Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 8 Giugno 2024 16:23
Gli specialisti di Positive Technologies hanno identificato una backdoor precedentemente sconosciuta scritta in Go. Il malware viene utilizzato dal gruppo di hacker ExCobalt, che attacca le organizzazioni russe.
Secondo Denis Kuvshinov, capo del dipartimento di ricerca sulle minacce informatiche presso il centro di esperti di sicurezza Positive Technologies, nel marzo 2024, durante un’indagine sull’incidente, i ricercatori hanno scoperto un file chiamato scrond su uno dei nodi Linux del cliente, compresso utilizzando UPX (Ultimate Packer per file eseguibili).
Nei dati del file decompresso scritto in Go, sono stati trovati percorsi di pacchetto contenenti la sottostringa red.team/go-red/. Per questo motivo, gli esperti hanno ipotizzato che il campione fosse uno strumento proprietario di un certo Red Team.
Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Tuttavia, il sito menzionato sembrava un tipico biglietto da visita e praticamente non veniva utilizzato dai creatori. Tutte le informazioni erano datate 2019 e il design del sito sembrava tipico. Dopo un’ulteriore analisi di GoRed, si è scoperto che diverse versioni di questo programma erano già state riscontrate da numerosi altri clienti durante la risposta agli incidenti.
Ulteriori analisi hanno permesso di stabilire un collegamento tra lo strumento e il gruppo ExCobalt, di cui gli esperti avevano parlato nel novembre dello scorso anno. Anche allora, il rapporto menzionava il dominio lib.rpm-bin.link, la cui enumerazione delle directory produceva molti strumenti, incluso col, la prima versione di GoRed.
Il gruppo di hacker ExCobalt esiste dal 2016 ed è noto per gli attacchi contro aziende russe nei settori della metallurgia, delle telecomunicazioni, dell’IT e del settore pubblico, nonché per lo spionaggio informatico e il furto di dati.
La nuova backdoor, che prende il nome dal campione originariamente scoperto – GoRed, ha molte funzionalità, tra cui:
Gli esperti concludono che ExCobalt continua ad attaccare attivamente le aziende russe, migliorando i suoi metodi e strumenti, inclusa la backdoor GoRed. Ad esempio, lo studio ha rilevato che gli hacker stanno espandendo le funzionalità di GoRed per attacchi più sofisticati e nascosti e per lo spionaggio informatico.
RedazioneLe autorità statunitensi continuano a cercare soluzioni per fermare la fuga di chip avanzati verso la Cina, nonostante le rigide restrizioni all’esportazione in vigore. Il senatore Tom Cot...
Il gruppo Qilin, da noi intervistato qualche tempo fa, è in cima alla lista degli operatori di ransomware più attivi nell’aprile 2025, pubblicando i dettagli di 72 vittime sul suo sit...
Gli autori della minaccia collegati all’operazione ransomware Play hanno sfruttato una vulnerabilità zero-day in Microsoft Windows prima della sua correzione, avvenuta l’8 aprile 20...
È stata individuata una campagna di phishing mirata agli utenti SPID dal gruppo del CERT-AgID, che sfrutta indebitamente il nome e il logo della stessa AgID, insieme al dominio recentemente regis...
Nel mondo del cybercrime organizzato, Darcula rappresenta un salto di paradigma. Non stiamo parlando di un semplice kit di phishing o di una botnet mal gestita. Darcula è una piattaforma vera e p...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
