Redazione RHC : 7 Maggio 2021 07:00
Per quattro anni, il Global Research and Analysis Team (GReAT) di Kaspersky, pubblica riepiloghi trimestrali delle attività APT (Advanced Persistent Threat).
Il report di intelligence prodotto da Kaspersky, identifica gli attacchi più interessanti analizzati, suddividendoli per continente, in modo da far comprendere agli addetti ai lavori, anche a livello geografico, la distribuzione delle minacce nel loro complesso.
Riportiamo di seguito una sintesi del report, relativo ai paesi Europei oltre che la Federazione Russa e la Cina, eliminando tutta la parte relativa a Solarwinds della quale abbiamo parlato a sufficienza.
Prompt Engineering & Sicurezza: diventa l’esperto che guida l’AIVuoi dominare l’AI generativa e usarla in modo sicuro e professionale? Con il Corso Prompt Engineering: dalle basi alla cybersecurity, guidato da Luca Vinciguerra, data scientist ed esperto di sicurezza informatica, impari a creare prompt efficaci, ottimizzare i modelli linguistici e difenderti dai rischi legati all’intelligenza artificiale. Un percorso pratico e subito spendibile per distinguerti nel mondo del lavoro. Non restare indietro: investi oggi nelle tue competenze e porta il tuo profilo professionale a un nuovo livello. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]  Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Durante il monitoraggio di routine dei rilevamenti per gli strumenti spyware FinFisher, abbiamo scoperto tracce che puntano a recenti implementazioni Web di FinFly.
In particolare, abbiamo scoperto due server con applicazioni web che sospettiamo, con grande sicurezza, siano state generate utilizzando FinFly Web. FinFly Web è, in sostanza, una suite di strumenti e pacchetti che implementano un server basato sul web. È stato documentato pubblicamente per la prima volta nel 2014, all’indomani dell’incidente di hacking della Gamma Group. Uno dei sospetti server Web FinFly è stato attivo per più di un anno tra ottobre 2019 e dicembre 2020. Questo server è stato disabilitato un giorno dopo la nostra scoperta lo scorso dicembre. Tuttavia, siamo stati in grado di acquisire una copia della sua pagina di destinazione, che includeva JavaScript utilizzato per profilare le vittime utilizzando quello che sembra essere un codice precedentemente sconosciuto.
Nel secondo caso il server che ospita FinFly Web era già offline al momento della scoperta, quindi abbiamo tratto le nostre conclusioni utilizzando i dati storici disponibili. Come si è scoperto, è stato attivo per un periodo molto breve intorno a settembre 2020 su un host che sembra aver impersonato il popolare servizio Mail.ru.
Sorprendentemente, questo server ha ricominciato a rispondere il 12 gennaio. Finora, non abbiamo visto alcun payload correlato utilizzato da queste pagine web.
Kazuar è una backdoor .NET solitamente associata all’attore di minacce Turla (noto anche come Snake e Uroboros). Recentemente, Kazuar ha ricevuto un rinnovato interesse a causa delle sue somiglianze con la backdoor Sunburst. Sebbene le capacità di Kazuar siano già state esposte pubblicamente, molti fatti interessanti su questa backdoor non sono stati resi pubblici. I nostri ultimi rapporti si concentrano sulle modifiche apportate dall’attore delle minacce alle versioni di settembre e novembre della sua backdoor.
Il 24 febbraio, il Consiglio di difesa della sicurezza nazionale dell’Ucraina (NSDC) ha pubblicamente avvertito che un attore di minacce aveva sfruttato un sistema di circolazione dei documenti nazionali (SEI EB) per distribuire documenti dannosi alle autorità pubbliche ucraine. L’avviso conteneva alcuni IoC di rete correlati e specificava che i documenti utilizzavano macro dannose per rilasciare un impianto su sistemi mirati. Grazie agli IoC condivisi, siamo stati in grado di attribuire questo attacco, con grande sicurezza, all’attore della minaccia Gamaredon. L’IP del server dannoso menzionato dall’NSDC è noto a Kaspersky da febbraio come infrastruttura Gamaredon.
