Redazione RHC : 5 Settembre 2022 08:02
Proofpoint e PwC Threat Intelligence hanno monitorato una campagna di cyber-spionaggio in Australia, Malesia ed Europa tra aprile e giugno 2022 da parte dell’ART cinese nota come TA423 (aka Red Ladon, APT40 e Leviathan).
TA423 è un’organizzazione di spionaggio con sede in Cina dal 2013 che prende di mira varie organizzazioni nella regione Asia-Pacifico nei settori della difesa, dell’industria, della scienza, dell’istruzione in conformità con gli interessi geopolitici del governo cinese.
Gli obiettivi principali di ART erano le organizzazioni del settore energetico nel Mar Cinese Meridionale. La campagna si è articolata in tre fasi distinte.
CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC
Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"?
Conosci il nostro corso sul cybersecurity awareness a fumetti?
Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Comprendeva campagne di phishing progettate per attirare le vittime su un sito Web dannoso mascherato da portale di notizie. Per fare ciò, gli aggressori hanno inviato messaggi da indirizzi e-mail controllati. Allo stesso tempo, il sito ha ospitato una vera e propria selezione di notizie tratte da Reuters e dalla BBC.
Il sito ha ospitato il sistema di intelligence e sfruttamento ScanBox, individuato per la prima volta da AlienVault nel 2014 e ritenuto dai ricercatori utilizzato da diversi gruppi cinesi. Tutti i target che accedono alla risorsa sono stati rilevati dallo ScanBox.
Fornisce codice JavaScript come blocco autonomo o, in questo caso, come architettura modulare basata su plug-in. Il payload principale imposta la sua configurazione, comprese le informazioni che raccoglie e il server C2 che deve contattare. Raccoglie dati dettagliati sul browser utilizzato.
Alla vittima vengono consegnati moduli di keylogger, impronte digitali, peer-to-peer e bypass della soluzione di sicurezza, incluso Kaspersky Internet Security (KIS). L’ultima campagna è stata la terza fase di una campagna in corso, rivolta principalmente all’Australia e alla Malesia.
Durante la prima fase (marzo 2021) la campagna di phishing ha incluso allegati RTF malevoli che hanno finito per estrarre versioni dello shellcode Meterpreter. Gli obiettivi in Australia includevano scuole militari, governo federale, agenzie di difesa e sanitarie.
Gli obiettivi della Malesia includevano società di perforazione ed esplorazione offshore, nonché grandi istituzioni finanziarie e di marketing. Allo stesso tempo, quest’ultima potrebbe far parte della filiera delle aziende energetiche.
La seconda fase si è tenuta a marzo 2022. Utilizzava allegati per incorporare modelli RTF che restituivano un documento Microsoft Word con macro. Secondo Proofpoint, il payload prevedeva la consegna di un dropper DLL che estrae la risposta del payload con codifica XOR.
I ricercatori suggeriscono che TA423 opera dall’isola cinese di Hainan. La speculazione si basa su un’indagine ufficiale del Dipartimento di Giustizia degli Stati Uniti sui legami dell’ART con l’MGB nella provincia cinese di Hainan.
Tuttavia, Proofpoint e PwC hanno notato che l’accusa sembra non aver avuto alcun effetto sulle operazioni del gruppo e prevedono che TA423 continuerà le sue attività di spionaggio.
RedazioneSu un popolare forum dedicato alle fughe di dati è apparso un annuncio pubblicitario per la vendita di un database che presumibilmente contiene 15,8 milioni di account PayPal con indirizzi email ...
Una complessa operazione di attacco è stata individuata recentemente, nella quale gli aggressori digitali utilizzano la struttura di protezione Cisco per eseguire manovre di inganno online. I mal...
A cura di Luca Stivali e Roland Kapidani. Nel giro di dieci giorni un nickname mai visto prima, mydocs, ha inondato un dark forum con una serie di thread tutti uguali: stesso template, stessa call-to-...
Un ricercatore esperto in sicurezza informatica ha scoperto che centinaia di server TeslaMate in tutto il mondo trasmettono apertamente i dati dei veicoli Tesla senza alcuna protezione. Ciò signi...
Il 23 luglio 2025, Tesla tenne la sua conference call sui risultati del secondo trimestre. Elon Musk , come di consueto, trasmise a Wall Street il suo contagioso ottimismo. Parlando di Dojo, il superc...
