Silvia Felici : 23 Maggio 2023 08:37
Il terrore informatico ritorna: il gruppo di hacker sponsorizzato dallo stato cinese riemerge con una nuova e campagna di attacchi rivolta a entità governative, sanitarie, tecnologiche e manifatturiere situate in Taiwan, Tailandia, Filippine e Fiji, dopo un lungo periodo di oltre sei mesi di inattività.
Trend Micro, leader nel settore della sicurezza informatica, ha attribuito il recente set di intrusioni al sottogruppo Earth Longzhi, all’interno del noto APT41 (conosciuto anche come HOODOO o Winnti).
Questo gruppo di hacker è stato individuato per la prima volta nel novembre 2022, durante i suoi attacchi contro organizzazioni in Asia orientale, sud-orientale e in Ucraina.
Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber
«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi».
Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca.
Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare.
Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Gli attacchi dell’Earth Longzhi sfruttano applicazioni vulnerabili come punto di ingresso per distribuire la webshell BEHINDER e quindi utilizzano tale accesso per rilasciare payload aggiuntivi, tra cui una nuova variante del pericoloso caricatore Cobalt Strike chiamato CroxLoader.
Trend Micro ha segnalato che questa recente campagna di Earth Longzhi fa un uso spietato di un eseguibile di Windows Defender per eseguire il sideloading DLL, sfruttando anche un driver vulnerabile, zamguard.sys, per disabilitare i prodotti di sicurezza installati sugli host tramite un attacco BYOVD (Bring Your Own Vulnerable Driver).
Non è la prima volta che Earth Longzhi utilizza la tecnica BYOVD, con precedenti campagne che sfruttavano il driver vulnerabile RTCore64.sys per impedire l’esecuzione di prodotti di sicurezza.
Il malware, denominato SPHijacker, impiega anche un secondo metodo, noto come “stack smashing”, per raggiungere lo stesso obiettivo, causando intenzionalmente il crash delle applicazioni mirate durante l’avvio.
Tuttavia, questi non sono gli unici metodi che i cybercriminali possono utilizzare per compromettere i prodotti di sicurezza. Il mese scorso, Deep Instinct ha descritto una nuova tecnica di code injection chiamata Dirty Vanity, che sfrutta il meccanismo di fork remoto in Windows per evitare la rilevazione da parte dei sistemi di sicurezza degli endpoint.
Inoltre, il payload del driver viene installato come servizio a livello di kernel utilizzando Microsoft Remote Procedure Call (RPC) anziché le API di Windows per evitare la rilevazione, dimostrando la sofisticatezza degli attacchi perpetrati dal gruppo di hackeraggio Earth Longzhi.
Silvia FeliciUna falla di sicurezza critica è stata resa pubblica da Cisco nel suo software Secure Firewall Management Center (FMC), permettendo potenzialmente a malintenzionati non autenticati di eseguire, a...
