Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Gli APT iraniani attaccano le società energetiche attraverso una nuova backdoor

Redazione RHC : 16 Giugno 2022 07:30

Il gruppo iraniano APT Lyceum si è armato di una nuova backdoor DNS .NET e ora sta attaccando le società energetiche e di telecomunicazioni.

Lyceum è un gruppo di hacker finanziato dal governo, noto anche come Hexane e Spilrin, specializzato in spionaggio informatico. Attaccava i vettori in Medio Oriente con backdoor di tunneling DNS.

Tuttavia, Zscaler ha scoperto che il gruppo ha ora iniziato a utilizzare una nuova backdoor DNS basata sullo strumento open source DIG.net per il dirottamento DNS, l’esecuzione di comandi, il caricamento del payload aggiuntivo e il furto di dati.


CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC

Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]


Supporta RHC attraverso:
  • L'acquisto del fumetto sul Cybersecurity Awareness
  • Ascoltando i nostri Podcast
  • Seguendo RHC su WhatsApp
  • Seguendo RHC su Telegram
  • Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


  • Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


    Il dirottamento DNS è un attacco informatico in cui un utente malintenzionato manipola le query DNS per reindirizzare un utente che tenta di accedere a un sito legittimo o al suo “clone” dannoso ospitato su un server controllato dall’attaccante. Qualsiasi informazione che l’utente immette sulla risorsa falsa (come le credenziali) andrà direttamente all’attaccante.

    L’attacco inizia con la vittima che scarica un documento Word con macro dannose da un sito che gli hacker fingono di essere una vera risorsa di notizie. Il documento è camuffato da notiziario relativo all’esercito iraniano.

    Se una vittima attiva le macro nel proprio Microsoft Office per visualizzare un documento, una backdoor DNS verrà scaricata direttamente nella cartella di avvio, consentendo agli hacker di essere presenti sul sistema, indipendentemente dal riavvio.

    La backdoor utilizza il nome del file DnsSystem.exe ed è una versione personalizzata di DIG.net, personalizzata dagli hacker per soddisfare le loro esigenze.

    Backdoor DnsSystem scaricata sul sistema locale (fonte zscalar)

    Il malware configura un server di intercettazione DNS acquisendo l’indirizzo IP del dominio cyberclub[.]one e genera un MD5 basato sul nome utente, che funge da identificatore univoco della vittima.

    Intercettando il DNS, la backdoor può ricevere comandi dal server C&C da eseguire sulla macchina compromessa. La risposta viene fornita come record TXT.

    I comandi vengono eseguiti con lo strumento cmd.exe e i dati in uscita vengono rispediti al server C&C come record DNS A. Inoltre, la backdoor può rubare file locali e inviarli al server C&C o scaricare file da un server remoto per scaricare file aggiuntivi.

    Inizializzare il server DNS controllato dall’attaccante (fonte zscalar)

    Redazione
    La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

    Lista degli articoli

    Articoli in evidenza

    Stai pianificando il passaggio da Windows a Linux? Allora passa, APT36 è già lì ad aspettarti!
    Di Redazione RHC - 25/08/2025

    APT36, noto anche come Transparent Tribe, ha intensificato una nuova campagna di spionaggio contro organizzazioni governative e di difesa in India. Il gruppo, legato al Pakistan, è attivo almeno ...

    Malware Forge: Nasce il laboratorio di Malware Analysis di Red Hot Cyber
    Di Redazione RHC - 25/08/2025

    Nasce una nuova stella all’interno dell’ecosistema di Red Hot Cyber, un progetto pianificato da tempo che oggi vede finalmente la sua realizzazione. Si tratta di un laboratorio allȁ...

    200 modelli di auto vulnerabili? Sul darknet spunta il firmware ‘killer’ per Flipper Zero
    Di Redazione RHC - 25/08/2025

    Il tema dell’hacking e del furto di auto tramite Flipper Zero è tornato alla ribalta in tutto il mondo e anche noi ne abbiamo parlato con un recente articolo. Questa volta, gli hacker hann...

    “Figliuolo, accedi allo smartphone di tuo padre!” Forte aumento delle Frodi che utilizzano i minori
    Di Redazione RHC - 25/08/2025

    F6 ha segnalato un forte aumento delle frodi in cui i criminali sfruttano i minori per accedere ai conti bancari dei genitori. Secondo gli analisti, nella prima metà del 2025 sono stati registrat...

    Windows 11 Insider Preview: nuove funzionalità e miglioramenti in vista
    Di Redazione RHC - 25/08/2025

    Microsoft ha rilasciato una nuova build 26200.5761 (KB5064093) di Windows 11 Insider Preview per gli utenti Windows Insider nel Canale Dev. L’aggiornamento introduce diverse interessanti funzio...