Aggiornamenti recenti Luglio 4th, 2025 3:43 PM
Mag 05, 2017 Marco Schiaffino Attacchi, News, RSS 0
Nessuno si è ancora azzardato a ipotizzare che ci sia la mano della CIA, ma l’operazione di spionaggio che ha preso di mira diversi soggetti coinvolti a vario titolo con la Corea del Nord lasciano pensare che gli autori di questa azione abbiano per lo meno un “forte interesse” nei confronti del regime di Kim Jong-un.
Come spiegano in un rapporto i ricercatori del gruppo Talos di Cisco, i pirati informatici hanno utilizzato un classico schema di spear phishing e un malware che è stato modificato almeno per tre volte nel corso del tempo.
In tutti i casi individuati, i cyber-spioni hanno sfruttato come vettore di attacco un file in formato .SRC allegato a un messaggio di posta elettronica che contiene un malware battezzato con il nome di Konni.
La prima versione identificata è stata utilizzata in un attacco del 2014. In questo caso il file .SRC contiene due file: uno è un’innocua immagine che raffigura un tempio del Myanmar, l’altro è un eseguibile (svchost.exe) che viene copiato e attivato sul sistema.
La fotografia è usata come esca e viene regolarmente visualizzata sul computer. In background, però, viene installata la backdoor che consente di rubare informazioni dal PC.
Alla prima installazione, questa versione di Konni si limita ad assegnare un identificativo al computer infetto inserendo il dato nel registro di sistema alla voce HKLM\Software\Microsoft\Windows NT\CurrentVersion\InstallDate. Invia poi un segnale al server Command and Control e rimane in attesa di istruzioni.
Il trojan comprende solo funzioni basilari, che gli consentono di rubare informazioni dal blocco degli appunti, registrare tutto ciò che viene digitato sulla tastiera e di rubare informazioni (cookie e profili) da Chrome, Firefox e Opera.
Nell’attacco del 2016 i pirati informatici hanno modificato il loro modus operandi, utilizzando come esca due documenti Word il cui contenuto faceva riferimento alle tensioni tra Stati Uniti e Corea del Nord. I file, uno in lingua inglese e l’altro in russo, avevano come titolo “La bomba all’idrogeno della Corea del Nord può cancellare Manhattan”.
L’uso di un classico documento di propaganda è senza dubbio un metodo efficace per non suscitare sospetti nel destinatario. Soprattutto se si tratta di un dirigente nord-coreano.
In questo secondo attacco, oltre alla tecnica di social engineering, i pirati hanno cambiato anche l’architettura del malware. La versione di Konni analizzata dai ricercatori di Talos ha infatti un livello di complessità più elevato e installa sul sistema del computer infetto due file distinti: conhote.dll e winnit.exe.
Le funzionalità del malware, in ogni caso, rimangono invariate. A differenza della precedente versione, però, quella del 2016 è in grado di funzionare anche se l’utente infetto non usa un account con privilegi di amministratore.
L’ultimo attacco rilevato risale allo scorso aprile 2017 e, in questo caso, l’esca è rappresentata da un documento di testo che contiene informazioni (email, numeri di telefono e indirizzi) riguardanti numerosi uffici di organizzazioni internazionali come l’UNICEF, le Nazioni Unite e alcune ambasciate collegate alla Corea del Nord.
L’ultima versione di Konni, come spiegano gli analisti di Cisco, è decisamente più evoluta rispetto alle precedenti e integra nuove funzioni, come la possibilità di catturare schermate dal computer infetto, scaricare file da Internet ed eseguire comandi in remoto.
Gli analisti, secondo cui la rete di spionaggio sarebbe attualmente attiva, non si sbilanciano nell’attribuzione dell’attacco. Nelle loro conclusioni, però, fanno notare che i documenti allegati alle email infette dello scorso aprile contenevano informazioni “sensibili” non propriamente accessibili a tutti. C’è bisogno di aggiungere altro?
Mag 20, 2025 0
Apr 02, 2025 0
Dic 23, 2024 0
Ott 16, 2024 0
Lug 04, 2025 0
Lug 03, 2025 0
Lug 02, 2025 0
Lug 01, 2025 0
Lug 03, 2025 0
Recentemente il team Satori Threat Intelligence di HUMAN ha...Giu 09, 2025 0
La cybersecurity sta acquisendo sempre più importanza tra...Mag 30, 2025 0
Nel 2024, le piccole e medie imprese, spesso considerate il...Mag 27, 2025 0
MATLAB ha smesso di funzionare per quasi una settimana e...Mag 27, 2025 0
Nel corso del “TRU Security Day 2025” di...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Lug 04, 2025 0
Il Sinaloa, un cartello messicano, è riuscito ad...Lug 03, 2025 0
Recentemente il team Satori Threat Intelligence di HUMAN ha...Lug 02, 2025 0
Secondo quanto riportato da un articolo di Bloomberg, un...Lug 01, 2025 0
In un documento congiunto rilasciato ieri, la CISA,...Giu 30, 2025 0
I ricercatori di Koi Security hanno individuato una...