Aggiornamenti recenti Luglio 14th, 2025 4:57 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- eSIM: una vulnerabilità introdotta da Kigen consente di installare applet malevoli
- CERT-AGID 5 – 11 luglio: sei nuove campagne di phishing contro utenti SPID
- Vulnerabilità in BlueSDK, milioni di veicoli a rischio di attacco
- Un attacco informatico colpisce Call of Duty: WWII su PC: giocatori compromessi
- Un gruppo APT statunitense ha attaccato industrie cinesi
Operazione WhiteBear: il gruppo Turla attacca ambasciate e consolati
I pirati informatici specializzati in cyber-spionaggio hanno utilizzato un nuovo malware per violare i sistemi di obiettivi di alto profilo.
Ambasciate, consolati e organizzazioni legate all’esercito e alla difesa. Sono questi gli obiettivi finiti nel mirino del famigerato gruppo Turla, che molti ricercatori considerano legati ad ambienti dei servizi segreti russi.
Stando a quanto riporta Kaspersky, che ha pubblicato un dettagliato report sulla vicenda, l’operazione sarebbe iniziata addirittura nel febbraio del 2016, quando Turla ha cominciato a prendere di mira le sedi diplomatiche di svariati paesi in Europa, Asia e Sud America utilizzando un nuovo malware che gli analisti hanno battezzato WhiteBear.
Gli analisti di Kaspersky non hanno ancora trovato prove riguardanti il vettore iniziale dell’attacco, anche se sospettano che i cyber-criminali abbiano utilizzato, come in passato, tecniche di Spear Phishing con allegati PDF infetti.
Secondo i ricercatori, i documenti usati come veicolo di infezione sono spesso sottratti ad altri uffici compromessi dal gruppo. Questo rende l’attacco estremamente difficile da individuare.
***foto***Secondo i ricercatori, i documenti usati come veicolo di infezione sono spesso sottratti ad altri uffici compromessi dal gruppo. Questo rende l’attacco estremamente difficile da individuare.
Molto di più si sa del malware utilizzato per compromettere i sistemi delle vittime. Si tratta di un trojan decisamente complesso, già a partire dalla fase iniziale dell’attacco. Il loader di WhiteBear sfrutta infatti due tecniche diverse di injection e contiene due binary: 201 e 202.
Dopo due minuti di attesa, esegue una serie di verifiche e il binary 201, il cui compito è di “preparare l’ambiente” per il caricamento del payload vero e proprio, contenuto nel binary 202. A questo scopo crea una pipe (un sistema di comunicazione interprocesso) che consente il caricamento del payload.
Il componente principale di WhiteBear comprende numerosi file (compressi e protetti da crittografia) che contengono i dati di configurazione e le risorse necessarie al suo funzionamento.
Una volta in comunicazione con i server Command and Control (C&C) consente al gruppo Turla di fare pressoché qualsiasi cosa e, in particolare, di installare ulteriori moduli che gli consentono di ampliare le funzionalità del malware.
Come già accaduto in passato, i server C&C di WhiteBear sfruttano un collegamento che i cyber-criminali gestiscono dirottando comunicazioni satellitari. I server individuati da Kaspersky si trovano in Congo e Sud Sudan, mentre un terzo non è stato localizzato ma sembra essere posizionato comunque in Africa.
Turla non è nuovo a usare tecniche piuttosto originali per nascondere la posizione dei suoi server C&C. In altri casi ha utilizzato anche informazioni nascoste all’interno dei commenti su Instagram di celebrità come Britney Spears.
Condividi l'articolo
Pirata contro pirata: il servizio DDoS viene ridicolizzato
Sicurezza nella gestione delle carte di credito: siamo ancora al medioevo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Liste di dati sul dark web: una fonte inaffidabile per le... In una recente analisi, Group-IB ha approfondito il ruolo... -
IconAds: quando le app fantasma diventano portali... Recentemente il team Satori Threat Intelligence di HUMAN ha... -
Le aziende italiane prevedono un aumento degli investimenti... La cybersecurity sta acquisendo sempre più importanza tra... -
Sophos Annual Threat Report: i malware e gli strumenti più... Nel 2024, le piccole e medie imprese, spesso considerate il... -
Down di MATLAB: MathWorks conferma l’attacco... MATLAB ha smesso di funzionare per quasi una settimana e...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
eSIM: una vulnerabilità introdotta da Kigen consente di... I ricercatori di AG Security Research hanno individuato una... -
CERT-AGID 5 – 11 luglio: sei nuove campagne di phishing... Nel corso di questa settimana, il CERT-AGID ha individuato... -
Vulnerabilità in BlueSDK, milioni di veicoli a rischio di... I ricercatori di PCA Cybersecurity hanno individuato un set... -
Un attacco informatico colpisce Call of Duty: WWII su PC: ... Una grave falla di sicurezza ha trasformato una sessione... -
Un gruppo APT statunitense ha attaccato industrie cinesi Un nuovo gruppo APT entra nei radar dei ricercatori di...
Ransomware: la serie
No posts found.