Redazione RHC : 22 Marzo 2022 13:10
L’Ucraina Computer Emergency Response Team (CERT-UA) ha riferito di campagne di phishing in corso da parte del gruppo di criminali informatici InvisiMole (noto anche come UAC-0035) nei confronti delle organizzazioni ucraine.
Gli hacker stanno distribuendo la backdoor di LoadEdge alle vittime.
Secondo CERT-UA, le e-mail di phishing contengono un archivio 501_25_103.zip e un file di etichetta (LNK).
Distribuisci i nostri corsi di formazione diventando un nostro Affiliato
Se sei un influencer, gestisci una community, un blog, un profilo social o semplicemente hai tanta voglia di diffondere cultura digitale e cybersecurity, questo è il momento perfetto per collaborare con RHC Academy. Unisciti al nostro Affiliate Program: potrai promuovere i nostri corsi online e guadagnare provvigioni ad ogni corso venduto. Fai parte del cambiamento. Diffondi conoscenza, costruisci fiducia, genera valore.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Quando viene aperto, il file dell’applicazione HTML (.hta) scarica ed esegue lo script VBScript per l’installazione di LoadEdge.
LoadEdge è una backdoor scritta nel linguaggio di programmazione C++. Il malware supporta fileEx, copyOverNw, diskops, disks, download, upload, getconf, setinterval, startr, killr, kill come comandi.
La funzionalità del programma include la raccolta di informazioni sui dischi, il caricamento e il download di file, l’esecuzione di operazioni sul file system e l’eliminazione dei dati.
Una volta che la backdoor ha stabilito una connessione con il server di comando e controllo InvisiMole, altri payload iniziano a essere installati ed eseguiti, inclusi TunnelMole e i moduli backdoor per la raccolta di informazioni RC2FM e RC2CL.
La persistenza è fornita dal file HTA creando una voce nel ramo Esegui del registro di Windows.
InvisiMole è stato scoperto dai ricercatori ESET nel 2018. Gli aggressori sono attivi almeno dal 2013 e sono stati collegati ad attacchi a grandi organizzazioni dell’Europa orientale coinvolte in attività militari e missioni diplomatiche.
Nel 2020, i ricercatori di sicurezza informatica hanno collegato InvisiMole ad APT Gamaredon (noto anche come Armageddon, Primitive Bear e ACTINIUM).
Il gruppo Gamaredon, presumibilmente risulta legato alla Russia, organizza attacchi di phishing contro imprese e organizzazioni ucraine dall’ottobre 2021.
A soli 13 anni, Dylan è diventato il più giovane ricercatore di sicurezza a collaborare con il Microsoft Security Response Center (MSRC), dimostrando come la curiosità e la perseveranza...
Secondo un nuovo rapporto del gruppo per i diritti umani Amnesty International, pubblicato dopo quasi due anni di ricerche sulla situazione, la Cambogia resta un punto caldo sulla mappa mondiale della...
Hunters International, il gruppo responsabile di uno dei più grandi attacchi ransomware degli ultimi anni, ha annunciato ufficialmente la cessazione delle sue attività. In una dichiarazione ...
I ricercatori di Okta hanno notato che aggressori sconosciuti stanno utilizzando lo strumento di intelligenza artificiale generativa v0 di Vercel per creare pagine false che imitano qu...
Google è al centro di un’imponente causa in California che si è conclusa con la decisione di pagare oltre 314 milioni di dollari agli utenti di smartphone Android nello stato. Una giu...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006