Redazione RHC : 16 Marzo 2023 07:49
Il gruppo di hacker di spionaggio informatico Sharp Panda sta prendendo di mira le agenzie governative in Vietnam, Thailandia e Indonesia con una nuova versione di malware chiamata Soul.
CheckPoint ha identificato una nuova campagna utilizzando questo software.
È iniziato alla fine del 2022 ed è ancora in corso. Gli aggressori utilizzano attacchi di spear-phishing come vettore iniziale di compromissione.
NIS2: diventa pronto alle nuove regole europeeLa Direttiva NIS2 cambia le regole della cybersecurity in Europa: nuovi obblighi, scadenze serrate e sanzioni pesanti per chi non si adegua. Essere pronti non è più un’opzione, è una necessità per ogni azienda e infrastruttura critica. Scopri come garantire la compliance e proteggere la tua organizzazione con l’Anteprima Gratuita del Corso NIS2, condotto dall’Avv. Andrea Capelli. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected] 
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
CheckPoint è stato in grado di attribuire l’ultima operazione di spionaggio agli hacker cinesi sostenuti dallo stato in diversi modi. Tattiche, metodi e strumenti utilizzati corrispondono alle attività precedentemente viste della fazione Sharp Panda.
Nella sua nuova campagna, Sharp Panda utilizza e-mail di phishing con allegati dannosi sotto forma di file “.docx”.
Questi sono necessari per implementare la suite RoyalRoad e compromettere il sistema attraverso vulnerabilità note. L’exploit crea un’attività pianificata, quindi scarica ed esegue il loader DLL, che a sua volta carica il loader SoulSearcher stesso.
Quando viene lanciato, il modulo principale del malware Soul stabilisce una connessione con il server C2 e attende il download di moduli aggiuntivi che ne estendono le funzionalità.
La nuova versione di Soul analizzata da CheckPoint ha un’interessante modalità di “silenzio radio” che consente agli aggressori di specificare determinati giorni della settimana e ore del giorno in cui la backdoor non deve contattare il server C2 per evitare il rilevamento.
Inoltre, la nuova versione implementa il proprio protocollo per comunicare con il server C2, che utilizza vari metodi di richiesta HTTP, tra cui GET, POST e DELETE. Questa caratteristica conferisce alla backdoor una notevole flessibilità applicativa.
La connessione di Soul con il server C2 inizia con la registrazione sulla rete e l’invio dei dati della vittima (informazioni sull’hardware, tipo di sistema operativo, fuso orario, indirizzo IP, ecc.), dopodiché il malware entra in un ciclo infinito di comunicazione con il server.
I comandi che può ricevere durante questa comunicazione includono il caricamento di moduli aggiuntivi, la raccolta e l’invio di dati, il riavvio della connessione o l’interruzione completa della connessione.
Il framework Soul è stato visto per la prima volta nel 2017 e successivamente monitorato per tutto il 2019 in campagne di spionaggio cinesi gestite da aggressori senza legami apparenti con Sharp Panda.
Nonostante la solida età di Soul, gli esperti di CheckPoint hanno concluso che il malware è ancora in fase di sviluppo, la sua funzionalità e i modi per eludere il rilevamento saranno integrati solo in futuro.
RedazioneMicrosoft ha ricordato agli utenti che tra un mese terminerà il supporto per l’amato Windows 10. Dal 14 ottobre 2025, il sistema non riceverà più aggiornamenti di sicurezza , correzioni di bug e ...
Negli ultimi mesi mi sono trovato più volte a redigere querele per video falsi che circolavano online. Non parliamo soltanto di contenuti rubati e diffusi senza consenso, ma anche di deepfake: filmat...
Le aziende appaltatrici della difesa statunitense stanno sviluppando uno strumento di intelligenza artificiale chiamato Cyber Resilience On-Orbit (CROO) per rilevare attacchi informatici ai satelliti ...
Non brilliamo molto nella sicurezza informatica, ma sugli Spyware siamo tra i primi della classe! Secondo una ricerca dell’Atlantic Council, il settore dello spyware è in piena espansione, poiché ...
Gli utenti di Windows 11 che hanno installato l’aggiornamento di settembre 2025 potrebbero pensare che non cambi praticamente nulla. A prima vista, KB5065426 sembra una normale piccola patch che Mic...
