Aggiornamenti recenti Ottobre 25th, 2024 6:40 PM
Ott 23, 2023 Marina Londei Apt, Attacchi, Intrusione, Minacce, News 0
I ricercatori di Kaspersky hanno individuato una nuova campagna a opera di Lazarus, un gruppo cybercriminale affiliato al governo della Corea del Nord. I nuovi attacchi, osservati nel Q3 2023, hanno sfruttato backdoor inserite nelle app VNC (Virtual Network Computing).
Le applicazioni VNC vengono usate dalle aziende per accedere e controllare i dispositivi e i server remoti. Lazarus ha sfruttato questi software per accedere ai sistemi delle organizzazioni e sottrarre dati sensibili.
La prima fase dell’attacco consiste nel contattare i professionisti del settore in cerca di lavoro e organizzare finti colloqui. Alle vittime viene richiesto di scaricare un file, ovvero l’applicazione VNC dotata di backdoor, per procedere col colloquio a distanza. Non appena l’utente interagisce col client dell’applicazione, il software compromesso scarica nuovi payload sul dispositivo della vittima ed esegue LPEClient, un altro malware.
Lazarus utilizza LPEClient per sottrarre i file di interesse e comunicare col server C2; gli attaccanti, inoltre, utilizzano una versione aggiornata di COPPERHEDGE, una backdoor in grado di eseguire comandi e inviare dati al gruppo.
La campagna colpisce organizzazioni del settore militare come produttori di sistemi radar, droni, veicoli militari, navi e armi, oltre a compagnie del settore marittimo.
È molto probabile che questi ultimi attacchi siano parte dell’Operation Dream Job, un’operazione condotta da Lazarus da settembre 2019 ad agosto 2020. La campagna prendeva di mira i settori della difesa, aerospaziale e governativo di Stati Uniti, Israele, Australia, Russia e India.
L’operazione comprendeva due sotto-campagne chiamate Operation Interception e Operation North Star; entrambe utilizzavano tecniche di phishing basate su finti colloqui di lavoro per distribuire malware, esattamente come è accaduto nell’ultima campagna del gruppo.
Gli attacchi di Lazarus tramite VNC si inseriscono in un contesto più ampio di campagne APT incentrate sul cyber spionaggio. Tra queste, i ricercatori di Kaspersky segnalano anche BadRory, un nuovo gruppo attivo dal 2022 di cui ancora non si conosce l’identità.
L’attenzione degli esperti di cyber security verso questo tipo di campagne è massima. Come sempre, è importante tenere aggiornato il software in uso e istruire gli utenti sui possibili attacchi di cui possono rimanere vittime.
Ott 08, 2024 0
Ott 07, 2024 0
Set 16, 2024 0
Set 04, 2024 0
Ott 25, 2024 0
Ott 25, 2024 0
Ott 24, 2024 0
Ott 24, 2024 0
Ott 25, 2024 0
Se in passato il tracciamento digitale era considerata una...Ott 22, 2024 0
Una delle problematiche più discusse degli assistenti di...Ott 22, 2024 0
Le minacce informatiche crescono in numero e complessità e...Ott 21, 2024 0
Le aziende si espandono e con esse anche i loro ambienti,...Ott 21, 2024 0
Di recente il team di Group-IB è riuscito a ottenere...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Ott 25, 2024 0
Tra le figure più richieste sul mercato del lavoro ci...Ott 25, 2024 0
Oltre 6.000 siti WordPress hackerati per installare plugin...Ott 24, 2024 0
Il team di Symantec ha scoperto che molte applicazioni...Ott 24, 2024 0
Gli attacchi ibridi alle password sono sempre più...Ott 23, 2024 0
Un’approfondita analisi dei ricercatori di sicurezza...