Aggiornamenti recenti Luglio 26th, 2024 2:16 PM
Giu 27, 2023 Marina Londei Approfondimenti, Attacchi, Campagne malware, In evidenza, Intrusione, News, RSS 0
Il team di intelligence di CrowdStrike ha individuato nuove attività da parte del gruppo cinese Vanguard Panda, a.k.a. Volt Typhoon, attivo dal 2020, contro infrastrutture critiche di diversi paesi.
Il gruppo, soprannominato Vanguard Panda dai ricercatori di sicurezza della firma, ha sfruttato le vulnerabilità di ADSelfService Plus di ManageEngine per ottenere l’accesso iniziale e delle web shell custom per l’accesso persistente ai sistemi; infine, per spostarsi all’interno della rete, ha usato tecniche “living-off-the-land” che sfruttano software e funzioni già presenti nel sistema target.
CrowdStrike ha analizzato un incidente ai danni di un server Tomcat che eseguiva ADSelfService Plus. L’analisi dei ricercatori ha evidenziato che il gruppo aveva un’elevata familiarità del sistema ed era in possesso di IP, dispositivi e credenziali da usare per ottenere il controllo del server.
Il team è riuscito a isolare l’host e impedire agli attaccanti di inserirsi nella rete. CrowStrike ha individuato un file, selfsdp.jspx, che conteneva la webshell usata dagli attaccanti; il gruppo era riuscito a mascherarla da file legittimo di ADSelfService Plus modificandone il titolo e aggiungendo link all’helpdesk ufficiale del software.
Credits: Pixabay
Secondo il team di sicurezza, il file era stato inserito nel sistema 6 mesi prima dell’attacco. A giudicare dalle attività del gruppo e dalla velocità con cui sono state seguite, Vanguard Panda aveva svolto ricerche approfondite sul sistema target per ottenere tutte le informazioni di cui aveva bisogno, comprese le credenziali di amministratore.
Le tecniche di Vanguard Panda per ottenere l’accesso ai sistemi sono peculiari nel mondo del cybercrimine e rendono difficile l’individuazione delle attività malevole. Stando all’analisi di CrowdStrike, il gruppo aveva distribuito nel sistema diverse altre webshell e backdoor, tutte legate allo stesso attacco.
Per proteggersi dagli attacchi del gruppo, ClowdStrike consiglia di impostare regole per monitorare le richieste all’URI “/addEndpoint/html/lookup.gif” usato dalla backdoor di Vanguard Panda, di controllare i file sotto “C:\users\public\” con estensione .jar e i file tmp.log nello stesso percorso, e di analizzare qualsiasi file .java o .class sconosciuto nel percorso “C:\ManageEngine\ADSelfService Plus\work\Catalina\localhost\ROOT\org\apache\jsp\” e nelle relative sottocartelle.
Lug 25, 2024 0
Lug 18, 2024 0
Lug 10, 2024 0
Giu 25, 2024 0
Lug 26, 2024 0
Lug 26, 2024 0
Lug 25, 2024 0
Lug 24, 2024 0
Lug 26, 2024 0
Parigi è al centro dell’attenzione mondiale per le...Lug 24, 2024 0
Il 19 luglio 2024 è una data che rimarrà impressa per...Lug 24, 2024 0
Con l’obiettivo di assicurare un adeguato livello di...Lug 23, 2024 0
Le password sono ormai universalmente riconosciute come un...Lug 23, 2024 0
Sembra un numero fin troppo elevato, ma è tutto vero:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Lug 26, 2024 0
Parigi è al centro dell’attenzione mondiale per le...Lug 26, 2024 0
Tanti videogiocatori si affidano ai cheat per avere più...Lug 25, 2024 0
I ricercatori di ESET hanno scoperto EvilVideo, una...Lug 25, 2024 0
Daggerfly, gruppo di cybercriminali cinesi conosciuto anche...Lug 24, 2024 0
Il 19 luglio 2024 è una data che rimarrà impressa...