Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

IBM X-Fforce analizza le attività di APT28 che colpiscono la diplomazia e le accademie con la Backdoor HeadLace

Redazione RHC : 16 Dicembre 2023 13:17

Il gruppo di hacker di APT28 utilizza delle honeypot collegate al conflitto tra Israele e Hamas per distribuire una backdoor HeadLace personalizzata per ottenere informazioni di intelligence. Lo riferiscono gli specialisti di IBM X-Force che stanno monitorando le attività del gruppo.

La nuova campagna si rivolge a target in almeno 12 paesi, tra cui Ungheria, Turchia, Australia, Polonia, Belgio, Germania, Azerbaigian, Arabia Saudita, Kazakistan, Italia, Lettonia e Romania

Durante gli attacchi gli aggressori utilizzano documenti falsi destinati principalmente alle organizzazioni europee che influenzano la distribuzione degli aiuti umanitari. Tra le esche ci sono documenti relativi all’ONU, alla Banca d’Israele, al Public Policy Research Institute del Congresso americano, al Parlamento europeo e ai think tank.

Sponsorizza la prossima Red Hot Cyber Conference!

Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference
Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. 
Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. 
Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.



Supporta RHC attraverso:
 

  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.
 

Alcuni attacchi utilizzano archivi RAR che sfruttano la vulnerabilità CVE-2023-38831 (CVSS: 7.8) in WinRAR per distribuire la backdoor HeadLace. Il bug consente a un criminale informatico di eseguire codice arbitrario quando un utente tenta di visualizzare un file protetto in un archivio. Se la vittima ha installato l’applicazione vulnerabile WinRAR e apre l’archivio, il documento esca viene visualizzato mentre il dropper Headlace viene eseguito in background.

In altri casi, l’infezione utilizza il metodo di dirottamento DLL, che fornisce un file binario Microsoft Calc.exe legittimo che risulta suscettibile al dirottamento DLL sul dispositivo di destinazione. Quando la vittima fa clic su Calc.exe, una DLL dannosa viene scaricata e inserita insieme a Calc in un archivio dannoso. A questo punto la DLL avvia Headlace. Per indurre la vittima a eseguire l’eseguibile, Calc.exe viene rinominato e contiene spazi prima dell’estensione, il che potrebbe impedire all’utente di rilevare l’estensione .EXE.

Un’altra opzione Headlace si maschera da aggiornamento di Windows. Quando uno script viene eseguito, subito dopo che i suoi componenti dannosi sono stati consegnati ed eseguiti, Headlace visualizza a intervalli regolari messaggi falsi sullo stato dell’aggiornamento.

Va notato che dopo aver stabilito il controllo sul sistema, APT28 utilizza metodi aggiuntivi per intercettare i dati degli account NTLM o gli hash SMB e cerca anche di penetrare nella rete tramite TOR.

X-Force afferma con grande fiducia che il gruppo continuerà ad attaccare i centri diplomatici e accademici per ottenere informazioni sulle nuove decisioni politiche. APT28 può adattarsi ai cambiamenti nelle capacità di minaccia informatica sfruttando i CVE disponibili al pubblico e sfruttando le infrastrutture disponibili in commercio.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Quando l’hacker si ferma al pub! Tokyo a secco di birra Asahi per un attacco informatico
Di Redazione RHC - 03/10/2025

Lunedì scorso, Asahi Group, il più grande produttore giapponese di birra, whisky e bevande analcoliche, ha sospeso temporaneamente le sue operazioni in Giappone a seguito di un attacco informatico c...

Criminal Hacker contro Anziani! Arriva Datzbro: Facebook e smartphone nel mirino
Di Redazione RHC - 03/10/2025

Una nuova campagna malevola sta utilizzando Facebook come veicolo per diffondere Datzbro, un malware Android che combina le caratteristiche di un trojan bancario con quelle di uno spyware. L’allarme...

Oltre lo schermo: l’evento della Polizia Postale per una vita sana oltre i social
Di Marcello Filacchioni - 03/10/2025

La Community di Red Hot Cyber ha avuto l’opportunità di partecipare a “Oltre lo schermo”, l’importante iniziativa della Polizia Postale dedicata ai giovani del 2 ottobre, con l’obiettivo di...

Ti offrono 55.000 euro per l’accesso al tuo Account dell’ufficio. Cosa dovresti fare?
Di Redazione RHC - 03/10/2025

Il giornalista della BBC Joe Tidy si è trovato in una situazione solitamente nascosta nell’ombra della criminalità informatica. A luglio, ha ricevuto un messaggio inaspettato sull’app di messagg...

Allarme CISA: il bug Sudo colpisce Linux e Unix! Azione urgente entro il 20 ottobre
Di Redazione RHC - 03/10/2025

Il Cyberspace and Infrastructure Security Center (CISA), ha recentemente inserito la vulnerabilità critica nell’utility Sudo al suo elenco KEV (Actively Exploited Vulnerabilities ). Questo di fatto...