Aggiornamenti recenti Dicembre 11th, 2024 9:00 AM
Mag 24, 2024 Marina Londei In evidenza, Minacce, News, RSS 0
Analizzando una serie di cyberattacchi contro organizzazioni di alto livello di nazioni del mar cinese meridionale, Bitdefender ha individuato Unfading Sea Haze, una nuova minaccia APT.
L’obiettivo principale del gruppo, attivo presumibilmente dal 2018, è il cyberspionaggio di obiettivi militari e governativi. Finora il gruppo ha colpito almeno otto vittime in diverse nazioni della zona e, a giudicare dalla sua attività, sembra essere allineato agli interessi del governo cinese.
Poiché il primo accesso ai sistemi delle vittime è avvenuto sei anni fa, i ricercatori di Bitdefender non sono riusciti a scoprire la tecnica con cui il gruppo ha ottenuto il primo accesso; il team ha però scoperto che gli attaccanti usano email di spear-phishing con file malevoli per riottenere l’accesso ai dispositivi target e proseguire con l’esfiltrazione di dati.
Unfading Sea Haze usa un arsenale sofisticato di malware custom e tool per stabilire la persistenza ed esfiltrare dati; tra questi emerge in particolare il framework RAT (Remote Access Trojan) Gh0st personalizzato, usato per colpire i sistemi Windows. Nei primi anni di attività il gruppo ha utilizzato principalmente tre tipi di malware: SilentGh0st, TranslucentGh0st e tre varianti di SharpJSHandler; in seguito, a partire dal 2023, gli attaccanti hanno cominciato a usare varianti più modulari del RAT quali FluffyGh0st, InsidiousGh0st e EtherealGh0st.
Per collezionare i dati, il gruppo usa diversi tool, sia personalizzati che off-the-shelf. Tra i tool custom si segnala xkeylog, un keylogger, e un data stealer creato appositamente per sottrarre dati da browser quali Google Chrome, Firefox, Edge e Internet Explorer. Il gruppo ha inoltre sviluppato un altro tool per monitorare la presenza di dispositivi USB e portatili connessi alle macchine ed esfiltrare dati da essi.
Oltre a questi strumenti, il gruppo usa anche tecniche manuali per raccogliere dati, comprimerli in archivi e inviarli al server C2, e colpisce anche i dati relativi ad applicazioni di messaggistica come Telegram e Viber.
Infine, per l’esfiltrazione delle informazioni, il gruppo fino al 2022 ha usato DustyExfilTool, uno strumento con riga di comando in grado di trasmettere i file al server specificato; in seguito, Unfading Sea Haze è passato all’uso di curl e del protocollo FTP.
“Lo spostamento verso la modularità, gli elementi dinamici e l’esecuzione in memoria evidenzia i loro sforzi per aggirare le misure di sicurezza tradizionali. Gli aggressori adattano costantemente le loro tattiche, rendendo necessario un approccio di sicurezza a più livelli” hanno affermato i ricercatori di Bitdefender, sottolineando la necessità di adottare un approccio di sicurezza a strati per proteggersi efficacemente dalla minaccia APT.
Bitdefender consiglia innanzitutto di dare priorità alla gestione delle patch e tenere aggiornati i software, in particolare quelli esposti sul web, e impostare metodi di autenticazione forte. È inoltre necessario segmentare la rete in maniera appropriata, adottare un modello zero trust e monitorare il traffico per individuare qualsiasi pattern sospetto.
Infine, si consiglia di implementare soluzioni o scegliere servizi di Detection and Response e creare una cultura di cybersecurity aziendale che promuova la comunicazione e la condivisione di informazioni.
Nov 12, 2024 0
Nov 08, 2024 0
Ott 28, 2024 0
Ott 08, 2024 0
Dic 11, 2024 0
Dic 10, 2024 0
Dic 09, 2024 0
Dic 09, 2024 0
Dic 10, 2024 0
In Cina scoppia il mercato nero dei dati sensibili: oltre a...Dic 09, 2024 0
Quali strumenti vengono usati in Italia per tracciare gli...Dic 06, 2024 0
Sempre più gruppi hacker stanno sfruttando gli eventi...Dic 05, 2024 0
Il settore della cyber insurance si sta espandendo: se...Dic 04, 2024 0
Le festività e gli weekend sono i periodi peggiori per le...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Dic 11, 2024 0
I ricercatori di ESET hanno scoperto il primo bootkit...Dic 10, 2024 0
In Cina scoppia il mercato nero dei dati sensibili:Dic 09, 2024 0
Quali strumenti vengono usati in Italia per tracciare gli...Dic 09, 2024 0
La Cybersecurity and Infrastructure Security Agency (CISA)...Dic 09, 2024 0
Nel corso di questa settimana, il CERT-AGID ha individuato...