Redazione RHC : 16 Dicembre 2023 13:17
Il gruppo di hacker di APT28 utilizza delle honeypot collegate al conflitto tra Israele e Hamas per distribuire una backdoor HeadLace personalizzata per ottenere informazioni di intelligence. Lo riferiscono gli specialisti di IBM X-Force che stanno monitorando le attività del gruppo.
La nuova campagna si rivolge a target in almeno 12 paesi, tra cui Ungheria, Turchia, Australia, Polonia, Belgio, Germania, Azerbaigian, Arabia Saudita, Kazakistan, Italia, Lettonia e Romania.
Durante gli attacchi gli aggressori utilizzano documenti falsi destinati principalmente alle organizzazioni europee che influenzano la distribuzione degli aiuti umanitari. Tra le esche ci sono documenti relativi all’ONU, alla Banca d’Israele, al Public Policy Research Institute del Congresso americano, al Parlamento europeo e ai think tank.
CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC
Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"?
Conosci il nostro corso sul cybersecurity awareness a fumetti?
Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Alcuni attacchi utilizzano archivi RAR che sfruttano CVE-2023-38831 (CVSS: 7.8) in WinRAR per distribuire la backdoor HeadLace. Il bug consente a un criminale informatico di eseguire codice arbitrario quando un utente tenta di visualizzare un file protetto in un archivio. Se la vittima ha installato l’applicazione vulnerabile WinRAR e apre l’archivio, il documento esca viene visualizzato mentre il dropper Headlace viene eseguito in background.
In altri casi, l’infezione utilizza il metodo di dirottamento DLL, che fornisce un file binario Microsoft Calc.exe legittimo che risulta suscettibile al dirottamento DLL sul dispositivo di destinazione. Quando la vittima fa clic su Calc.exe, una DLL dannosa viene scaricata e inserita insieme a Calc in un archivio dannoso. A questo punto la DLL avvia Headlace. Per indurre la vittima a eseguire l’eseguibile, Calc.exe viene rinominato e contiene spazi prima dell’estensione, il che potrebbe impedire all’utente di rilevare l’estensione .EXE.
Un’altra opzione Headlace si maschera da aggiornamento di Windows. Quando uno script viene eseguito, subito dopo che i suoi componenti dannosi sono stati consegnati ed eseguiti, Headlace visualizza a intervalli regolari messaggi falsi sullo stato dell’aggiornamento.
Va notato che dopo aver stabilito il controllo sul sistema, APT28 utilizza metodi aggiuntivi per intercettare i dati degli account NTLM o gli hash SMB e cerca anche di penetrare nella rete tramite TOR.
X-Force afferma con grande fiducia che il gruppo continuerà ad attaccare i centri diplomatici e accademici per ottenere informazioni sulle nuove decisioni politiche. APT28 può adattarsi ai cambiamenti nelle capacità di minaccia informatica sfruttando i CVE disponibili al pubblico e sfruttando le infrastrutture disponibili in commercio.
RedazioneLa Cina ha presentato KylinOS 11 , il più grande aggiornamento del suo sistema operativo nazionale, che il governo ha definito un importante passo avanti nella creazione di un ecosistema tecnolog...
A livello di definizione, per wetware si intende quella tecnologia che combina hardware e software per potenziare le forme di vita biologiche. Steve M. Potter, è un professore associato presso il...
Gli Stati Uniti e diversi Paesi alleati hanno lanciato un allarme congiunto sulla crescente offensiva cibernetica condotta da attori sponsorizzati dalla Repubblica Popolare Cinese. Secondo una nuova C...
Un esperto di sicurezza ha scoperto che sei dei gestori di password più diffusi, utilizzati da decine di milioni di persone, sono vulnerabili al clickjacking, un fenomeno che consente agli aggres...
NetScaler ha avvisato gli amministratori di tre nuove vulnerabilità in NetScaler ADC e NetScaler Gateway, una delle quali è già utilizzata in attacchi attivi. Sono disponibili aggiornam...
