La Cina utilizza 3 nuovi malware per accedere alle reti air-gap

Un gruppo collegato alla Cina ha effettuato una serie di attacchi di spionaggio nelle Filippine utilizzando dispositivi USB come vettore di infezione iniziale, secondo un nuovo rapporto di Mandiant.

Mandiant monitora un cluster di minacce sotto un nome non classificato chiamato UNC4191. Sulla base di un’analisi degli artefatti utilizzati, la campagna si è svolta intorno al settembre 2021.

Gli attacchi hanno colpito una serie di organizzazioni del settore pubblico e privato, principalmente nel sud-est asiatico, ma anche negli Stati Uniti, in Europa e nella regione Asia-Pacifico. 

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Secondo gli esperti, gli attacchi hanno portato al dispiegamento di nuove famiglie di malware chiamate MISTCLOAK, DARKDEW, BLUEHAZE, nonché Ncat, un’utilità di rete a riga di comando che viene utilizzata per creare una reverse shell sul sistema della vittima.

Quando un utente collega un dispositivo USB compromesso al computer, viene attivato MISTCLOAK, che funge da trampolino di lancio per il payload di crittografia, ovvero DARKDEW. 

DARKDEW, a sua volta, infetta le unità rimovibili e si diffonde su sistemi aggiuntivi e raccoglie dati all’interno di una rete Air Gap.

Inoltre, DARKDEW è progettato anche per eseguire (“DateCheck.exe”). Una versione rinominata dell’applicazione legittima “Razer Chromium Render Process” che distribuisce il malware BLUEHAZE. BLUEHAZE avvia una copia di Ncat per creare una reverse shell verso un indirizzo del server di comando e controllo (C&C).

I ricercatori ritengono che questa campagna dimostri le azioni della Cina per ottenere e mantenere l’accesso a organizzazioni pubbliche e private al fine di raccogliere informazioni relative agli interessi politici e commerciali del Paese.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.