Redazione RHC : 16 Giugno 2022 07:30
Il gruppo iraniano APT Lyceum si è armato di una nuova backdoor DNS .NET e ora sta attaccando le società energetiche e di telecomunicazioni.
Lyceum è un gruppo di hacker finanziato dal governo, noto anche come Hexane e Spilrin, specializzato in spionaggio informatico. Attaccava i vettori in Medio Oriente con backdoor di tunneling DNS.
Tuttavia, Zscaler ha scoperto che il gruppo ha ora iniziato a utilizzare una nuova backdoor DNS basata sullo strumento open source DIG.net per il dirottamento DNS, l’esecuzione di comandi, il caricamento del payload aggiuntivo e il furto di dati.
Distribuisci i nostri corsi di formazione diventando un nostro Affiliato
Se sei un influencer, gestisci una community, un blog, un profilo social o semplicemente hai tanta voglia di diffondere cultura digitale e cybersecurity, questo è il momento perfetto per collaborare con RHC Academy. Unisciti al nostro Affiliate Program: potrai promuovere i nostri corsi online e guadagnare provvigioni ad ogni corso venduto. Fai parte del cambiamento. Diffondi conoscenza, costruisci fiducia, genera valore.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Il dirottamento DNS è un attacco informatico in cui un utente malintenzionato manipola le query DNS per reindirizzare un utente che tenta di accedere a un sito legittimo o al suo “clone” dannoso ospitato su un server controllato dall’attaccante. Qualsiasi informazione che l’utente immette sulla risorsa falsa (come le credenziali) andrà direttamente all’attaccante.
L’attacco inizia con la vittima che scarica un documento Word con macro dannose da un sito che gli hacker fingono di essere una vera risorsa di notizie. Il documento è camuffato da notiziario relativo all’esercito iraniano.
Se una vittima attiva le macro nel proprio Microsoft Office per visualizzare un documento, una backdoor DNS verrà scaricata direttamente nella cartella di avvio, consentendo agli hacker di essere presenti sul sistema, indipendentemente dal riavvio.
La backdoor utilizza il nome del file DnsSystem.exe ed è una versione personalizzata di DIG.net, personalizzata dagli hacker per soddisfare le loro esigenze.
Il malware configura un server di intercettazione DNS acquisendo l’indirizzo IP del dominio cyberclub[.]one e genera un MD5 basato sul nome utente, che funge da identificatore univoco della vittima.
Intercettando il DNS, la backdoor può ricevere comandi dal server C&C da eseguire sulla macchina compromessa. La risposta viene fornita come record TXT.
I comandi vengono eseguiti con lo strumento cmd.exe e i dati in uscita vengono rispediti al server C&C come record DNS A. Inoltre, la backdoor può rubare file locali e inviarli al server C&C o scaricare file da un server remoto per scaricare file aggiuntivi.
I ricercatori di Okta hanno notato che aggressori sconosciuti stanno utilizzando lo strumento di intelligenza artificiale generativa v0 di Vercel per creare pagine false che imitano qu...
Google è al centro di un’imponente causa in California che si è conclusa con la decisione di pagare oltre 314 milioni di dollari agli utenti di smartphone Android nello stato. Una giu...
La RHC Conference 2025, organizzata da Red Hot Cyber, ha rappresentato un punto di riferimento per la comunità italiana della cybersecurity, offrendo un ricco programma di talk, workshop e compet...
Nella giornata di ieri, Red Hot Cyber ha pubblicato un approfondimento su una grave vulnerabilità scoperta in SUDO (CVE-2025-32463), che consente l’escalation dei privilegi a root in ambie...
Il Dipartimento di Giustizia degli Stati Uniti ha annunciato la scoperta di un sistema su larga scala in cui falsi specialisti IT provenienti dalla RPDC i quali ottenevano lavoro presso aziende americ...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006