Redazione RHC : 2 Agosto 2023 07:53
I ricercatori hanno avvertito di nuovi attacchi da parte del gruppo di hacker Turla (noto anche come Secret Blizzard, KRYPTON o UAC-0003) che prendono di mira il settore della difesa ucraino e dell’Europa orientale e i server Microsoft Exchange.
In questa campagna, il gruppo utilizza la backdoor DeliveryCheck, che trasforma i server Exchange in server di controllo dannosi.
 Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Microsoft e CERT-UA segnalano che tali attacchi iniziano con e-mail di phishing contenenti allegati Excel XLSM con macro dannose. Quando attivate, queste macro eseguono un comando di PowerShell, creando un’attività pianificata che imita il programma di aggiornamento del browser di Firefox.
Infatti, questa attività è responsabile del download della backdoor DeliveryCheck (nota anche come CapiBar e GAMEDAY) e della sua esecuzione in memoria, dopodiché si connette al server di controllo degli aggressori per ricevere comandi o distribuire payload aggiuntivi.
Una volta che i dispositivi sono stati infettati, gli aggressori utilizzano la backdoor per rubare i dati utilizzando lo strumento Rclone. Una caratteristica distintiva di DeliveryCheck è un componente che viene eseguito lato server Microsoft Exchange, che lo trasforma il server in un C2.
Secondo gli analisti Microsoft, questo componente viene installato utilizzando Desired State Configuration, un modulo di PowerShell che consente agli amministratori di creare una configurazione predefinita e applicarla ai dispositivi. In genere, questa funzione viene utilizzata per creare modelli di configurazione predefiniti, che vengono quindi utilizzati per configurare automaticamente più dispositivi con le stesse impostazioni.
Gli hacker utilizzano DSC per scaricare automaticamente un eseguibile Windows con codifica Base64 che trasforma un normale server Exchange in un server di distribuzione del malware.
I ricercatori notano anche che in alcuni casi Turla ha distribuito la backdoor KAZUAR, che è un “impianto completamente funzionale”. Questo malware è uno strumento di spionaggio informatico che consente di eseguire JavaScript su un dispositivo, rubare dati dai registri eventi, rubare informazioni sui file di sistema e rubare token di autenticazione, cookie e credenziali per un’ampia gamma di programmi, inclusi browser, client FTP, VPN, KeePass, Azure, AWS e Outlook.
“Gli aggressori prendono di mira specificamente il furto di file contenenti messaggi dal popolare messenger Signal Desktop, che consente loro di leggere conversazioni private in Signal, nonché il furto di documenti, immagini e archivi dai sistemi di destinazione”, ha affermato Microsoft Threat Intelligence.
RedazioneIl 18 novembre 2025, alle 11:20 UTC, una parte significativa dell’infrastruttura globale di Cloudflare ha improvvisamente cessato di instradare correttamente il traffico Internet, mostrando a milion...
Questo è il quinto di una serie di articoli dedicati all’analisi della violenza di genere nel contesto digitale, in coincidenza con la Giornata Internazionale per l’Eliminazione della Violenza co...
18 novembre 2025 – Dopo ore di malfunzionamenti diffusi, l’incidente che ha colpito la rete globale di Cloudflare sembra finalmente vicino alla risoluzione. L’azienda ha comunicato di aver imple...
La mattinata del 18 novembre 2025 sarà ricordata come uno dei blackout più anomali e diffusi della rete Cloudflare degli ultimi mesi. La CDN – cuore pulsante di milioni di siti web, applicazioni e...
La stanza è la solita: luci tenui, sedie in cerchio, termos di tisane ormai diventate fredde da quanto tutti parlano e si sfogano. Siamo gli Shakerati Anonimi, un gruppo di persone che non avrebbe ma...
