Redazione RHC : 2 Maggio 2023 16:15
I ricercatori di sicurezza della società di sicurezza Check Point hanno scoperto che la banda nordcoreana ScarCruft utilizza file LNK per consegnare il trojan RAT RokRAT dal luglio 2022.
ScarCruft (Chiamti anche APT37 , InkySquid, Nickel Foxcroft, Reaper, RedEyes e Ricochet Chollima) è un attore di minacce che prende di mira esclusivamente individui ed entità sudcoreane in attacchi di spear phishing progettati per fornire più backdoor e svolgere attività di spionaggio.
Questa è un’altra rappresentazione di una tendenza importante nel panorama delle minacce, in cui gli APT e i criminali informatici tentano allo stesso modo di superare il blocco delle macro da fonti non attendibili. Il primo campione è stato scoperto per la prima volta nel luglio 2022, lo stesso mese in cui Microsoft ha iniziato ad applicare questa nuova regola.
Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber"Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi". Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]  Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Il malware principale del gruppo è RokRAT (DOGCALL per Windows, CloudMensis per macOS, RambleOn per Android), il che significa che la backdoor è attivamente sviluppata e mantenuta.
ROKRAT non è cambiato in modo significativo nel corso degli anni, ma i suoi metodi di implementazione si sono evoluti, utilizzando ora archivi contenenti file LNK che avviano catene di infezione a più fasi.
RokRAT e le sue varianti sono progettate per svolgere una vasta gamma di attività come:
Le informazioni raccolte, alcune sono memorizzate nei file MP3 (come travestimento), le quali vengono inviate all’aggressore tramite i servizi cloud Dropbox, Microsoft OneDrive, pCloud e Yandex Cloud nel tentativo di recuperarle dai server C2.
Un’altra ondata di attacchi nel novembre 2022 ha utilizzato archivi ZIP contenenti file LNK per distribuire il caricatore Amadey per fornire payload aggiuntivi.
Check Point ha affermato che l’utilizzo di un file LNK può avviare la stessa efficace catena di infezione con un semplice doppio clic, che è più affidabile degli exploit di n giorni o delle macro di Microsoft Office che richiedono ulteriori clic per infettare.
RedazioneLunedì scorso, Asahi Group, il più grande produttore giapponese di birra, whisky e bevande analcoliche, ha sospeso temporaneamente le sue operazioni in Giappone a seguito di un attacco informatico c...
Una nuova campagna malevola sta utilizzando Facebook come veicolo per diffondere Datzbro, un malware Android che combina le caratteristiche di un trojan bancario con quelle di uno spyware. L’allarme...
La Community di Red Hot Cyber ha avuto l’opportunità di partecipare a “Oltre lo schermo”, l’importante iniziativa della Polizia Postale dedicata ai giovani del 2 ottobre, con l’obiettivo di...
Il giornalista della BBC Joe Tidy si è trovato in una situazione solitamente nascosta nell’ombra della criminalità informatica. A luglio, ha ricevuto un messaggio inaspettato sull’app di messagg...
Il Cyberspace and Infrastructure Security Center (CISA), ha recentemente inserito la vulnerabilità critica nell’utility Sudo al suo elenco KEV (Actively Exploited Vulnerabilities ). Questo di fatto...
