Gli hacker Cinesi prendono di mira l’Italia. Il Malware 9002 RAT Colpisce Aziende ed Enti Governativi

Un gruppo di hacker legato alla Cina, chiamato APT17 ha colpito aziende ed enti governativi italiani utilizzando una variante di un malware denominato 9002 RAT.

9002 RAT, è noto anche come Hydraq e McRAT. Ha raggiunto la notorietà come cyber weapons nell’operazione Aurora che ha individuato Google nel 2009. È stato successivamente utilizzato anche in un’altra campagna del 2013 denominata Sunshop in cui gli aggressori hanno iniettato reindirizzamenti dannosi in diversi siti Web.

APT17 è stato documentato per la prima volta da Mandiant (allora FireEye), di proprietà di Google, nel 2013. Hanno preso parte alle operazioni di spionaggio informatico denominate DeputyDog ed Ephemeral Hydra. Tali campagne sfruttavano falle zero-day in Internet Explorer di Microsoft per violare obiettivi di interesse.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

I due attacchi mirati hanno avuto luogo il 24 giugno e il 2 luglio 2024. Questa notizia è stata affermato dalla TG Soft in un’analisi pubblicata la scorsa settimana.

“La prima campagna del 24 giugno 2024 ha utilizzato un documento Office, mentre la seconda campagna conteneva un collegamento. Entrambe le campagne invitavano la vittima a installare un pacchetto Skype for Business da un collegamento di un dominio.”

È noto anche con i nomi di Aurora Panda, Bronze Keystone, Dogfish, Elderwood, Helium, Hidden Lynx e TEMP.Avengers, ma l’avversario condivide un certo livello di sovrapposizione di strumenti con un altro attore della minaccia soprannominato Webworm.

Le ultime catene di attacchi prevedono l’uso di esche di spear-phishing per indurre i destinatari a cliccare su un collegamento. Tale collegamento li invita a scaricare un programma di installazione MSI per Skype for Business (“SkypeMeeting.msi”).

L’avvio del pacchetto MSI innesca l’esecuzione di un file di archivio Java (JAR) tramite uno script Visual Basic (VBS). Quest installa al contempo il software di chat legittimo sul sistema Windows. L’applicazione Java, a sua volta, decifra ed esegue lo shellcode responsabile dell’avvio di 9002 RAT.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.