Aggiornamenti recenti Settembre 18th, 2025 4:37 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Cohesity Identity Resilience: da Cohesity e Semperis una soluzione per proteggere le infrastrutture di identità aziendali
- MuddyWater si evolve: attacchi più sofisticati e infrastruttura più resiliente
- Un attacco supply chain ha compromesso oltre 40 pacchetti NPM
- TeamItaly, presentata la nuova squadra di giovani cyber defender
- CERT-AGID 6-12 settembre: i ransomware mostrano una nuova tattica di ingegneria sociale
La campagna APT CommonMagic sta facendo nuove vittime
La campagna APT CommonMagic, individuata da Kaspersky lo scorso marzo, ha ampliato il suo raggio d’azione. Attiva dal 2021, la campagna utilizza impianti PowerMagic e CommonMagic per attività di spionaggio e sfrutta un malware non ancora identificato per sottrarre dati alle proprie vittime, situate nelle regioni di Donetsk, Luhansk e Crimea.
Mentre analizzavano impianti simili a CommonMagic per individuare il gruppo dietro la campagna, i ricercatori di Kaspersky hanno scoperto nuove attività che utilizzano il framework CloudWizard, in grado di ottenere screenshot dai dispositivi, usare il microfono per registrare ed effettuare operazioni di keylogging.
CloudWizard è composto da 9 moduli e uno di essi è anche in grado di esfiltrare cookie di Gmail dal browser per poi accedere ai registri delle attività, l’elenco dei contatti e i messaggi e-mail degli account colpiti. Le aree delle vittime, inoltre, non si limitano più a quelle di CommonMagic, ma anche all’Ucraina centrale e dell’ovest. Gli obiettivi includono ora anche singoli utenti, in particolare diplomatici, oltre alle organizzazioni.
Credits: Kaspersky
I ricercatori hanno trovato numerose analogie con CommonMagic: alcune sezioni del codice sono identiche, usano la stessa libreria di crittografia, seguono un formato di denominazione dei file simile e condividono l’ubicazione delle vittime.
Cloud Wizard presenta molte similarità anche con Operation Groundbait e Operation BugDrop, relative al codice, ai modelli di denominazione dei file e all’hosting da parte di servizi ucraini; per tutti questi motivi, il team di Kaspersky ritiene che l’attore dietro le varie campagne sia lo stesso e si sia ampliato per colpire nuovi obiettivi.
“Il responsabile di queste operazioni ha dimostrato un impegno costante nel cyberspionaggio, migliorando continuamente il proprio set di strumenti e prendendo di mira organizzazioni di interesse per oltre quindici anni. I fattori geopolitici continuano a essere una motivazione significativa per gli attacchi APT e, data la tensione prevalente nell’area del conflitto russo-ucraino, prevediamo che questo attore continuerà a svolgere le sue attività anche in futuro” ha commentato Georgy Kucherin, Security Researcher di Kaspersky’s Global Research and Analysis Team.
Al momento non ci sono informazioni sull’identità dell’attore dietro le campagne. Kaspersky consiglia alle organizzazioni di fornire al proprio team SOC gli strumenti per accedere alle informazioni sulle minacce e aggiornarlo sugli ultimi attacchi. È importante inoltre implementare soluzioni EDR per il monitoraggio e l’analisi degli incidenti a livello di endpoint e sensibilizzare i dipendenti alle pratiche di sicurezza per sfuggire agli attacchi di phishing e social engineering.
Condividi l'articolo
- APT, cloudwizard, CommonMagic, conflitto russo-ucraino, Kaspersky, operation bugdrop, operation groundbait, Phishing
Fortinet rilascia un fix per una nuova vulnerabilità dei dispositivi Fortigate
Quattro tool di IA generativa per migliorare la sicurezza
Articoli correlati
Altro in questa categoria
Approfondimenti
-
MuddyWater si evolve: attacchi più sofisticati e... La minaccia di MuddyWater non si arresta, anzi: negli... -
L’IA diventa arma e vittima per il cybercrimine: il... L’intelligenza artificiale diventa non solo... -
Report Acronis: il ransomware rimane la minaccia principale... Il ransomware continua a dilagare e rimane la minaccia... -
Migrazione a Windows 11: le aziende devono affrontare molte... Il prossimo 14 ottobre terminerà ufficialmente il supporto... -
IoT, i dispositivi connessi sono ancora troppo esposti alle... Il mondo dell’IoT rimane uno dei più esposti alle...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Cohesity Identity Resilience: da Cohesity e Semperis una... A un anno dall’annuncio della partnership, Cohesity e... -
MuddyWater si evolve: attacchi più sofisticati e... La minaccia di MuddyWater non si arresta, anzi: negli...
-
Un attacco supply chain ha compromesso oltre 40 pacchetti... I ricercatori della compagnia di sicurezza Socket hanno... -
TeamItaly, presentata la nuova squadra di giovani cyber... La nuova squadra italiana per le competizioni di... -
CERT-AGID 6-12 settembre: i ransomware mostrano una nuova... La scorsa settimana il CERT-AGID ha identificato e...
Ransomware: la serie
No posts found.