Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Gli APT iraniani attaccano le società energetiche attraverso una nuova backdoor

Redazione RHC : 16 Giugno 2022 07:30

Il gruppo iraniano APT Lyceum si è armato di una nuova backdoor DNS .NET e ora sta attaccando le società energetiche e di telecomunicazioni.

Lyceum è un gruppo di hacker finanziato dal governo, noto anche come Hexane e Spilrin, specializzato in spionaggio informatico. Attaccava i vettori in Medio Oriente con backdoor di tunneling DNS.

Tuttavia, Zscaler ha scoperto che il gruppo ha ora iniziato a utilizzare una nuova backdoor DNS basata sullo strumento open source DIG.net per il dirottamento DNS, l’esecuzione di comandi, il caricamento del payload aggiuntivo e il furto di dati.


Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber

«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi». Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Il dirottamento DNS è un attacco informatico in cui un utente malintenzionato manipola le query DNS per reindirizzare un utente che tenta di accedere a un sito legittimo o al suo “clone” dannoso ospitato su un server controllato dall’attaccante. Qualsiasi informazione che l’utente immette sulla risorsa falsa (come le credenziali) andrà direttamente all’attaccante.

L’attacco inizia con la vittima che scarica un documento Word con macro dannose da un sito che gli hacker fingono di essere una vera risorsa di notizie. Il documento è camuffato da notiziario relativo all’esercito iraniano.

Se una vittima attiva le macro nel proprio Microsoft Office per visualizzare un documento, una backdoor DNS verrà scaricata direttamente nella cartella di avvio, consentendo agli hacker di essere presenti sul sistema, indipendentemente dal riavvio.

La backdoor utilizza il nome del file DnsSystem.exe ed è una versione personalizzata di DIG.net, personalizzata dagli hacker per soddisfare le loro esigenze.

Backdoor DnsSystem scaricata sul sistema locale (fonte zscalar)

Il malware configura un server di intercettazione DNS acquisendo l’indirizzo IP del dominio cyberclub[.]one e genera un MD5 basato sul nome utente, che funge da identificatore univoco della vittima.

Intercettando il DNS, la backdoor può ricevere comandi dal server C&C da eseguire sulla macchina compromessa. La risposta viene fornita come record TXT.

I comandi vengono eseguiti con lo strumento cmd.exe e i dati in uscita vengono rispediti al server C&C come record DNS A. Inoltre, la backdoor può rubare file locali e inviarli al server C&C o scaricare file da un server remoto per scaricare file aggiuntivi.

Inizializzare il server DNS controllato dall’attaccante (fonte zscalar)

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Zero-click exploit: la nuova frontiera invisibile degli attacchi informatici
Di Redazione RHC - 29/07/2025

Negli ultimi anni, la cybersecurity ha visto emergere minacce sempre più sofisticate, capaci di compromettere dispositivi e dati personali senza che l’utente compia alcuna azione. Tra ques...

Fire Ant all’attacco: come un bug in vCenter apre le porte all’inferno IT
Di Redazione RHC - 28/07/2025

Sygnia segnala che il vettore di attacco iniziale di Fire Ant CVE-2023-34048, sfrutta la vulnerabilità di scrittura fuori dai limiti nell’implementazione del protocollo DCERPC di vCenter S...

Obiettivo: La tua Voce! Scattered Spider mira ai VMware ESXi clonando le voci degli impiegati
Di Redazione RHC - 28/07/2025

Il gruppo Scattered Spider ha intensificato i suoi attacchi agli ambienti IT aziendali, prendendo di mira gli hypervisor VMware ESXi di aziende statunitensi nei settori della vendita al dettaglio, dei...

PornHub, YouPorn si adeguano alle leggi UK… e Telegram introduce il bot per correre ai ripari
Di Redazione RHC - 28/07/2025

Telegram ha introdotto un bot ufficiale progettato per verificare l’età degli utenti scansionando i loro volti. Come sottolineato da Code Durov, la funzione è disponibile nel Regno Un...

BreachForums torna online! 7,3 milioni di post e 340k utenti ripristinati
Di Redazione RHC - 28/07/2025

le piante infestanti, se non vengono estirpate dalle radici rinasceranno, molto più vigorose di prima. Questo è il cybercrime e questa è la nuova rinascita, la quinta in assoluto dalle ...