Proofpoint e PwC Threat Intelligence hanno monitorato una campagna di cyber-spionaggio in Australia, Malesia ed Europa tra aprile e giugno 2022 da parte dell’ART cinese nota come TA423 (aka Red Ladon, APT40 e Leviathan).
TA423 è un’organizzazione di spionaggio con sede in Cina dal 2013 che prende di mira varie organizzazioni nella regione Asia-Pacifico nei settori della difesa, dell’industria, della scienza, dell’istruzione in conformità con gli interessi geopolitici del governo cinese.
Gli obiettivi principali di ART erano le organizzazioni del settore energetico nel Mar Cinese Meridionale. La campagna si è articolata in tre fasi distinte.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Comprendeva campagne di phishing progettate per attirare le vittime su un sito Web dannoso mascherato da portale di notizie. Per fare ciò, gli aggressori hanno inviato messaggi da indirizzi e-mail controllati. Allo stesso tempo, il sito ha ospitato una vera e propria selezione di notizie tratte da Reuters e dalla BBC.
Il sito ha ospitato il sistema di intelligence e sfruttamento ScanBox, individuato per la prima volta da AlienVault nel 2014 e ritenuto dai ricercatori utilizzato da diversi gruppi cinesi. Tutti i target che accedono alla risorsa sono stati rilevati dallo ScanBox.
Fornisce codice JavaScript come blocco autonomo o, in questo caso, come architettura modulare basata su plug-in. Il payload principale imposta la sua configurazione, comprese le informazioni che raccoglie e il server C2 che deve contattare. Raccoglie dati dettagliati sul browser utilizzato.
Alla vittima vengono consegnati moduli di keylogger, impronte digitali, peer-to-peer e bypass della soluzione di sicurezza, incluso Kaspersky Internet Security (KIS). L’ultima campagna è stata la terza fase di una campagna in corso, rivolta principalmente all’Australia e alla Malesia.
Durante la prima fase (marzo 2021) la campagna di phishing ha incluso allegati RTF malevoli che hanno finito per estrarre versioni dello shellcode Meterpreter. Gli obiettivi in Australia includevano scuole militari, governo federale, agenzie di difesa e sanitarie.
Gli obiettivi della Malesia includevano società di perforazione ed esplorazione offshore, nonché grandi istituzioni finanziarie e di marketing. Allo stesso tempo, quest’ultima potrebbe far parte della filiera delle aziende energetiche.
La seconda fase si è tenuta a marzo 2022. Utilizzava allegati per incorporare modelli RTF che restituivano un documento Microsoft Word con macro. Secondo Proofpoint, il payload prevedeva la consegna di un dropper DLL che estrae la risposta del payload con codifica XOR.
I ricercatori suggeriscono che TA423 opera dall’isola cinese di Hainan. La speculazione si basa su un’indagine ufficiale del Dipartimento di Giustizia degli Stati Uniti sui legami dell’ART con l’MGB nella provincia cinese di Hainan.
Tuttavia, Proofpoint e PwC hanno notato che l’accusa sembra non aver avuto alcun effetto sulle operazioni del gruppo e prevedono che TA423 continuerà le sue attività di spionaggio.
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Innovazione
Cultura
Cybercrime
Cyber Italia
Innovazione