Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

TetrisPhantom: Lo Spionaggio Governativo avviene attraverso Unità USB Sicure

Redazione RHC : 27 Ottobre 2023 07:14

I ricercatori di sicurezza di Kaspersky Lab hanno scoperto una nuova campagna chiamata TetrisPhantom, che utilizza unità USB sicure per attaccare i sistemi governativi nei paesi della regione Asia-Pacifico.

Le unità USB sicure archiviano i file in una parte crittografata del dispositivo e vengono utilizzate per trasferire in modo sicuro i dati tra sistemi, anche in un ambiente isolato come ad esempio le reti Air Gap. 

L’accesso alla sezione protetta viene effettuato utilizzando un software specializzato che decrittografa il contenuto in base alla password fornita dall’utente. Uno di questi programmi è UTetris.exe, che si trova nella parte non crittografata dell’unità USB.


Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:
  • L'acquisto del fumetto sul Cybersecurity Awareness
  • Ascoltando i nostri Podcast
  • Seguendo RHC su WhatsApp
  • Seguendo RHC su Telegram
  • Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


  • Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


    Gli esperti hanno scoperto versioni infette da Trojan dell’applicazione UTetris distribuite su dispositivi USB sicuri in una campagna durata almeno diversi anni e mirata ai governi della regione Asia-Pacifico. TetrisPhantom utilizza una varietà di strumenti, comandi e componenti malware che indicano che il gruppo dietro a questa minaccia è qualificato e ben finanziato.

    Secondo i ricercatori, l’attacco include strumenti e tecniche sofisticati, tra cui:

    • offuscamento software di componenti malware basati sulla virtualizzazione;
    • comunicazione di basso livello con un’unità USB utilizzando comandi SCSI diretti;
    • autoreplicazione tramite unità USB sicure connesse per la distribuzione ad altri sistemi isolati;
    • USB che funge da loader di malware su un nuovo computer.

    Kaspersky Lab ha inoltre fornito ulteriori dettagli sull’attacco utilizzando l’applicazione Utetris infetta, che inizia eseguendo un payload chiamato AcroShell sul computer bersaglio. Il loader stabilisce un collegamento di comunicazione con il server di Comando e Controllo (C2) e può ricevere ed eseguire payload aggiuntivi per rubare documenti e file riservati, nonché raccogliere informazioni sulle unità USB in uso.

    Gli aggressori utilizzano le informazioni raccolte anche per ricercare e sviluppare un altro malware chiamato XMKR e il trojan UTetris.exe. Il modulo XMKR viene distribuito su un computer Windows ed è responsabile dell’infezione delle unità USB protette collegate al sistema per diffondere l’attacco a sistemi potenzialmente isolati.

    Le funzionalità XMKR sul dispositivo includono il furto di file per scopi di spionaggio e la scrittura di dati su unità USB. Le informazioni sull’unità USB compromessa vengono quindi inviate al server C2 quando il dispositivo di archiviazione è connesso ad Internet infettato da AcroShell.

    Gli esperti hanno confermato che gli attacchi vanno avanti da diversi anni e l’obiettivo principale di TetrisPhantom è lo spionaggio. I ricercatori notano un piccolo numero di reti governative infette, indicando un’operazione mirata.

    Redazione
    La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

    Lista degli articoli

    Articoli in evidenza

    RIP Microsoft PowerShell 2.0! Tra Agosto e Settembre la fine di un’era
    Di Redazione RHC - 18/08/2025

    Microsoft rimuoverà PowerShell 2.0 da Windows a partire da agosto, anni dopo averne annunciato la dismissione e averlo mantenuto come funzionalità opzionale. Il processore dei comandi vecchi...

    SQLite, Nginx e Apache crollano in un giorno. Hacker e Agenti AI rivoluzioneranno il bug hunting?
    Di Redazione RHC - 17/08/2025

    Sviluppare agenti di intelligenza artificiale in grado di individuare vulnerabilità in sistemi complessi è ancora un compito impegnativo che richiede molto lavoro manuale. Tuttavia, tali age...

    Arriva il primo UTERO ROBOTICO al mondo: un androide partorirà bambini entro il 2026?
    Di Redazione RHC - 17/08/2025

    L’azienda cinese Kaiwa Technology, con sede a Guangzhou, ha annunciato l’intenzione di creare il primo “utero robotico” al mondo entro il 2026: una macchina umanoide con un...

    Una Vulnerabilità critica è stata rilevata in Microsoft Web Deploy
    Di Redazione RHC - 17/08/2025

    Uno strumento Microsoft Web Deploy presenta una falla critica di sicurezza, potenzialmente sfruttata da aggressori autenticati per eseguire codice sui sistemi coinvolti. Si tratta del bug monitorato c...

    Gli USA inseriscono localizzatori nei chip AI per evitare i dirottamenti verso la Cina
    Di Redazione RHC - 16/08/2025

    Secondo quanto riportato dai media, le autorità statunitensi starebbero segretamente inserendo dispositivi di localizzazione in lotti di chip che potrebbero essere dirottati illegalmente verso la...