Gli hacker del Pakistan colpiscono le compagnie elettriche Indiane.

Redazione RHC : 23 Giugno 2021 15:00

Secondo una nuova ricerca, un gruppo di minacce con sospetti legami con il Pakistan ha colpito le organizzazioni governative energetiche nelle regioni dell’Asia meridionale e centrale per distribuire RAT (Remote Access Trojan) su sistemi Windows compromessi.

Prompt Engineering & Sicurezza: diventa l’esperto che guida l’AI Vuoi dominare l’AI generativa e usarla in modo sicuro e professionale? Con il Corso Prompt Engineering: dalle basi alla cybersecurity, guidato da Luca Vinciguerra, data scientist ed esperto di sicurezza informatica, impari a creare prompt efficaci, ottimizzare i modelli linguistici e difenderti dai rischi legati all’intelligenza artificiale. Un percorso pratico e subito spendibile per distinguerti nel mondo del lavoro. Non restare indietro: investi oggi nelle tue competenze e porta il tuo profilo professionale a un nuovo livello. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected] Supporta RHC attraverso:   L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

“La maggior parte delle organizzazioni che hanno mostrato segni di compromissione erano in India e un piccolo numero in Afghanistan”

ha detto il Black Lotus Labs di Lumen in un’analisi di martedì.

“Le vittime potenzialmente compromesse si sono allineate con il governo e i vertici delle aziende elettriche”.

Alcune delle vittime includono un’organizzazione governativa straniera, un’organizzazione di trasmissione di energia elettrica e un’organizzazione di generazione e trasmissione di energia. Si dice che l’operazione sia iniziata almeno nel gennaio 2021.

Le intrusioni sono molte e di alto profilo per una serie di motivi, non ultimo perché oltre alla natura altamente mirata, le tattiche, le tecniche e le procedure (TTP) adottate si basano su codice open source e sull’uso di domini compromessi.

Allo stesso tempo, il gruppo è stato attento a nascondere la propria attività modificando le chiavi di registro, garantendo loro la possibilità di mantenere la persistenza sui sistemi di destinazione senza attirare l’attenzione.

Spiegando la catena di infezione, Lumen ha osservato che la campagna

“ha portato la vittima a scaricare due agent; uno risiedeva in memoria, mentre il secondo veniva caricato lateralmente, garantendo la persistenza all’attore di minacce sulle workstation infette”.

L’attacco inizia con un collegamento dannoso inviato tramite e-mail o messaggi di phishing che, se cliccato, scarica un file di archivio ZIP contenente un file di collegamento Microsoft (.lnk) e un file PDF esca da un dominio compromesso.

Il file di collegamento, oltre a mostrare il documento benigno al destinatario ignaro, si occupa anche di recuperare ed eseguire furtivamente un file HTA (applicazione HTML) dallo stesso sito Web compromesso.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli