Aggiornamenti recenti Settembre 20th, 2023 2:00 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Earth Lusca torna all’attacco con una nuova backdoor
- Microsoft: una “gaffe” di sicurezza ha esposto 38TB di dati sensibili
- Il cybercrimine organizza competizioni per sviluppare nuovi metodi d’attacco
- Nasce HWG Sababa, il polo per guidare imprese e istituzioni nelle sfide di sicurezza
- Scoperte tre vulnerabilità di command injection in Kubernetes
Andariel ha sviluppato nuovi malware per colpire le organizzazioni sud-coreane
Andariel, un gruppo di cybercriminali nord-coreano, sta usando nuovi tool per colpire organizzazioni e istituzioni della Corea del Sud. Sottogruppo di Lazarus, Andariel ha raffinato le proprie tecniche per distribuire il malware, sviluppando anche numerose varianti scritte in Go.
I ricercatori dell’AhnLab Security Emergency Response Center (ASEC) hanno seguito le attività del gruppo degli ultimi mesi, scoprendo che Andariel ha cominciato a usare il software Innorix Agent, prodotto per trasferire file tra due dispositivi in rete, non solo per scaricare malware dal server C2, ma anche per creare direttamente il file dei software malevoli.
Pixabay
Il gruppo sta utilizzando nuovi strumenti, come Black RAT, una backdoor scritta in Go in grado di scaricare e installare file sul dispositivo, ottenere la lista di cartelle e file e catturare screenshot. In modo simile, il gruppo ha utilizzato anche il malware Goat RAT; in questo caso Andariel ha sfruttato Innorix Agent per installare il malware con il nome “iexplorer.exe”.
Nello stesso periodo, il gruppo ha utilizzato AndarLoader, un downloader usato per scaricare ed eseguire file .NET da sorgenti esterne. AndarLoader è in grado di installare Mimikatz sul dispositivo colpito per ottenere le credenziali di accesso del sistema.
Il gruppo ha inoltre utilizzato un nuovo malware chiamato DurianBeacon, sviluppato in due versioni: una scritta in Go e l’altra in Rust. In entrambi i casi le backdoor possono comunicare col server C2 dell’attaccante, ottenere informazioni sul sistema colpito (username, computer name, architettura, memoria utilizzata), scaricare/inviare file ed eseguire comandi.
Pixabay
Andariel, spiegano i ricercatori, è uno dei gruppi più attivi nel campo del cybercrimine con la Corea del Sud, insieme a Kimsuky e Lazarus. Se all’inizio il gruppo sferrava i propri attacchi per ottenere informazioni di carattere politico e sulla sicurezza nazionale, oggi le sue intenzioni sono principalmente economiche.
Per ottenere l’accesso iniziale ai dispositivi il gruppo sfrutta sia vulnerabilità software, sia tecniche di phishing. I ricercatori rinnovano quindi l’invito a non scaricare allegati provenienti da indirizzi mail sconosciuti, non eseguire file scaricati da siti web sospetti e mantenere aggiornati sistema operativo e applicazioni installate.
Condividi l'articolo
Il breach di LastPass ha compromesso centinaia di cryptowallet
Il malware Chaes sfrutta DevTools di Chrome per sottrarre dati sensibili
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Il cybercrimine organizza competizioni per sviluppare nuovi... Uno dei modi migliori per condividere idee e favorire la... -
DDoS tramite dispositivi IoT: una minaccia sempre più... I dispositivi IoT stanno trasformando l’operatività... -
Fine Grain Password: un servizio Microsoft per gestire... La sicurezza delle password è un aspetto cruciale per... -
Le PMI italiane nel mirino dei ransomware Il fenomeno dei ransomware non si arresta e, anzi, continua... -
L’Italia è il quinto paese al mondo per furto di... Il furto di account rimane uno dei principali problemi di...
Minacce recenti
Off topic
-
Maythefourth: La caduta dell’Impero Galattico è... E se vi dicessimo che la saga di Star Wars ... -
Gli hacker e il cinema: i dieci migliori film secondo... Abbiamo rubato al blog di Kaspersky un vecchio pezzo di... -
Campione di scacchi blinda il PC. “Paura degli hacker” Il numero uno degli scacchi mondiali Magnus Carlsen ha... -
L’autore di fsociety pensa di essere Mr. Robot, ma è un... Il pirata informatico che ha creato il ransomware cerca... -
Yahoo sospende l’inoltro delle email. Paura di un esodo... Dopo la raffica di figuracce, l’azienda sospende per...
Post recenti
-
Earth Lusca torna all’attacco con una nuova backdoor Earth Lusca è ancora in attività: il gruppo... -
Microsoft: una “gaffe” di sicurezza ha esposto... I ricercatori di Wiz, compagnia di sicurezza per il... -
Nasce HWG Sababa, il polo per guidare imprese e istituzioni... HWG, azienda di servizi gestiti e consulenza cyber, e... -
Scoperte tre vulnerabilità di command injection in... I ricercatori di Akamai hanno individuato tre... -
Trovate due nuove vulnerabilità critiche nei prodotti SAP In occasione del Security Patch Day di settembre, SAP ha...
Ransomware: la serie
No posts found.
