Aggiornamenti recenti Agosto 29th, 2025 5:25 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Migrazione a Windows 11: le aziende devono affrontare molte sfide, ma qualsiasi ritardo è pericoloso
- Android, più sicurezza con la verifica dell’identità sviluppatori
- IoT, i dispositivi connessi sono ancora troppo esposti alle minacce: l’allarme di ACN
- File Linux usati per furto di dati e spionaggio: la campagna di APT36
- CERT-AGID 16-22 agosto: registrato il primo abuso di Action1
La campagna APT CommonMagic sta facendo nuove vittime
La campagna APT CommonMagic, individuata da Kaspersky lo scorso marzo, ha ampliato il suo raggio d’azione. Attiva dal 2021, la campagna utilizza impianti PowerMagic e CommonMagic per attività di spionaggio e sfrutta un malware non ancora identificato per sottrarre dati alle proprie vittime, situate nelle regioni di Donetsk, Luhansk e Crimea.
Mentre analizzavano impianti simili a CommonMagic per individuare il gruppo dietro la campagna, i ricercatori di Kaspersky hanno scoperto nuove attività che utilizzano il framework CloudWizard, in grado di ottenere screenshot dai dispositivi, usare il microfono per registrare ed effettuare operazioni di keylogging.
CloudWizard è composto da 9 moduli e uno di essi è anche in grado di esfiltrare cookie di Gmail dal browser per poi accedere ai registri delle attività, l’elenco dei contatti e i messaggi e-mail degli account colpiti. Le aree delle vittime, inoltre, non si limitano più a quelle di CommonMagic, ma anche all’Ucraina centrale e dell’ovest. Gli obiettivi includono ora anche singoli utenti, in particolare diplomatici, oltre alle organizzazioni.
Credits: Kaspersky
I ricercatori hanno trovato numerose analogie con CommonMagic: alcune sezioni del codice sono identiche, usano la stessa libreria di crittografia, seguono un formato di denominazione dei file simile e condividono l’ubicazione delle vittime.
Cloud Wizard presenta molte similarità anche con Operation Groundbait e Operation BugDrop, relative al codice, ai modelli di denominazione dei file e all’hosting da parte di servizi ucraini; per tutti questi motivi, il team di Kaspersky ritiene che l’attore dietro le varie campagne sia lo stesso e si sia ampliato per colpire nuovi obiettivi.
“Il responsabile di queste operazioni ha dimostrato un impegno costante nel cyberspionaggio, migliorando continuamente il proprio set di strumenti e prendendo di mira organizzazioni di interesse per oltre quindici anni. I fattori geopolitici continuano a essere una motivazione significativa per gli attacchi APT e, data la tensione prevalente nell’area del conflitto russo-ucraino, prevediamo che questo attore continuerà a svolgere le sue attività anche in futuro” ha commentato Georgy Kucherin, Security Researcher di Kaspersky’s Global Research and Analysis Team.
Al momento non ci sono informazioni sull’identità dell’attore dietro le campagne. Kaspersky consiglia alle organizzazioni di fornire al proprio team SOC gli strumenti per accedere alle informazioni sulle minacce e aggiornarlo sugli ultimi attacchi. È importante inoltre implementare soluzioni EDR per il monitoraggio e l’analisi degli incidenti a livello di endpoint e sensibilizzare i dipendenti alle pratiche di sicurezza per sfuggire agli attacchi di phishing e social engineering.
Condividi l'articolo
- APT, cloudwizard, CommonMagic, conflitto russo-ucraino, Kaspersky, operation bugdrop, operation groundbait, Phishing
Fortinet rilascia un fix per una nuova vulnerabilità dei dispositivi Fortigate
Quattro tool di IA generativa per migliorare la sicurezza
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Migrazione a Windows 11: le aziende devono affrontare molte... Il prossimo 14 ottobre terminerà ufficialmente il supporto... -
IoT, i dispositivi connessi sono ancora troppo esposti alle... Il mondo dell’IoT rimane uno dei più esposti alle... -
Cisco svela un nuovo tipo di jailbreak AI: i guardrail non... I chatbot basati su modelli linguistici di grandi... -
SafePay, cresce la minaccia ransomware contro gli MSP Tra le minacce più recenti che stanno facendo tremare il... -
Attacchi DDoS ipervolumetrici, ancora numeri da record... Gli attacchi DDoS, compresi quelli ipervolumetrici,...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Migrazione a Windows 11: le aziende devono affrontare molte... Il prossimo 14 ottobre terminerà ufficialmente il supporto...
-
Android, più sicurezza con la verifica... Google ha deciso di aumentare la sicurezza dei dispositivi... -
IoT, i dispositivi connessi sono ancora troppo esposti alle... Il mondo dell’IoT rimane uno dei più esposti alle...
-
File Linux usati per furto di dati e spionaggio: la... Il gruppo pakistano APT36, noto anche come Transparent... -
CERT-AGID 16-22 agosto: registrato il primo abuso di La scorsa settimana il CERT-AGID ha rilevato 81 campagne...
Ransomware: la serie
No posts found.