Redazione RHC : 5 Settembre 2022 08:02
Proofpoint e PwC Threat Intelligence hanno monitorato una campagna di cyber-spionaggio in Australia, Malesia ed Europa tra aprile e giugno 2022 da parte dell’ART cinese nota come TA423 (aka Red Ladon, APT40 e Leviathan).
TA423 è un’organizzazione di spionaggio con sede in Cina dal 2013 che prende di mira varie organizzazioni nella regione Asia-Pacifico nei settori della difesa, dell’industria, della scienza, dell’istruzione in conformità con gli interessi geopolitici del governo cinese.
Gli obiettivi principali di ART erano le organizzazioni del settore energetico nel Mar Cinese Meridionale. La campagna si è articolata in tre fasi distinte.
 Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber"Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi". Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Comprendeva campagne di phishing progettate per attirare le vittime su un sito Web dannoso mascherato da portale di notizie. Per fare ciò, gli aggressori hanno inviato messaggi da indirizzi e-mail controllati. Allo stesso tempo, il sito ha ospitato una vera e propria selezione di notizie tratte da Reuters e dalla BBC.
Il sito ha ospitato il sistema di intelligence e sfruttamento ScanBox, individuato per la prima volta da AlienVault nel 2014 e ritenuto dai ricercatori utilizzato da diversi gruppi cinesi. Tutti i target che accedono alla risorsa sono stati rilevati dallo ScanBox.
Fornisce codice JavaScript come blocco autonomo o, in questo caso, come architettura modulare basata su plug-in. Il payload principale imposta la sua configurazione, comprese le informazioni che raccoglie e il server C2 che deve contattare. Raccoglie dati dettagliati sul browser utilizzato.
Alla vittima vengono consegnati moduli di keylogger, impronte digitali, peer-to-peer e bypass della soluzione di sicurezza, incluso Kaspersky Internet Security (KIS). L’ultima campagna è stata la terza fase di una campagna in corso, rivolta principalmente all’Australia e alla Malesia.
Durante la prima fase (marzo 2021) la campagna di phishing ha incluso allegati RTF malevoli che hanno finito per estrarre versioni dello shellcode Meterpreter. Gli obiettivi in Australia includevano scuole militari, governo federale, agenzie di difesa e sanitarie.
Gli obiettivi della Malesia includevano società di perforazione ed esplorazione offshore, nonché grandi istituzioni finanziarie e di marketing. Allo stesso tempo, quest’ultima potrebbe far parte della filiera delle aziende energetiche.
La seconda fase si è tenuta a marzo 2022. Utilizzava allegati per incorporare modelli RTF che restituivano un documento Microsoft Word con macro. Secondo Proofpoint, il payload prevedeva la consegna di un dropper DLL che estrae la risposta del payload con codifica XOR.
I ricercatori suggeriscono che TA423 opera dall’isola cinese di Hainan. La speculazione si basa su un’indagine ufficiale del Dipartimento di Giustizia degli Stati Uniti sui legami dell’ART con l’MGB nella provincia cinese di Hainan.
Tuttavia, Proofpoint e PwC hanno notato che l’accusa sembra non aver avuto alcun effetto sulle operazioni del gruppo e prevedono che TA423 continuerà le sue attività di spionaggio.
RedazioneMicrosoft Teams riceverà un aggiornamento a dicembre 2025 che consentirà di monitorare la posizione dei dipendenti tramite la rete Wi-Fi dell’ufficio. Secondo la roadmap di Microsoft 365 , “quan...
Un’indagine condotta dall’Unione Europea di Radiodiffusione (EBU), con il supporto della BBC, ha messo in luce che i chatbot più popolari tendono a distorcere le notizie, modificandone il senso, ...
Spesso abbiamo citato questa frase: “Combattere il cybercrime è come estirpare le erbacce: se non le estirpi completamente rinasceranno, molto più vigorose di prima” e mai come ora risulta esser...
Per tre giorni consecutivi, dal 19 al 22 ottobre, il Comune di Caponago è rimasto isolato dal web a causa di un insolito incidente: una volpe è finita in un pozzetto della rete telefonica, danneggia...
Un’allerta globale è stata lanciata dalla Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti, riguardante lo sfruttamento attivo di una falla critica di esecuzione di codice ...
