Redazione RHC : 8 Maggio 2021 06:22
Da quando Microsoft ha rafforzato le funzionalità di sicurezza con il rilascio di Windows 10, i rootkit sono diventati una rarità sulla scena del malware, poiché svilupparne e installarne uno senza essere rilevato o bloccato è diventato significativamente più difficile rispetto agli anni precedenti.
Ma in un rapporto pubblicato da Kaspersky, ha affermato di aver scoperto un nuovo e raro rootkit per Windows che è rimasto inosservato almeno dal 2018 ed è stato implementato in alcuni attacchi altamente mirati.
Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Kaspersky ha detto che il rootkit (che ha chiamato Moriya), è stato sviluppato da un misterioso gruppo di cyber-spionaggio cinese.
“Sfortunatamente, non siamo in grado di attribuire l’attacco a nessun attore noto in particolare, ma sulla base dei TTP utilizzati durante la campagna, supponiamo che sia di lingua cinese”
ha detto il team di Kaspersky GReAT.
“Basiamo questo sul fatto che le entità prese di mira sono state attaccate in passato da attori in lingua cinese e si trovano generalmente in paesi presi di mira da un profilo APT. Inoltre, gli strumenti sfruttati dagli aggressori, come China Chopper, BOUNCER, Termite e Earthworm, sono un ulteriore indicatore a sostegno della nostra ipotesi poiché sono stati precedentemente utilizzati in campagne attribuite a noti gruppi cinesi”
ha aggiunto la società.
Kaspersky ha affermato che, in base alla sua telemetria, gli attacchi erano altamente mirati verso circa dieci organizzazioni in tutto il mondo.
“Le vittime più importanti sono due grandi organizzazioni nel sud-est asiatico e in Africa, mentre tutte le altre erano nell’Asia meridionale”
ha aggiunto.
Moriya ha utilizzato un design intelligente per evitare il rilevamento, oltre a prendere in prestito tecniche collaudate utilizzate dai rootkit di altri APT (come Turla, Lamberts ed Equation Group).
Per quanto riguarda il modo in cui Moriya è stato installato all’interno delle organizzazioni, Kaspersky ha affermato che il punto di ingresso era solitamente server Web IIS obsoleti, come la CVE-2017-7269 , che gli aggressori hanno abusato per installare una shell web sul server della vittima e quindi utilizzarla per distribuire Moriya.
Gli autori della minaccia collegati all’operazione ransomware Play hanno sfruttato una vulnerabilità zero-day in Microsoft Windows prima della sua correzione, avvenuta l’8 aprile 20...
È stata individuata una campagna di phishing mirata agli utenti SPID dal gruppo del CERT-AgID, che sfrutta indebitamente il nome e il logo della stessa AgID, insieme al dominio recentemente regis...
Nel mondo del cybercrime organizzato, Darcula rappresenta un salto di paradigma. Non stiamo parlando di un semplice kit di phishing o di una botnet mal gestita. Darcula è una piattaforma vera e p...
Cloudflare afferma di aver prevenuto un numero record di attacchi DDoS da record nel 2024. Il numero di incidenti è aumentato del 358% rispetto all’anno precedente e del 198% ris...
Il gigante delle telecomunicazioni sudcoreano SK Telecom ha sospeso le sottoscrizioni di nuovi abbonati in tutto il paese, concentrandosi sulla sostituzione delle schede SIM di 25 milioni di...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006