Redazione RHC : 27 Novembre 2023 09:30
FortiGuard Labs ha scoperto che il gruppo APT Konni, legato alla Corea del Nord , sta utilizzando un documento Word infetto come parte di una campagna di phishing in corso.
Konni è stato scoperto per la prima volta da Cisco Talos nel 2017, ma il trojan Konni RAT esiste dal 2014 ed è rimasto inosservato fino al 2017 poiché veniva utilizzato in attacchi altamente mirati. Il Trojan di accesso remoto (RAT) Konni RAT è riuscito a eludere il rilevamento grazie alla continua evoluzione ed è in grado di eseguire codice arbitrario sui sistemi presi di mira e rubare dati.
Nella campagna attuale gli aggressori utilizzano un trojan RAT per estrarre informazioni ed eseguire comandi sui dispositivi delle vittime. Gli attacchi utilizzano un documento Word con una macro dannosa. Nonostante il documento sia stato creato a settembre, l’attività sul server di Comando e Controllo (C2) è attiva ancora oggi, come si può vedere dalla telemetria interna.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Quando apri un documento, viene visualizzata una linea gialla che ti chiede di “Includere il contenuto”. Dopo aver abilitato la macro, il VBA integrato esegue lo script “check.bat” con il parametro “vbHide” per evitare che venga visualizzata la finestra della riga di comando della vittima. Lo script Batch esegue controlli ignorando il controllo dell’account utente (UAC). Lo script procede quindi alla distribuzione di un file DLL che raccoglie ed esfiltra i dati crittografati sul server C2.
Gli esperti hanno concluso che il payload di Konni include il bypass UAC e la comunicazione crittografata con il server C2, che consente all’aggressore di eseguire comandi privilegiati. Poiché il codice dannoso continua ad evolversi, si consiglia agli utenti di prestare attenzione quando gestiscono documenti sospetti.
RedazioneI ricercatori di Trellix hanno scoperto un insolito schema di attacco su Linux, in cui l’elemento chiave non è un allegato con contenuto dannoso, ma il nome del file all’interno del...
La recente vicenda del gruppo Facebook “Mia Moglie”, attivo dal 2019 e popolato da oltre 32.000 iscritti, mette in luce una dinamica che intreccia violazione della privacy, pornografia n...
Per i dipendenti di Google, “stare al passo con i tempi” significa non solo sviluppare l’intelligenza artificiale, ma anche essere in grado di utilizzarla ogni giorno. Negli ultim...
Advanced Security Solutions, con sede negli Emirati Arabi Uniti, è nata questo mese ed offre fino a 20 milioni di dollari per vulnerabilità zero-day ed exploit che consentirebbero a chiunque...
Un difetto critico riscontrato nel più recente modello di OpenAI, ChatGPT-5, permette a malintenzionati di aggirare le avanzate funzionalità di sicurezza attraverso l’uso di semplici ...
