Red Hot Cyber

La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed 
incentiva gli altri a fare meglio di te.

Cerca

Gli hacker del Pakistan colpiscono le compagnie elettriche Indiane.

Redazione RHC : 23 Giugno 2021 15:00

Secondo una nuova ricerca, un gruppo di minacce con sospetti legami con il Pakistan ha colpito le organizzazioni governative energetiche nelle regioni dell’Asia meridionale e centrale per distribuire RAT (Remote Access Trojan) su sistemi Windows compromessi.

Supporta Red Hot Cyber attraverso

“La maggior parte delle organizzazioni che hanno mostrato segni di compromissione erano in India e un piccolo numero in Afghanistan”

ha detto il Black Lotus Labs di Lumen in un’analisi di martedì.

“Le vittime potenzialmente compromesse si sono allineate con il governo e i vertici delle aziende elettriche”.

Alcune delle vittime includono un’organizzazione governativa straniera, un’organizzazione di trasmissione di energia elettrica e un’organizzazione di generazione e trasmissione di energia. Si dice che l’operazione sia iniziata almeno nel gennaio 2021.

Le intrusioni sono molte e di alto profilo per una serie di motivi, non ultimo perché oltre alla natura altamente mirata, le tattiche, le tecniche e le procedure (TTP) adottate si basano su codice open source e sull’uso di domini compromessi.

Allo stesso tempo, il gruppo è stato attento a nascondere la propria attività modificando le chiavi di registro, garantendo loro la possibilità di mantenere la persistenza sui sistemi di destinazione senza attirare l’attenzione.

Spiegando la catena di infezione, Lumen ha osservato che la campagna

“ha portato la vittima a scaricare due agent; uno risiedeva in memoria, mentre il secondo veniva caricato lateralmente, garantendo la persistenza all’attore di minacce sulle workstation infette”.

L’attacco inizia con un collegamento dannoso inviato tramite e-mail o messaggi di phishing che, se cliccato, scarica un file di archivio ZIP contenente un file di collegamento Microsoft (.lnk) e un file PDF esca da un dominio compromesso.

Il file di collegamento, oltre a mostrare il documento benigno al destinatario ignaro, si occupa anche di recuperare ed eseguire furtivamente un file HTA (applicazione HTML) dallo stesso sito Web compromesso.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.
Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

Redazione: [email protected]
© Copyright RED HOT CYBER. PIVA 16821691009