TA455 e Lazarus: alleati o rivali? Nuove Minacce e False Assunzioni Dilagano nel Cyberspace

Il gruppo di hacker iraniano TA455 sta utilizzando tattiche simili a quelle del gruppo nordcoreano Lazarus per prendere di mira l’industria aerospaziale offrendo lavori falsi a partire da settembre 2023. Secondo l’azienda israeliana ClearSky gli aggressori distribuiscono il malware SnailResin che attiva la backdoor SlugResin.

TA455, noto anche come UNC1549 e Yellow Dev 13, è una divisione di APT35, conosciuta con vari nomi: Charming Kitten, CharmingCypress, ITG18 e altri. Si ritiene che il gruppo sia affiliato al Corpo delle Guardie della Rivoluzione Islamica (IRGC).

Dall’inizio del 2023, TA455 ha preso di mira le industrie aerospaziali e della difesa nei paesi del Medio Oriente come Israele, Emirati Arabi Uniti e Turchia. Gli attacchi si basano sull’ingegneria sociale utilizzando false offerte di lavoro per introdurre backdoor MINIBIKE e MINIBUS. Proofpoint riferisce che gli aggressori spesso utilizzano aziende false per contattare le vittime.

A quanto pare, TA455 ha utilizzato trucchi simili in passato, fingendosi reclutatori sui social media, comprese foto false generate dall’intelligenza artificiale e impersonando persone esistenti. PwC ne ha parlato dettagliatamente nel suo rapporto.

ClearSky rileva che TA455 utilizza metodi simili al Lazarus Group della Corea del Nord, incluso il download di DLL attraverso siti Web falsi e profili LinkedIn. Ciò potrebbe indicare tentativi di confondere le indagini o uno scambio di strumenti tra gruppi.

Gli aggressori utilizzano attacchi in più fasi utilizzando e-mail di phishing mascherate da documenti di lavoro e archivi ZIP contenenti codice dannoso. Usano anche GitHub per nascondere i server di comando e controllo, consentendo loro di mascherare il traffico e aggirare la sicurezza.

Pertanto, i criminali informatici utilizzano sempre più spesso trucchi, copiando i metodi degli altri e confondendo i confini con gli attacchi provenienti da paesi diversi. Ciò ricorda una regola che vale anche per il settore della sicurezza informatica: fidarsi, ma verificare, soprattutto se l’offerta sembra troppo allettante

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.