Skitnet: Il Malware che Sta Conquistando il Mondo del Ransomware

Gli esperti hanno lanciato l’allarme: i gruppi ransomware stanno utilizzando sempre più spesso il nuovo malware Skitnet (noto anche come Bossnet) per lo sfruttamento successivo delle ...

Bypass di Microsoft Defender mediante Defendnot: Analisi Tecnica e Strategie di Mitigazione

Nel panorama delle minacce odierne, Defendnot rappresenta un sofisticato malware in grado di disattivare Microsoft Defender sfruttando esclusivamente meccanismi legittimi di Windows. A differenza di a...

Falso Mito: Se uso una VPN, sono completamente al sicuro anche su reti WiFi Aperte e non sicure

Molti credono che l’utilizzo di una VPN garantisca una protezione totale durante la navigazione, anche su reti WiFi totalmente aperte e non sicure. Sebbene le VPN siano strumenti efficaci per c...