TA455 e Lazarus: alleati o rivali? Nuove Minacce e False Assunzioni Dilagano nel Cyberspace

Il gruppo di hacker iraniano TA455 sta utilizzando tattiche simili a quelle del gruppo nordcoreano Lazarus per prendere di mira l’industria aerospaziale offrendo lavori falsi a partire da settembre 2023. Secondo l’azienda israeliana ClearSky gli aggressori distribuiscono il malware SnailResin che attiva la backdoor SlugResin.

TA455, noto anche come UNC1549 e Yellow Dev 13, è una divisione di APT35, conosciuta con vari nomi: Charming Kitten, CharmingCypress, ITG18 e altri. Si ritiene che il gruppo sia affiliato al Corpo delle Guardie della Rivoluzione Islamica (IRGC).

Dall’inizio del 2023, TA455 ha preso di mira le industrie aerospaziali e della difesa nei paesi del Medio Oriente come Israele, Emirati Arabi Uniti e Turchia. Gli attacchi si basano sull’ingegneria sociale utilizzando false offerte di lavoro per introdurre backdoor MINIBIKE e MINIBUS. Proofpoint riferisce che gli aggressori spesso utilizzano aziende false per contattare le vittime.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

A quanto pare, TA455 ha utilizzato trucchi simili in passato, fingendosi reclutatori sui social media, comprese foto false generate dall’intelligenza artificiale e impersonando persone esistenti. PwC ne ha parlato dettagliatamente nel suo rapporto.

ClearSky rileva che TA455 utilizza metodi simili al Lazarus Group della Corea del Nord, incluso il download di DLL attraverso siti Web falsi e profili LinkedIn. Ciò potrebbe indicare tentativi di confondere le indagini o uno scambio di strumenti tra gruppi.

Gli aggressori utilizzano attacchi in più fasi utilizzando e-mail di phishing mascherate da documenti di lavoro e archivi ZIP contenenti codice dannoso. Usano anche GitHub per nascondere i server di comando e controllo, consentendo loro di mascherare il traffico e aggirare la sicurezza.

Pertanto, i criminali informatici utilizzano sempre più spesso trucchi, copiando i metodi degli altri e confondendo i confini con gli attacchi provenienti da paesi diversi. Ciò ricorda una regola che vale anche per il settore della sicurezza informatica: fidarsi, ma verificare, soprattutto se l’offerta sembra troppo allettante

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.