Il 27 gennaio, l’agenzia nazionale francese per la sicurezza informatica (ANSSI) ha pubblicato un rapporto che descrive una campagna di attacco che ha preso di mira sistemi Centreon pubblicamente esposti e obsoleti tra il 2017 e il 2020, al fine di implementare webshell Fobushell (alias PAS) e impianti Exaramel. L’ANSSI ha associato la campagna al set antintrusione Sandworm, che chiamiamo Ade. Sebbene abbiamo cercato specificamente ulteriori sistemi Centreon compromessi, campioni di impianti Exaramel o infrastrutture associate, non siamo stati in grado di recuperare alcun artefatto utile da cui avviare un’indagine completa. Tuttavia, abbiamo identificato tre server Centreon in cui era stata distribuita una webshell Fobushell. Uno di questi campioni Fobushell era identico a un altro precedentemente identificato su un server Zebrocy C2.
Abbiamo scoperto una serie di attività dannose, che abbiamo chiamato EdwardsPheasant, che prendono di mira principalmente organizzazioni governative in Vietnam da giugno 2020. Gli aggressori sfruttano backdoor e loader precedentemente sconosciuti e offuscati. Le attività hanno raggiunto il picco nel novembre 2020, ma sono ancora in corso. Il gruppo associato continua a sfruttare i suoi strumenti e le sue tattiche per compromettere gli obiettivi o mantenere l’accesso alle loro reti. Anche se abbiamo potuto identificare somiglianze con gli strumenti e le tattiche associate a Cycldek (alias Goblin Panda) e Lucky Mouse (alias Emissary Panda), non siamo stati in grado di attribuire questo insieme di attività a nessuno dei due in modo definitivo.
Abbiamo esaminato una campagna di spionaggio di lunga durata, denominata A41APT, rivolta a più settori, tra cui l’industria manifatturiera giapponese e le sue basi all’estero, attiva da marzo 2019. Gli aggressori hanno utilizzato le vulnerabilità in un prodotto SSL-VPN per implementare un sistema loader multilivello che abbiamo soprannominato Ecipekac (aka DESLoader, SigLoader e HEAVYHAND). Attribuiamo questa attività ad APT10 con elevata confidenza. La maggior parte dei payload rilevati distribuiti da questo strumento sono privi di file e non sono stati visti prima. Abbiamo osservato SodaMaster (aka DelfsCake, dfls e DARKTOWN), P8RAT (aka GreetCake e HEAVYPOT) e FYAnti (aka DILLJUICE Stage 2) che a sua volta carica QuasarRAT. A novembre e dicembre 2020, sono stati pubblicati due post di blog pubblici su questa campagna. Un mese dopo, abbiamo osservato nuove attività del gruppo con una versione aggiornata di alcuni dei loro impianti progettati per eludere i prodotti di sicurezza e rendere l’analisi più difficile per i ricercatori.
Fonte
RedazioneA cura di Luca Stivali e Olivia Terragni. L’11 settembre 2025 è esploso mediaticamente, in modo massivo e massiccio, quello che può essere definito il più grande leak mai subito dal Great Fir...
Una violazione di dati senza precedenti ha colpito il Great Firewall of China (GFW), con oltre 500 GB di materiale riservato che è stato sottratto e reso pubblico in rete. Tra le informazioni comprom...
Negli ultimi anni le truffe online hanno assunto forme sempre più sofisticate, sfruttando non solo tecniche di ingegneria sociale, ma anche la fiducia che milioni di persone ripongono in figure relig...
Microsoft ha ricordato agli utenti che tra un mese terminerà il supporto per l’amato Windows 10. Dal 14 ottobre 2025, il sistema non riceverà più aggiornamenti di sicurezza , correzioni di bug e ...
Negli ultimi mesi mi sono trovato più volte a redigere querele per video falsi che circolavano online. Non parliamo soltanto di contenuti rubati e diffusi senza consenso, ma anche di deepfake: filmat...
