Aggiornamenti recenti Ottobre 25th, 2024 6:40 PM
Set 11, 2023 Marina Londei Attacchi, Hacking, Intrusione, Malware, Minacce, News, RSS 0
Andariel, un gruppo di cybercriminali nord-coreano, sta usando nuovi tool per colpire organizzazioni e istituzioni della Corea del Sud. Sottogruppo di Lazarus, Andariel ha raffinato le proprie tecniche per distribuire il malware, sviluppando anche numerose varianti scritte in Go.
I ricercatori dell’AhnLab Security Emergency Response Center (ASEC) hanno seguito le attività del gruppo degli ultimi mesi, scoprendo che Andariel ha cominciato a usare il software Innorix Agent, prodotto per trasferire file tra due dispositivi in rete, non solo per scaricare malware dal server C2, ma anche per creare direttamente il file dei software malevoli.
Il gruppo sta utilizzando nuovi strumenti, come Black RAT, una backdoor scritta in Go in grado di scaricare e installare file sul dispositivo, ottenere la lista di cartelle e file e catturare screenshot. In modo simile, il gruppo ha utilizzato anche il malware Goat RAT; in questo caso Andariel ha sfruttato Innorix Agent per installare il malware con il nome “iexplorer.exe”.
Nello stesso periodo, il gruppo ha utilizzato AndarLoader, un downloader usato per scaricare ed eseguire file .NET da sorgenti esterne. AndarLoader è in grado di installare Mimikatz sul dispositivo colpito per ottenere le credenziali di accesso del sistema.
Il gruppo ha inoltre utilizzato un nuovo malware chiamato DurianBeacon, sviluppato in due versioni: una scritta in Go e l’altra in Rust. In entrambi i casi le backdoor possono comunicare col server C2 dell’attaccante, ottenere informazioni sul sistema colpito (username, computer name, architettura, memoria utilizzata), scaricare/inviare file ed eseguire comandi.
Andariel, spiegano i ricercatori, è uno dei gruppi più attivi nel campo del cybercrimine con la Corea del Sud, insieme a Kimsuky e Lazarus. Se all’inizio il gruppo sferrava i propri attacchi per ottenere informazioni di carattere politico e sulla sicurezza nazionale, oggi le sue intenzioni sono principalmente economiche.
Per ottenere l’accesso iniziale ai dispositivi il gruppo sfrutta sia vulnerabilità software, sia tecniche di phishing. I ricercatori rinnovano quindi l’invito a non scaricare allegati provenienti da indirizzi mail sconosciuti, non eseguire file scaricati da siti web sospetti e mantenere aggiornati sistema operativo e applicazioni installate.
Ott 23, 2024 0
Ott 16, 2024 0
Ott 14, 2024 0
Ott 07, 2024 0
Ott 25, 2024 0
Ott 25, 2024 0
Ott 25, 2024 0
Ott 24, 2024 0
Ott 25, 2024 0
Se in passato il tracciamento digitale era considerata una...Ott 22, 2024 0
Una delle problematiche più discusse degli assistenti di...Ott 22, 2024 0
Le minacce informatiche crescono in numero e complessità e...Ott 21, 2024 0
Le aziende si espandono e con esse anche i loro ambienti,...Ott 21, 2024 0
Di recente il team di Group-IB è riuscito a ottenere...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Ott 25, 2024 0
Tra le figure più richieste sul mercato del lavoro ci...Ott 25, 2024 0
Oltre 6.000 siti WordPress hackerati per installare plugin...Ott 24, 2024 0
Il team di Symantec ha scoperto che molte applicazioni...Ott 24, 2024 0
Gli attacchi ibridi alle password sono sempre più...Ott 23, 2024 0
Un’approfondita analisi dei ricercatori di sicurezza...