Aggiornamenti recenti Aprile 26th, 2024 9:14 AM
Ott 23, 2023 Marina Londei Apt, Attacchi, Intrusione, Minacce, News 0
I ricercatori di Kaspersky hanno individuato una nuova campagna a opera di Lazarus, un gruppo cybercriminale affiliato al governo della Corea del Nord. I nuovi attacchi, osservati nel Q3 2023, hanno sfruttato backdoor inserite nelle app VNC (Virtual Network Computing).
Le applicazioni VNC vengono usate dalle aziende per accedere e controllare i dispositivi e i server remoti. Lazarus ha sfruttato questi software per accedere ai sistemi delle organizzazioni e sottrarre dati sensibili.
La prima fase dell’attacco consiste nel contattare i professionisti del settore in cerca di lavoro e organizzare finti colloqui. Alle vittime viene richiesto di scaricare un file, ovvero l’applicazione VNC dotata di backdoor, per procedere col colloquio a distanza. Non appena l’utente interagisce col client dell’applicazione, il software compromesso scarica nuovi payload sul dispositivo della vittima ed esegue LPEClient, un altro malware.
Lazarus utilizza LPEClient per sottrarre i file di interesse e comunicare col server C2; gli attaccanti, inoltre, utilizzano una versione aggiornata di COPPERHEDGE, una backdoor in grado di eseguire comandi e inviare dati al gruppo.
La campagna colpisce organizzazioni del settore militare come produttori di sistemi radar, droni, veicoli militari, navi e armi, oltre a compagnie del settore marittimo.
È molto probabile che questi ultimi attacchi siano parte dell’Operation Dream Job, un’operazione condotta da Lazarus da settembre 2019 ad agosto 2020. La campagna prendeva di mira i settori della difesa, aerospaziale e governativo di Stati Uniti, Israele, Australia, Russia e India.
L’operazione comprendeva due sotto-campagne chiamate Operation Interception e Operation North Star; entrambe utilizzavano tecniche di phishing basate su finti colloqui di lavoro per distribuire malware, esattamente come è accaduto nell’ultima campagna del gruppo.
Gli attacchi di Lazarus tramite VNC si inseriscono in un contesto più ampio di campagne APT incentrate sul cyber spionaggio. Tra queste, i ricercatori di Kaspersky segnalano anche BadRory, un nuovo gruppo attivo dal 2022 di cui ancora non si conosce l’identità.
L’attenzione degli esperti di cyber security verso questo tipo di campagne è massima. Come sempre, è importante tenere aggiornato il software in uso e istruire gli utenti sui possibili attacchi di cui possono rimanere vittime.
Apr 26, 2024 0
Apr 16, 2024 0
Apr 09, 2024 0
Mar 12, 2024 0
Apr 24, 2024 0
Apr 24, 2024 0
Apr 23, 2024 0
Apr 23, 2024 0
Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 26, 2024 0
I ricercatori di Avast hanno scoperto una nuova campagna...Apr 24, 2024 0
I ricercatori di Cisco Talos hanno scoperto una nuova...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...