Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

TA423 (aka Red Ladon, APT40 e Leviathan) attacca le organizzazioni nel Cinese Meridionale

Redazione RHC : 5 Settembre 2022 08:02

Proofpoint e PwC Threat Intelligence hanno monitorato una campagna di cyber-spionaggio in Australia, Malesia ed Europa tra aprile e giugno 2022 da parte dell’ART cinese nota come TA423 (aka Red Ladon, APT40 e Leviathan).

TA423 è un’organizzazione di spionaggio con sede in Cina dal 2013 che prende di mira varie organizzazioni nella regione Asia-Pacifico nei settori della difesa, dell’industria, della scienza, dell’istruzione in conformità con gli interessi geopolitici del governo cinese.

Gli obiettivi principali di ART erano le organizzazioni del settore energetico nel Mar Cinese Meridionale. La campagna si è articolata in tre fasi distinte.

Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)
    •
    Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    Comprendeva campagne di phishing progettate per attirare le vittime su un sito Web dannoso mascherato da portale di notizie. Per fare ciò, gli aggressori hanno inviato messaggi da indirizzi e-mail controllati. Allo stesso tempo, il sito ha ospitato una vera e propria selezione di notizie tratte da Reuters e dalla BBC.

    Il sito ha ospitato il sistema di intelligence e sfruttamento ScanBox, individuato per la prima volta da AlienVault nel 2014 e ritenuto dai ricercatori utilizzato da diversi gruppi cinesi. Tutti i target che accedono alla risorsa sono stati rilevati dallo ScanBox.

    Fornisce codice JavaScript come blocco autonomo o, in questo caso, come architettura modulare basata su plug-in. Il payload principale imposta la sua configurazione, comprese le informazioni che raccoglie e il server C2 che deve contattare. Raccoglie dati dettagliati sul browser utilizzato.

    Alla vittima vengono consegnati moduli di keylogger, impronte digitali, peer-to-peer e bypass della soluzione di sicurezza, incluso Kaspersky Internet Security (KIS). L’ultima campagna è stata la terza fase di una campagna in corso, rivolta principalmente all’Australia e alla Malesia.

    Durante la prima fase (marzo 2021) la campagna di phishing ha incluso allegati RTF malevoli che hanno finito per estrarre versioni dello shellcode Meterpreter. Gli obiettivi in ​​Australia includevano scuole militari, governo federale, agenzie di difesa e sanitarie.

    Gli obiettivi della Malesia includevano società di perforazione ed esplorazione offshore, nonché grandi istituzioni finanziarie e di marketing. Allo stesso tempo, quest’ultima potrebbe far parte della filiera delle aziende energetiche.

    La seconda fase si è tenuta a marzo 2022. Utilizzava allegati per incorporare modelli RTF che restituivano un documento Microsoft Word con macro. Secondo Proofpoint, il payload prevedeva la consegna di un dropper DLL che estrae la risposta del payload con codifica XOR.

    I ricercatori suggeriscono che TA423 opera dall’isola cinese di Hainan. La speculazione si basa su un’indagine ufficiale del Dipartimento di Giustizia degli Stati Uniti sui legami dell’ART con l’MGB nella provincia cinese di Hainan.

    Tuttavia, Proofpoint e PwC hanno notato che l’accusa sembra non aver avuto alcun effetto sulle operazioni del gruppo e prevedono che TA423 continuerà le sue attività di spionaggio.

    Redazione
    La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

    Lista degli articoli

    Articoli in evidenza

    Qilin domina le classifiche del Ransomware! 72 vittime solo nel mese di aprile 2025!

    Il gruppo Qilin, da noi intervistato qualche tempo fa, è in cima alla lista degli operatori di ransomware più attivi nell’aprile 2025, pubblicando i dettagli di 72 vittime sul suo sit...

    Play Ransomware sfrutta 0-Day in Windows: attacco silenzioso prima della patch di aprile 2025

    Gli autori della minaccia collegati all’operazione ransomware Play hanno sfruttato una vulnerabilità zero-day in Microsoft Windows prima della sua correzione, avvenuta l’8 aprile 20...

    Allarme AgID: truffe SPID con siti altamente attendibili mettono in pericolo i cittadini

    È stata individuata una campagna di phishing mirata agli utenti SPID dal gruppo del CERT-AgID, che sfrutta indebitamente il nome e il logo della stessa AgID, insieme al dominio recentemente regis...

    Nessuna riga di codice! Darcula inonda il mondo con il Phishing rubando 884.000 carte di credito

    Nel mondo del cybercrime organizzato, Darcula rappresenta un salto di paradigma. Non stiamo parlando di un semplice kit di phishing o di una botnet mal gestita. Darcula è una piattaforma vera e p...

    +358% di attacchi DDoS: l’inferno digitale si è scatenato nel 2024

    Cloudflare afferma di aver prevenuto un numero record di attacchi DDoS da record nel 2024. Il numero di incidenti è aumentato del 358% rispetto all’anno precedente e del 198% ris...

    Categorie
    Segui i corsi di ethical hacking di CyberSecurityUP
    Banner
    Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

    PRINCIPALI CATEGORIE
    Attacchi Informatici Italiani
    Dark Web & Cybercrime
    0day, bug e Vulnerabilità
    Hacking
    Cybersecurity Italia
    Cyberpolitica & Intelligence

    RISORSE
    Academy
    Rubriche
    Il manifesto di Red Hot Cyber
    Feed RSS
    Contatti

    Copyright @ REDHOTCYBER Srl
    PIVA 17898011006