Redazione RHC : 17 Luglio 2024 16:10
Un gruppo di hacker legato alla Cina, chiamato APT17 ha colpito aziende ed enti governativi italiani utilizzando una variante di un malware denominato 9002 RAT.
9002 RAT, è noto anche come Hydraq e McRAT. Ha raggiunto la notorietà come cyber weapons nell’operazione Aurora che ha individuato Google nel 2009. È stato successivamente utilizzato anche in un’altra campagna del 2013 denominata Sunshop in cui gli aggressori hanno iniettato reindirizzamenti dannosi in diversi siti Web.
APT17 è stato documentato per la prima volta da Mandiant (allora FireEye), di proprietà di Google, nel 2013. Hanno preso parte alle operazioni di spionaggio informatico denominate DeputyDog ed Ephemeral Hydra. Tali campagne sfruttavano falle zero-day in Internet Explorer di Microsoft per violare obiettivi di interesse.
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
I due attacchi mirati hanno avuto luogo il 24 giugno e il 2 luglio 2024. Questa notizia è stata affermato dalla TG Soft in un’analisi pubblicata la scorsa settimana.
“La prima campagna del 24 giugno 2024 ha utilizzato un documento Office, mentre la seconda campagna conteneva un collegamento. Entrambe le campagne invitavano la vittima a installare un pacchetto Skype for Business da un collegamento di un dominio.”
È noto anche con i nomi di Aurora Panda, Bronze Keystone, Dogfish, Elderwood, Helium, Hidden Lynx e TEMP.Avengers, ma l’avversario condivide un certo livello di sovrapposizione di strumenti con un altro attore della minaccia soprannominato Webworm.
Le ultime catene di attacchi prevedono l’uso di esche di spear-phishing per indurre i destinatari a cliccare su un collegamento. Tale collegamento li invita a scaricare un programma di installazione MSI per Skype for Business (“SkypeMeeting.msi”).
L’avvio del pacchetto MSI innesca l’esecuzione di un file di archivio Java (JAR) tramite uno script Visual Basic (VBS). Quest installa al contempo il software di chat legittimo sul sistema Windows. L’applicazione Java, a sua volta, decifra ed esegue lo shellcode responsabile dell’avvio di 9002 RAT.
RedazioneGli sviluppatori del ransomware Qilin (da noi intervistati recentemente) hanno offerto ai loro partner l’aiuto e la consulenza di un team di avvocati, in modo da poter fare pressione sulle vitt...
Dopo il caso dei 568 endpoint di un’azienda italiana del settore macchinari industriali, un altro accesso compromesso relativo a una società italiana di ingegneria del software &...
Il ritorno di Donald Trump alla Casa Bianca è diventato un doloroso promemoria per l’Europa della sua principale vulnerabilità digitale: il “kill switch” di fatto contro...
Oggi, 23 giugno 2025, esce “Byte The Silence”, il nuovo fumetto sul cyberbullismo realizzato da Red Hot Cyber, è disponibile da oggi gratuitamente in formato elettronico, sulla nost...
Il 17 giugno 2025 un attacco informatico ha paralizzato Bank Sepah, una delle principali istituzioni finanziarie dell’Iran. L’attacco è stato rivendicato dal gruppo Predatory ...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
