Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 12 Gennaio 2022 11:47
Gli specialisti della società di sicurezza informatica Check Point hanno presentato una descrizione dettagliata del sistema DoubleFeature, progettato per registrare le varie fasi di post-sfruttamento associate all’implementazione di DanderSpritz.
DanderSpritz è un ambiente malware completo dell’arsenale APT di Equation Group, gruppo affiliato alla National Security Agency (NSA) degli Stati Uniti.
Infatti, per la prima volta, DanderSpritz è diventato noto il 14 aprile 2017, quando il gruppo di hacker The Shadow Brokers ha pubblicato gli strumenti rubati alla NSA.
La perdita conteneva anche l’exploit sviluppato dalla NSA EternalBlue, che ha reso possibile il massiccio attacco da parte del ransomware WannaCry e NotPetya nel giugno 2017.
DanderSpritz è un framework modulare, discreto e completamente funzionale basato su decine di plugin per attività di post-sfruttamento su host Windows e Linux.
Uno di questi è DoubleFeature, uno strumento diagnostico per macchine infette da DanderSpritz.
Lo strumento DoubleFeature, progettato per gli strumenti di registrazione che vengono distribuiti su una macchina attaccata, è un pannello di controllo nel linguaggio di programmazione Python.
Tra le altre cose, il pannello funge anche da utility di reporting per estrarre informazioni dai log e caricarle su un server controllato dagli aggressori.
L’output viene interpretato utilizzando un file eseguibile personalizzato DoubleFeatureReader.exe.
I plugin monitorati da DoubleFeature includono: strumenti quali UnitedRake (secondo nome EquationDrug) e PeddleCheap per l’accesso remoto, poi la backdoor StraitBizarre, la piattaforma spyware KillSuit (secondo nome GrayFish), il toolkit di persistenza DiveBar, il driver per l’accesso nascosto alla rete FlewAvenue, nonché l’impianto MistyVeal, che verifica l’autenticità del sistema compromesso.
“A volte il mondo degli strumenti APT di fascia alta e il mondo del malware sembrano essere due universi paralleli. Le fazioni finanziate dai governi in genere gestiscono enormi basi di codice segrete con un enorme set di funzioni che sono state utilizzate per più di un decennio per necessità pratica. Si scopre che stiamo ancora digerendo lentamente la fuga di quattro anni fa, che ci ha rivelato DanderSpritz”
hanno osservato i ricercatori.
RedazioneAll’interno del noto Dark Forum, l’utente identificato come “espansive” ha messo in vendita quello che descrive come l’accesso al pannello di amministrazione dell’Agenzia delle Entrate. Tu...
In seguito alla scoperta di due vulnerabilità zero-day estremamente critiche nel motore del browser WebKit, Apple ha pubblicato urgentemente degli aggiornamenti di sicurezza per gli utenti di iPhone ...
La recente edizione 2025.4 di Kali Linux è stata messa a disposizione del pubblico, introducendo significative migliorie per quanto riguarda gli ambienti desktop GNOME, KDE e Xfce. D’ora in poi, Wa...
La saga sulla sicurezza dei componenti di React Server continua questa settimana. Successivamente alla correzione di una vulnerabilità critica relativa all’esecuzione di codice remoto (RCE) che ha ...
Un nuovo allarme arriva dal sottobosco del cybercrime arriva poche ore fa. A segnalarlo l’azienda ParagonSec, società specializzata nel monitoraggio delle attività delle cyber gang e dei marketpla...
