Aggiornamenti recenti Settembre 17th, 2024 9:58 AM
Giu 01, 2021 Massimiliano Monti Attacchi, News, Scenario 0
Una storia che ha il sapore di uno Spy Movie hollywoodiano, ma che è la realtà all’ordine del giorno nel cyber warfare, il ramo delle scienze belliche che ha a che fare con il mondo IT. In questo caso sono stati i Sentinel Labs a portare alla luce una serie di attività sospette.
Portate avanti da un nuovo gruppo chiamato Agrius, si tratta di attacchi rivolti verso bersagli israeliani, che però hanno una peculiarità. All’apparenza si presentano come “semplici” ransomware, con tanto di richiesta di riscatto e tutte le attività a corollario. Solo che dietro questa facciata si celano attacchi Wiper, finalizzati a cancellare in modo irreversibile i dati del bersaglio.
Una tecnica che si è evoluta nel tempo: le funzionalità ransomware sono state introdotte nel malware di proprietà del gruppo, chiamato Apostle solo nel corso del 2020, secondo quanto riportano i laboratori si SentinelOne che hanno monitorato le attività di Agrius per più di un anno, con l’aggiunta di un secondo tool, Deadwood o Detbosit, apparentemente collegato, anche se senza reali conferme, a un gruppo iraniano.
Sempre secondo l’analisi, sotto la superficie di un apparente ransomware si nascondono diverse varianti di wiper. L’attacco viene intenzionalmente mascherato come una tipica attività lucrativa, mentre i dati vengono eliminati. Un comportamento anomalo per i gruppi che si muovono per denaro, il che porta gli analisti a pensare che si tratti di gruppi sponsorizzati da qualche governo.
Gli analisti sono riusciti anche a ricostruire uno schema di comportamento che il gruppo usa nelle sue attività. Di solito il punto di ingresso sono SQL injection lanciate contro applicazioni web sfruttando gli 1-day exploit, in pratica le vulnerabilità appena scoperte che non sono ancora state risolte.
L’accesso ai sistemi della vittima avviene attraverso servizi di VPN anonime, molto spesso ProtonVPN, che Agrius usa per installare una web shell, uno script in grado di mantenere l’accesso e il controllo attivi. Quasi sempre si tratta di varianti di ASPXSpy, un malware Open Source.
La shell viene usata per raccogliere credenziali ed effettuare movimenti laterali nel sistema attraverso il solito protocollo RDP (Remote Desktop Protocol) di Windows, installare nuove Web Shell, ottenere credenziali più elevate e così via.
Nell’analisi di Sentinel Labs, le shell installate in questo modo provenivano principalmente dall’Iran, ma anche dal Pakistan, dall’Arabia Saudita e dagli Emirati Arabi Uniti. Un comportamento che apparentemente fa pensare ad attività di origine iraniana.
Attraverso le Shell, il gruppo utilizza un malware chiamato IPsec Helper per controllare la disponibilità di una connessione, connettersi a server Microsoft predeterminati e scaricare il malware Apostle, la vera arma dell’operazione. Che, come abbiamo visto, è stato progettato per sembrare un ransomware ma distruggere i dati dei bersagli.
Oltre ai bersagli israeliani, Agrius avrebbe attaccato anche infrastrutture statali negli Emirati Arabi Uniti, già note per essere state oggetto delle attenzioni da gruppi sospettati di essere iraniani.
Set 17, 2024 0
Ago 27, 2024 0
Ago 08, 2024 0
Ago 01, 2024 0
Set 16, 2024 0
Set 16, 2024 0
Set 13, 2024 0
Set 13, 2024 0
Set 13, 2024 0
Nel suo ultimo Patch Tuesday Microsoft aveva segnalato la...Set 06, 2024 0
Il quishing non è una minaccia nuova, ma negli ultimi...Set 05, 2024 0
Cresce il numero di minacce informatiche contro il settore...Set 05, 2024 0
Gli attacchi di furto di account (account takeover) sono...Set 03, 2024 0
Le identità digitali si moltiplicano e con esse anche le...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Set 17, 2024 0
Pochi giorni fa il Port of Seattle, l’agenzia...Set 16, 2024 0
I ricercatori di Doctor Web hanno scoperto Vo1d, unSet 16, 2024 0
Nel corso dell’ultima settimana, il CERT-AGID ha...Set 13, 2024 0
I ricercatori di Aqua Nautilus hanno individuato un nuovo...Set 13, 2024 0
Nel suo ultimo Patch Tuesday Microsoft aveva segnalato la...