Aggiornamenti recenti Dicembre 1st, 2023 2:00 PM
Mag 05, 2017 Marco Schiaffino Attacchi, News, RSS 0
Nessuno si è ancora azzardato a ipotizzare che ci sia la mano della CIA, ma l’operazione di spionaggio che ha preso di mira diversi soggetti coinvolti a vario titolo con la Corea del Nord lasciano pensare che gli autori di questa azione abbiano per lo meno un “forte interesse” nei confronti del regime di Kim Jong-un.
Come spiegano in un rapporto i ricercatori del gruppo Talos di Cisco, i pirati informatici hanno utilizzato un classico schema di spear phishing e un malware che è stato modificato almeno per tre volte nel corso del tempo.
In tutti i casi individuati, i cyber-spioni hanno sfruttato come vettore di attacco un file in formato .SRC allegato a un messaggio di posta elettronica che contiene un malware battezzato con il nome di Konni.
La prima versione identificata è stata utilizzata in un attacco del 2014. In questo caso il file .SRC contiene due file: uno è un’innocua immagine che raffigura un tempio del Myanmar, l’altro è un eseguibile (svchost.exe) che viene copiato e attivato sul sistema.
La fotografia è usata come esca e viene regolarmente visualizzata sul computer. In background, però, viene installata la backdoor che consente di rubare informazioni dal PC.
Alla prima installazione, questa versione di Konni si limita ad assegnare un identificativo al computer infetto inserendo il dato nel registro di sistema alla voce HKLM\Software\Microsoft\Windows NT\CurrentVersion\InstallDate. Invia poi un segnale al server Command and Control e rimane in attesa di istruzioni.
Il trojan comprende solo funzioni basilari, che gli consentono di rubare informazioni dal blocco degli appunti, registrare tutto ciò che viene digitato sulla tastiera e di rubare informazioni (cookie e profili) da Chrome, Firefox e Opera.
Nell’attacco del 2016 i pirati informatici hanno modificato il loro modus operandi, utilizzando come esca due documenti Word il cui contenuto faceva riferimento alle tensioni tra Stati Uniti e Corea del Nord. I file, uno in lingua inglese e l’altro in russo, avevano come titolo “La bomba all’idrogeno della Corea del Nord può cancellare Manhattan”.
L’uso di un classico documento di propaganda è senza dubbio un metodo efficace per non suscitare sospetti nel destinatario. Soprattutto se si tratta di un dirigente nord-coreano.
In questo secondo attacco, oltre alla tecnica di social engineering, i pirati hanno cambiato anche l’architettura del malware. La versione di Konni analizzata dai ricercatori di Talos ha infatti un livello di complessità più elevato e installa sul sistema del computer infetto due file distinti: conhote.dll e winnit.exe.
Le funzionalità del malware, in ogni caso, rimangono invariate. A differenza della precedente versione, però, quella del 2016 è in grado di funzionare anche se l’utente infetto non usa un account con privilegi di amministratore.
L’ultimo attacco rilevato risale allo scorso aprile 2017 e, in questo caso, l’esca è rappresentata da un documento di testo che contiene informazioni (email, numeri di telefono e indirizzi) riguardanti numerosi uffici di organizzazioni internazionali come l’UNICEF, le Nazioni Unite e alcune ambasciate collegate alla Corea del Nord.
L’ultima versione di Konni, come spiegano gli analisti di Cisco, è decisamente più evoluta rispetto alle precedenti e integra nuove funzioni, come la possibilità di catturare schermate dal computer infetto, scaricare file da Internet ed eseguire comandi in remoto.
Gli analisti, secondo cui la rete di spionaggio sarebbe attualmente attiva, non si sbilanciano nell’attribuzione dell’attacco. Nelle loro conclusioni, però, fanno notare che i documenti allegati alle email infette dello scorso aprile contenevano informazioni “sensibili” non propriamente accessibili a tutti. C’è bisogno di aggiungere altro?
Ott 19, 2023 0
Set 11, 2023 0
Ago 29, 2023 0
Ago 18, 2023 0
Dic 01, 2023 0
Dic 01, 2023 0
Nov 30, 2023 0
Nov 30, 2023 0
Nov 30, 2023 0
L’avvicinarsi della fine dell’anno coincide con...Nov 30, 2023 0
Gli attacchi informatici crescono in numero e in...Nov 29, 2023 0
Yarix, divisione Digital Security di Var Group, ha...Nov 27, 2023 0
Le minacce APT sono tra le più pericolose nel panorama...Nov 20, 2023 0
Secondo l’ultima ricerca di Bitdefender, le truffe...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Dic 01, 2023 0
Okta, la società americana di gestione delle identità, ha...Dic 01, 2023 0
Google ha rilasciato RETVec, uno strumento open-source per...Nov 29, 2023 0
Durante il re:Invent, la conferenza annuale di Amazon Web...Nov 28, 2023 0
Microsoft ha annunciato che Defender Application Guard for...Nov 28, 2023 0
L’autorità idrica comunale di Aliquippa, una città...