Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Secondo una nuova ricerca, un gruppo di minacce con sospetti legami con il Pakistan ha colpito le organizzazioni governative energetiche nelle regioni dell’Asia meridionale e centrale per distribuire RAT (Remote Access Trojan) su sistemi Windows compromessi.
“La maggior parte delle organizzazioni che hanno mostrato segni di compromissione erano in India e un piccolo numero in Afghanistan”
ha detto il Black Lotus Labs di Lumen in un’analisi di martedì.
“Le vittime potenzialmente compromesse si sono allineate con il governo e i vertici delle aziende elettriche”.
Alcune delle vittime includono un’organizzazione governativa straniera, un’organizzazione di trasmissione di energia elettrica e un’organizzazione di generazione e trasmissione di energia. Si dice che l’operazione sia iniziata almeno nel gennaio 2021.
Le intrusioni sono molte e di alto profilo per una serie di motivi, non ultimo perché oltre alla natura altamente mirata, le tattiche, le tecniche e le procedure (TTP) adottate si basano su codice open source e sull’uso di domini compromessi.
Allo stesso tempo, il gruppo è stato attento a nascondere la propria attività modificando le chiavi di registro, garantendo loro la possibilità di mantenere la persistenza sui sistemi di destinazione senza attirare l’attenzione.
Spiegando la catena di infezione, Lumen ha osservato che la campagna
“ha portato la vittima a scaricare due agent; uno risiedeva in memoria, mentre il secondo veniva caricato lateralmente, garantendo la persistenza all’attore di minacce sulle workstation infette”.
L’attacco inizia con un collegamento dannoso inviato tramite e-mail o messaggi di phishing che, se cliccato, scarica un file di archivio ZIP contenente un file di collegamento Microsoft (.lnk) e un file PDF esca da un dominio compromesso.
Il file di collegamento, oltre a mostrare il documento benigno al destinatario ignaro, si occupa anche di recuperare ed eseguire furtivamente un file HTA (applicazione HTML) dallo stesso sito Web compromesso.
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Un nuovo e formidabile nemico è emerso nel panorama delle minacce informatiche: Kimwolf, una temibile botnet DDoS, sta avendo un impatto devastante sui dispositivi a livello mondiale. Le conseguenze ...
Ecco! Il 20 dicembre 1990, qualcosa di epocale successe al CERN di Ginevra. Tim Berners-Lee, un genio dell’informatica britannico, diede vita al primo sito web della storia. Si tratta di info.cern.c...
Una giuria federale del Distretto del Nebraska ha incriminato complessivamente 54 persone accusate di aver preso parte a una vasta operazione criminale basata sull’uso di malware per sottrarre milio...
Solo un anno fa, i medici non potevano dire con certezza se KJ Muldoon sarebbe sopravvissuto al suo primo anno di vita. Oggi sta muovendo i primi passi a casa, con la sua famiglia al suo fianco. Quest...
Una nuova vulnerabilità nei componenti FreeBSD responsabili della configurazione IPv6 consente l’esecuzione remota di codice arbitrario su un dispositivo situato sulla stessa rete locale dell’agg...
