Il terrore informatico ritorna: il gruppo di hacker sponsorizzato dallo stato cinese riemerge con una nuova e campagna di attacchi rivolta a entità governative, sanitarie, tecnologiche e manifatturiere situate in Taiwan, Tailandia, Filippine e Fiji, dopo un lungo periodo di oltre sei mesi di inattività.
Trend Micro, leader nel settore della sicurezza informatica, ha attribuito il recente set di intrusioni al sottogruppo Earth Longzhi, all’interno del noto APT41 (conosciuto anche come HOODOO o Winnti).
Questo gruppo di hacker è stato individuato per la prima volta nel novembre 2022, durante i suoi attacchi contro organizzazioni in Asia orientale, sud-orientale e in Ucraina.
 Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected].
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Gli attacchi dell’Earth Longzhi sfruttano applicazioni vulnerabili come punto di ingresso per distribuire la webshell BEHINDER e quindi utilizzano tale accesso per rilasciare payload aggiuntivi, tra cui una nuova variante del pericoloso caricatore Cobalt Strike chiamato CroxLoader.
Trend Micro ha segnalato che questa recente campagna di Earth Longzhi fa un uso spietato di un eseguibile di Windows Defender per eseguire il sideloading DLL, sfruttando anche un driver vulnerabile, zamguard.sys, per disabilitare i prodotti di sicurezza installati sugli host tramite un attacco BYOVD (Bring Your Own Vulnerable Driver).
Non è la prima volta che Earth Longzhi utilizza la tecnica BYOVD, con precedenti campagne che sfruttavano il driver vulnerabile RTCore64.sys per impedire l’esecuzione di prodotti di sicurezza.
Il malware, denominato SPHijacker, impiega anche un secondo metodo, noto come “stack smashing”, per raggiungere lo stesso obiettivo, causando intenzionalmente il crash delle applicazioni mirate durante l’avvio.
Tuttavia, questi non sono gli unici metodi che i cybercriminali possono utilizzare per compromettere i prodotti di sicurezza. Il mese scorso, Deep Instinct ha descritto una nuova tecnica di code injection chiamata Dirty Vanity, che sfrutta il meccanismo di fork remoto in Windows per evitare la rilevazione da parte dei sistemi di sicurezza degli endpoint.
Inoltre, il payload del driver viene installato come servizio a livello di kernel utilizzando Microsoft Remote Procedure Call (RPC) anziché le API di Windows per evitare la rilevazione, dimostrando la sofisticatezza degli attacchi perpetrati dal gruppo di hackeraggio Earth Longzhi.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Innovazione
Vulnerabilità
Cybercrime
Cybercrime
Innovazione