Aggiornamenti recenti Dicembre 1st, 2023 2:00 PM
Giu 27, 2023 Marina Londei Approfondimenti, Attacchi, Campagne malware, In evidenza, Intrusione, News, RSS 0
Il team di intelligence di CrowdStrike ha individuato nuove attività da parte del gruppo cinese Vanguard Panda, a.k.a. Volt Typhoon, attivo dal 2020, contro infrastrutture critiche di diversi paesi.
Il gruppo, soprannominato Vanguard Panda dai ricercatori di sicurezza della firma, ha sfruttato le vulnerabilità di ADSelfService Plus di ManageEngine per ottenere l’accesso iniziale e delle web shell custom per l’accesso persistente ai sistemi; infine, per spostarsi all’interno della rete, ha usato tecniche “living-off-the-land” che sfruttano software e funzioni già presenti nel sistema target.
CrowdStrike ha analizzato un incidente ai danni di un server Tomcat che eseguiva ADSelfService Plus. L’analisi dei ricercatori ha evidenziato che il gruppo aveva un’elevata familiarità del sistema ed era in possesso di IP, dispositivi e credenziali da usare per ottenere il controllo del server.
Il team è riuscito a isolare l’host e impedire agli attaccanti di inserirsi nella rete. CrowStrike ha individuato un file, selfsdp.jspx, che conteneva la webshell usata dagli attaccanti; il gruppo era riuscito a mascherarla da file legittimo di ADSelfService Plus modificandone il titolo e aggiungendo link all’helpdesk ufficiale del software.
Credits: Pixabay
Secondo il team di sicurezza, il file era stato inserito nel sistema 6 mesi prima dell’attacco. A giudicare dalle attività del gruppo e dalla velocità con cui sono state seguite, Vanguard Panda aveva svolto ricerche approfondite sul sistema target per ottenere tutte le informazioni di cui aveva bisogno, comprese le credenziali di amministratore.
Le tecniche di Vanguard Panda per ottenere l’accesso ai sistemi sono peculiari nel mondo del cybercrimine e rendono difficile l’individuazione delle attività malevole. Stando all’analisi di CrowdStrike, il gruppo aveva distribuito nel sistema diverse altre webshell e backdoor, tutte legate allo stesso attacco.
Per proteggersi dagli attacchi del gruppo, ClowdStrike consiglia di impostare regole per monitorare le richieste all’URI “/addEndpoint/html/lookup.gif” usato dalla backdoor di Vanguard Panda, di controllare i file sotto “C:\users\public\” con estensione .jar e i file tmp.log nello stesso percorso, e di analizzare qualsiasi file .java o .class sconosciuto nel percorso “C:\ManageEngine\ADSelfService Plus\work\Catalina\localhost\ROOT\org\apache\jsp\” e nelle relative sottocartelle.
Nov 27, 2023 0
Nov 08, 2023 0
Ott 23, 2023 0
Ott 23, 2023 0
Dic 01, 2023 0
Dic 01, 2023 0
Nov 30, 2023 0
Nov 30, 2023 0
Nov 30, 2023 0
L’avvicinarsi della fine dell’anno coincide con...Nov 30, 2023 0
Gli attacchi informatici crescono in numero e in...Nov 29, 2023 0
Yarix, divisione Digital Security di Var Group, ha...Nov 27, 2023 0
Le minacce APT sono tra le più pericolose nel panorama...Nov 20, 2023 0
Secondo l’ultima ricerca di Bitdefender, le truffe...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Dic 01, 2023 0
Okta, la società americana di gestione delle identità, ha...Dic 01, 2023 0
Google ha rilasciato RETVec, uno strumento open-source per...Nov 29, 2023 0
Durante il re:Invent, la conferenza annuale di Amazon Web...Nov 28, 2023 0
Microsoft ha annunciato che Defender Application Guard for...Nov 28, 2023 0
L’autorità idrica comunale di Aliquippa, una città...