Aggiornamenti recenti Gennaio 9th, 2025 10:00 AM
Nov 11, 2016 Marco Schiaffino Attacchi, Hacking, In evidenza, Malware, News, RSS 0
Dopo aver violato i server del Partito Democratico durante le primarie, gli hacker del gruppo russo Cozy Bear ci riprovano. Questa volta sfruttando l’effetto shock dell’elezione di Donald Trump per indurre le potenziali vittime a scaricare un malware.
A segnalare cinque successive ondate di attacchi registrati a partire dal 9 novembre è Volexity, che nel suo report ripercorre anche le ultime azioni del gruppo di pirati.
Cozy Bear, che molti considerano collegato ai servizi segreti russi, sono infatti saliti all’onore delle cronache quando la scorsa estate hanno colpito ripetutamente i sistemi informatici del Partito Democratico.
Ora il gruppo di hacker sembra essere interessato a bersagli diversi, prendendo di mira soggetti che operano nel settore della sicurezza nazionale, affari internazionali e difesa, così come organizzazioni che si occupano di e politiche pubbliche e centri studi sull’Europa e l’Asia. A giudicare dalle tecniche di ingegneria sociale adottate, i bersagli dovrebbero essere tutti di orientamento “liberal”.
La tecnica di attacco ricalca quelle già osservate in passato: le email sono confezionate con grande cura e in alcuni casi utilizzano account compromessi per dare più credibilità al messaggio. In un caso, per esempio, il messaggio di phishing proveniva da un indirizzo della prestigiosa università di Harvard.
La prima ondata di attacchi utilizzava un’email che sembrava provenire da un servizio di fax elettronico, il cui contenuto avrebbe dovuto riportare “scioccanti verità” sulle elezioni appena concluse.
Allegato ai messaggi c’era un file ZIP che dovrebbe contenere il documento o l’articolo indicato nel messaggio di posta. All’interno dell’archivio, però, c’è invece un file in formato .LNK che contiene una sequenza di comandi PowerShell.
Come prima cosa le istruzioni prevedono un controllo del PC per verificare che non si tratti di una macchina virtuale o una sandbox.
Una volta eseguito il controllo, viene scaricato e installato il malware vero e proprio. Per evitare i controlli antivirus, il codice del malware è nascosto all’interno di un file PNG attraverso una tecnica di steganografia. Il codice viene iniettato nel processo rundll32.exe in modo da essere eseguito solo in memoria.
Infine viene visualizzato un documento, che funziona come diversivo per allontanare i sospetti dall’avvenuta infezione.
In una seconda fase, gli hacker hanno invece utilizzato dei documenti Word con funzionalità Macro che adottano a loro volta delle tecniche di controllo per evitare l’esecuzione del malware in ambienti virtuali.
Il messaggio usava sempre la copertura del servizio eFax, ma in questo caso riportava la falsa notizia della scoperta di brogli elettorali che avrebbero portato alla revisione dei risultati elettorali.
**
La terza ondata di attacchi, che secondo i ricercatori è stata la più imponente in termini numerici, utilizzava di nuovo la tecnica dell’archivio compresso, ma allegato a un messaggio di posta elettronica inviato attraverso un account della Harvard University.
Anche in questo caso l’oggetto del messaggio riguardava l’elezione di Trump e ipotetici sospetti riguardanti la validità delle elezioni.
Gli attacchi successivi, affidati di nuovo all’uso di documenti Word, utilizzavano lo stesso account di posta, ma in questo caso riportavano anche un riferimento alla Clinton Foundation e ad analisi del voto che avrebbero “spiegato” il perché della vittoria dei repubblicani nelle elezioni presidenziali.
Il malware, già analizzato in passato dai ricercatori, è una backdoor che consente di acquisire un controllo pressoché completo del PC infettato, permettendo agli hacker di scaricare file, installare ulteriori strumenti di spionaggio e controllare l’attività della vittima.
Lug 10, 2024 0
Apr 03, 2024 0
Mar 22, 2023 0
Mar 09, 2023 0
Gen 09, 2025 0
Gen 08, 2025 0
Gen 07, 2025 0
Gen 06, 2025 0
Gen 08, 2025 0
Se finora l’FBI e il governo degli Stati Uniti ha...Gen 02, 2025 0
Oggi le aziende italiane non solo devono affrontare nuove e...Dic 31, 2024 0
Negli ultimi anni gli attacchi zero-day nei dispositivi...Dic 30, 2024 0
Nonostante gli sforzi per redigere e consegnare i report...Dic 23, 2024 0
Tempo di bilanci di fine anno anche per il mondo della...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Gen 09, 2025 0
Di recente è emersa una nuova campagna di phishing che...Gen 08, 2025 0
Se finora l’FBI e il governo degli Stati Uniti ha...Gen 07, 2025 0
Lo scorso venerdì Moxa, provider di reti industriali, ha...Gen 06, 2025 0
Nel corso della scorsa settimana, il CERT-AGID ha...Gen 03, 2025 0
I ricercatori di SafeBreach hanno pubblicato una PoC di...