Redazione RHC : 25 Marzo 2025 06:46
Il gruppo di cyber spionaggio RedCurl (noto anche come EarthKapre) è stato individuato nel gennaio 2025 mentre conduceva una sofisticata campagna mirata a studi legali e organizzazioni aziendali, con l’obiettivo di spionaggio industriale.
Gli attaccanti hanno utilizzato una catena di attacco in più fasi che sfrutta strumenti legittimi per l’esfiltrazione dei dati, rendendo le loro attività difficili da rilevare con le misure di sicurezza tradizionali.
L’accesso iniziale è stato ottenuto tramite un’email di phishing a tema Indeed, contenente un PDF con link a un archivio ZIP contenente un file ISO montabile. Una volta montato, la vittima vedeva un unico file SCR mascherato da applicazione CV; eseguendolo, si avviava la catena di attacco.
CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC
Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"?
Conosci il nostro corso sul cybersecurity awareness a fumetti?
Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Questo file era in realtà un eseguibile Adobe legittimo (ADNotificationManager.exe) utilizzato per caricare lateralmente il loader malevolo (netutils.dll).
La catena di attacco multi-stadio includeva tecniche sofisticate di crittografia delle stringhe, utilizzando le API di bcrypt.dll per generare hash SHA256 per la derivazione delle chiavi AES. Ogni stadio comunicava con server di comando e controllo ospitati sull’infrastruttura di Cloudflare Workers, recuperando payload successivi ed esfiltrando i dati rubati.
Per la ricognizione e la raccolta dei dati, RedCurl ha distribuito un file batch nella directory %APPDATA%\Acquisition, eseguendo vari comandi di sistema per raccogliere informazioni sugli account utente, software installati, configurazioni di sistema e risorse di rete.
È particolarmente degno di nota l’uso di Sysinternals Active Directory Explorer per l’enumerazione del dominio, come evidenziato dal comando: “temp7237\ad.exe -accepteula -snapshot “” temp7237\dmn.dat”.
RedazioneGoogle sta trasformando il suo motore di ricerca in una vetrina per l’intelligenza artificiale, e questo potrebbe significare un disastro per l’intera economia digitale. Secondo un nuovo...
Il panorama delle minacce non dorme mai, ma stavolta si è svegliato con il botto. Il 18 luglio 2025, l’azienda di sicurezza Eye Security ha lanciato un allarme che ha subito trovato eco ne...
Nel corso di un’operazione internazionale coordinata, denominata “Operation Checkmate”, le forze dell’ordine hanno sferrato un duro colpo al gruppo ransomware BlackSuit (qu...
Il Dipartimento di Giustizia degli Stati Uniti ha segnalato lo smantellamento di quattro piattaforme darknet utilizzate per la distribuzione di materiale pedopornografico. Contemporaneamente, un dicio...
“Combattere il cybercrime è come estirpare le erbacce: se non elimini le radici a fondo, queste ricresceranno” e oggi, più che mai, questa verità si conferma ess...
Iscriviti alla newsletter settimanale di Red Hot Cyber per restare sempre aggiornato sulle ultime novità in cybersecurity e tecnologia digitale.
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
