Redazione RHC : 9 Dicembre 2022 11:38
Il Google Threat Analysis Group (TAG) ha avvertito che il gruppo di hacker nordcoreani APT37 (alias InkySquid, Reaper e Ricochet Chollima) ha utilizzato una vulnerabilità precedentemente sconosciuta in Internet Explorer per infettare obiettivi sudcoreani con del malware.
Gli analisti di TAG sono venuti a conoscenza di questo attacco il 31 ottobre, quando un documento dannoso di Microsoft Office chiamato “221031 Seoul Yongsan Itaewon accident response situation (06:00).docx” è stato caricato su VirusTotal dalla Corea del Sud.
Gli aggressori hanno usato come esca la morte di 151 persone in una fuga precipitosa nella regione centrale di Seoul.
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Questo incidente si è verificato il 29 ottobre, durante la celebrazione di Halloween, prima dell’inizio della pandemia di coronavirus.
Una volta aperto sui dispositivi delle vittime, questo documento ha consegnato un payload sconosciuto (scaricando un modello RTF remoto che ha reso l’HTML remoto utilizzando Internet Explorer).
Il download del contenuto HTML che ha consegnato l’exploit al sistema della vittima ha consentito agli hacker di utilizzare una vulnerabilità 0-day in IE anche se gli obiettivi non lo utilizzavano come browser predefinito.
Questa vulnerabilità zero-day (monitorata con il codice CVE-2022-41128) è correlata al motore JavaScript in Internet Explorer e consente agli aggressori di eseguire codice arbitrario durante il rendering di un sito dannoso.
Gli sviluppatori Microsoft hanno corretto questo bug nell’ambito dell’aggiornamento di novembre, appena cinque giorni dopo che alla vulnerabilità era stato assegnato un identificatore CVE e subito dopo aver ricevuto il rapporto dei ricercatori.
Sebbene gli esperti di Google TAG non siano stati in grado di analizzare il payload finale di questa campagna, notano che gli hacker nordcoreani utilizzano un’ampia gamma di malware nei loro attacchi.
“Anche se non abbiamo recuperato il carico utile finale per questa campagna, in precedenza abbiamo visto un team consegnare vari impianti tra cui ROKRAT, BLUELIGHT e DOLPHIN”
Hanno riportato gli esperti. “Gli impianti APT37 in genere utilizzano servizi cloud legittimi come C&C e dispongono di funzionalità tipiche della maggior parte delle backdoor”.
RedazioneSembra che gli Stati Uniti abbiano già seriamente preso in considerazione il concetto di guerra autonoma. Il jet da combattimento autonomo della DARPA , risulta in grado di combattere senza pilot...
CrowdStrike ha pubblicato il suo Global Threat Report 2025, che documenta un balzo in avanti nel comportamento dei criminali informatici e dei gruppi statali. Gli esperti definiscono il 2024 “l...
Solamente due settimane fa, il robot umanoide prodotto da Figure ha destato in noi grande meraviglia, quando con destrezza ha preso degli indumenti da un paniere dei panni sporchi e li ha collocati al...
Il team di ricerca di Trustwave SpiderLabs ha identificato una nuova ondata di attacchi EncryptHub che combinano l’errore umano e lo sfruttamento di una vulnerabilità nella Microsoft Manag...
Gli aggressori hanno iniziato a utilizzare un trucco insolito per mascherare i link di phishing, facendoli apparire come indirizzi di Booking.com. La nuova campagna malware utilizza il carattere hirag...
