Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 28 Aprile 2022 17:15
Il crimine informatico sponsorizzato dal governo cinese, che ha attaccato le missioni diplomatiche europee nel marzo di quest’anno, ora ha rivolto la sua attenzione ai funzionari russi. Questo per scoprire, presumibilmente, informazioni sulla conduzione della guerra in Ucraina.
Nei loro attacchi, gli hacker utilizzano una versione aggiornata del trojan di accesso remoto PlugX.
Secondo gli specialisti della società di sicurezza delle informazioni Secureworks, dietro a questi attacchi c’è un gruppo di criminali informatici chiamati Bronze President.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Tale gruppo, risulta noto alla comunità globale della sicurezza delle informazioni con i nomi Mustang Panda, TA416, HoneyMyte, RedDelta e PKPLUG.
Bronze President è attivo almeno da luglio 2018 e si è specializzato nello spionaggio, utilizzando strumenti di hacking sia personalizzati che pubblici, fornendo accesso continuo a sistemi compromessi e raccogliendo dati.
Uno dei principali strumenti è PlugX, una backdoor per Windows che consente agli hacker di eseguire vari comandi su sistemi compromessi.
PlugX fa anche parte dell’arsenale di molti altri gruppi hacker che lavorano per la Cina.
| Target file on staging server | Comment |
| http: //107 . 178 . 71 . 211/eu/Report.pdf | Decoy document |
| http: //107 . 178 . 71 . 211/eu/FontEDL.exe | Legitimate signed file |
| http: //107 . 178 . 71 . 211/eu/DocConvDll.dll | Malicious DLL loader |
| http: //107 . 178 . 71 . 211/eu/FontLog.dat | Encrypted payload (likely PlugX) |
Nel corso degli attacchi ai funzionari russi, Bronze President invia loro e-mail di phishing con un file eseguibile dannoso “Blagoveshchensk – Blagoveshchensk Border Detachment.exe” camuffato da documento PDF.
Questo documento è scritto in inglese e sembra molto convincente, ma dopo averlo aperto, PlugX viene caricato sul sistema della vittima da un server remoto.
| Indicator | Type | Context |
| b0a7b7a1cb4bf9a1de7f4b1af46ed956 | MD5 hash | Malicious Russian-language executable masquerading as PDF, downloads PlugX |
| 937975e3ea50c15476aef050295f4031f5fda2a4 | SHA1 hash | Malicious Russian-language executable masquerading as PDF, downloads PlugX |
| dbdbc7ede98fa17c36ea8f0516cc50b138fbe63af 659feb69990cc88bf7df0ad | SHA256 hash | Malicious Russian-language executable masquerading as PDF, downloads PlugX |
| 69ab42012ddce428c73940dcf343910e | MD5 hash | Malicious DLL (DocConvDll.dll) that loads PlugX |
| 698d1ade6defa07fb4e4c12a19ca309957fb9c40 | SHA1 hash | Malicious DLL (DocConvDll.dll) that loads PlugX |
| 436d5bf9eba974a6e97f6f5159456c642e53213d7e4 f8c75db5275b66fedd886 | SHA256 hash | Malicious DLL (DocConvDll.dll) that loads PlugX |
| ad3ddb4cbe7ece8cb723f63f3b855b85 | MD5 hash | PlugX payload (FontLog.dat) |
| 6856bb506a0858cc5597666d966b5b7499e38542 | SHA1 hash | PlugX payload (FontLog.dat) |
| ca622bdc2b66f0825890d36ec09e6a64e631638f d1792d792cfa02048c27c69f | SHA256 hash | PlugX payload (FontLog.dat) |
| 107.178.71.211 | IP address | Staging server that hosted PlugX files |
| 103.107.104.19 | IP address | Staging server that hosted PlugX files |
| zyber-i.com | Domain name | Associated with BRONZE PRESIDENT PlugX activity |
| locvnpt.com | Doman name | Associated with BRONZE PRESIDENT PlugX activity |
| http://107.178.71.211/eu/docconvdll.dll | URL | PlugX DLL loader |
| http://107.178.71.211/eu/fontlog.dat | URL | PlugX payload |
| 92.118.188.78 | IP address | PlugX C2 server |
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
RedazioneIl MITRE ha reso pubblica la classifica delle 25 più pericolose debolezze software previste per il 2025, secondo i dati raccolti attraverso le vulnerabilità del national Vulnerability Database. Tali...
Un recente resoconto del gruppo Google Threat Intelligence (GTIG) illustra gli esiti disordinati della diffusione di informazioni, mettendo in luce come gli avversari più esperti abbiano già preso p...
All’interno del noto Dark Forum, l’utente identificato come “espansive” ha messo in vendita quello che descrive come l’accesso al pannello di amministrazione dell’Agenzia delle Entrate. Tu...
In seguito alla scoperta di due vulnerabilità zero-day estremamente critiche nel motore del browser WebKit, Apple ha pubblicato urgentemente degli aggiornamenti di sicurezza per gli utenti di iPhone ...
La recente edizione 2025.4 di Kali Linux è stata messa a disposizione del pubblico, introducendo significative migliorie per quanto riguarda gli ambienti desktop GNOME, KDE e Xfce. D’ora in poi, Wa...
