Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Il crimine informatico sponsorizzato dal governo cinese, che ha attaccato le missioni diplomatiche europee nel marzo di quest’anno, ora ha rivolto la sua attenzione ai funzionari russi. Questo per scoprire, presumibilmente, informazioni sulla conduzione della guerra in Ucraina.
Nei loro attacchi, gli hacker utilizzano una versione aggiornata del trojan di accesso remoto PlugX.
Secondo gli specialisti della società di sicurezza delle informazioni Secureworks, dietro a questi attacchi c’è un gruppo di criminali informatici chiamati Bronze President.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Tale gruppo, risulta noto alla comunità globale della sicurezza delle informazioni con i nomi Mustang Panda, TA416, HoneyMyte, RedDelta e PKPLUG.
Bronze President è attivo almeno da luglio 2018 e si è specializzato nello spionaggio, utilizzando strumenti di hacking sia personalizzati che pubblici, fornendo accesso continuo a sistemi compromessi e raccogliendo dati.
Uno dei principali strumenti è PlugX, una backdoor per Windows che consente agli hacker di eseguire vari comandi su sistemi compromessi.
PlugX fa anche parte dell’arsenale di molti altri gruppi hacker che lavorano per la Cina.
| Target file on staging server | Comment |
| http: //107 . 178 . 71 . 211/eu/Report.pdf | Decoy document |
| http: //107 . 178 . 71 . 211/eu/FontEDL.exe | Legitimate signed file |
| http: //107 . 178 . 71 . 211/eu/DocConvDll.dll | Malicious DLL loader |
| http: //107 . 178 . 71 . 211/eu/FontLog.dat | Encrypted payload (likely PlugX) |
Nel corso degli attacchi ai funzionari russi, Bronze President invia loro e-mail di phishing con un file eseguibile dannoso “Blagoveshchensk – Blagoveshchensk Border Detachment.exe” camuffato da documento PDF.
Questo documento è scritto in inglese e sembra molto convincente, ma dopo averlo aperto, PlugX viene caricato sul sistema della vittima da un server remoto.
| Indicator | Type | Context |
| b0a7b7a1cb4bf9a1de7f4b1af46ed956 | MD5 hash | Malicious Russian-language executable masquerading as PDF, downloads PlugX |
| 937975e3ea50c15476aef050295f4031f5fda2a4 | SHA1 hash | Malicious Russian-language executable masquerading as PDF, downloads PlugX |
| dbdbc7ede98fa17c36ea8f0516cc50b138fbe63af 659feb69990cc88bf7df0ad | SHA256 hash | Malicious Russian-language executable masquerading as PDF, downloads PlugX |
| 69ab42012ddce428c73940dcf343910e | MD5 hash | Malicious DLL (DocConvDll.dll) that loads PlugX |
| 698d1ade6defa07fb4e4c12a19ca309957fb9c40 | SHA1 hash | Malicious DLL (DocConvDll.dll) that loads PlugX |
| 436d5bf9eba974a6e97f6f5159456c642e53213d7e4 f8c75db5275b66fedd886 | SHA256 hash | Malicious DLL (DocConvDll.dll) that loads PlugX |
| ad3ddb4cbe7ece8cb723f63f3b855b85 | MD5 hash | PlugX payload (FontLog.dat) |
| 6856bb506a0858cc5597666d966b5b7499e38542 | SHA1 hash | PlugX payload (FontLog.dat) |
| ca622bdc2b66f0825890d36ec09e6a64e631638f d1792d792cfa02048c27c69f | SHA256 hash | PlugX payload (FontLog.dat) |
| 107.178.71.211 | IP address | Staging server that hosted PlugX files |
| 103.107.104.19 | IP address | Staging server that hosted PlugX files |
| zyber-i.com | Domain name | Associated with BRONZE PRESIDENT PlugX activity |
| locvnpt.com | Doman name | Associated with BRONZE PRESIDENT PlugX activity |
| http://107.178.71.211/eu/docconvdll.dll | URL | PlugX DLL loader |
| http://107.178.71.211/eu/fontlog.dat | URL | PlugX payload |
| 92.118.188.78 | IP address | PlugX C2 server |
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Solo un anno fa, i medici non potevano dire con certezza se KJ Muldoon sarebbe sopravvissuto al suo primo anno di vita. Oggi sta muovendo i primi passi a casa, con la sua famiglia al suo fianco. Quest...
Una nuova vulnerabilità nei componenti FreeBSD responsabili della configurazione IPv6 consente l’esecuzione remota di codice arbitrario su un dispositivo situato sulla stessa rete locale dell’agg...
Dopo aver approfondito i delicati equilibri che vincolano gli operatori di Cyber Threat Intelligence(CTI) tra il GDPR e il rischio di Ricettazione, è fondamentale rivolgere l’attenzione a chiunque,...
Il mondo della tecnologia è un vero e proprio campo di battaglia, dove i geni del coding sfidano ogni giorno i malintenzionati a colpi di exploit e patch di sicurezza. Ecco perché la recente scopert...
Questa notizia ci arriva dal feed News & Research di Recorded Future (Insikt Group): Check Point Research ha documentato una nuova ondata di attività attribuita al threat actor China-linked Ink D...
