Aggiornamenti recenti Aprile 19th, 2024 9:00 AM
Nov 11, 2016 Marco Schiaffino Attacchi, Hacking, In evidenza, Malware, News, RSS 0
Dopo aver violato i server del Partito Democratico durante le primarie, gli hacker del gruppo russo Cozy Bear ci riprovano. Questa volta sfruttando l’effetto shock dell’elezione di Donald Trump per indurre le potenziali vittime a scaricare un malware.
A segnalare cinque successive ondate di attacchi registrati a partire dal 9 novembre è Volexity, che nel suo report ripercorre anche le ultime azioni del gruppo di pirati.
Cozy Bear, che molti considerano collegato ai servizi segreti russi, sono infatti saliti all’onore delle cronache quando la scorsa estate hanno colpito ripetutamente i sistemi informatici del Partito Democratico.
Ora il gruppo di hacker sembra essere interessato a bersagli diversi, prendendo di mira soggetti che operano nel settore della sicurezza nazionale, affari internazionali e difesa, così come organizzazioni che si occupano di e politiche pubbliche e centri studi sull’Europa e l’Asia. A giudicare dalle tecniche di ingegneria sociale adottate, i bersagli dovrebbero essere tutti di orientamento “liberal”.
La tecnica di attacco ricalca quelle già osservate in passato: le email sono confezionate con grande cura e in alcuni casi utilizzano account compromessi per dare più credibilità al messaggio. In un caso, per esempio, il messaggio di phishing proveniva da un indirizzo della prestigiosa università di Harvard.
La prima ondata di attacchi utilizzava un’email che sembrava provenire da un servizio di fax elettronico, il cui contenuto avrebbe dovuto riportare “scioccanti verità” sulle elezioni appena concluse.
Allegato ai messaggi c’era un file ZIP che dovrebbe contenere il documento o l’articolo indicato nel messaggio di posta. All’interno dell’archivio, però, c’è invece un file in formato .LNK che contiene una sequenza di comandi PowerShell.
Come prima cosa le istruzioni prevedono un controllo del PC per verificare che non si tratti di una macchina virtuale o una sandbox.
Una volta eseguito il controllo, viene scaricato e installato il malware vero e proprio. Per evitare i controlli antivirus, il codice del malware è nascosto all’interno di un file PNG attraverso una tecnica di steganografia. Il codice viene iniettato nel processo rundll32.exe in modo da essere eseguito solo in memoria.
Infine viene visualizzato un documento, che funziona come diversivo per allontanare i sospetti dall’avvenuta infezione.
In una seconda fase, gli hacker hanno invece utilizzato dei documenti Word con funzionalità Macro che adottano a loro volta delle tecniche di controllo per evitare l’esecuzione del malware in ambienti virtuali.
Il messaggio usava sempre la copertura del servizio eFax, ma in questo caso riportava la falsa notizia della scoperta di brogli elettorali che avrebbero portato alla revisione dei risultati elettorali.
**
La terza ondata di attacchi, che secondo i ricercatori è stata la più imponente in termini numerici, utilizzava di nuovo la tecnica dell’archivio compresso, ma allegato a un messaggio di posta elettronica inviato attraverso un account della Harvard University.
Anche in questo caso l’oggetto del messaggio riguardava l’elezione di Trump e ipotetici sospetti riguardanti la validità delle elezioni.
Gli attacchi successivi, affidati di nuovo all’uso di documenti Word, utilizzavano lo stesso account di posta, ma in questo caso riportavano anche un riferimento alla Clinton Foundation e ad analisi del voto che avrebbero “spiegato” il perché della vittoria dei repubblicani nelle elezioni presidenziali.
Il malware, già analizzato in passato dai ricercatori, è una backdoor che consente di acquisire un controllo pressoché completo del PC infettato, permettendo agli hacker di scaricare file, installare ulteriori strumenti di spionaggio e controllare l’attività della vittima.
Apr 03, 2024 0
Mar 22, 2023 0
Mar 09, 2023 0
Feb 28, 2023 0
Apr 19, 2024 0
Apr 18, 2024 0
Apr 18, 2024 0
Apr 17, 2024 0
Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Apr 11, 2024 0
Secondo l’ultimo report di Sophos, “It’s Oh...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 19, 2024 0
Il mondo del cybercrimine continua a mettere in difficoltà...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 18, 2024 0
I ricercatori di Cisco Talos hanno individuato un...Apr 17, 2024 0
“In un contesto di crescente fragilità, gli sforzi di...Apr 17, 2024 0
I mantainer di PuTTY, il client open-source di SSH e...