Aggiornamenti recenti Luglio 18th, 2025 3:17 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- LameHug, un nuovo malware che sfrutta un LLM per eseguire comandi
- Salt Typhoon: nove mesi nascosti nei sistemi della Guardia Nazionale USA
- Attacchi DDoS ipervolumetrici, ancora numeri da record nonostante il calo
- FlashStart rinnova il DNS Filtering per migliorare performance e scalabilità grazie all’IA
- GPUHammer: le GPU NVIDIA sono vulnerabili a un exploit di Rowhammer
CloudSorcerer, un nuovo gruppo APT che colpisce le agenzie governative russe
I ricercatori di Securelist di Kaspersky hanno individuato CloudSorcerer, un nuovo gruppo APT che prende di mira le agenzie governative russe.
La gang usa un tool di cyberspionaggio sofisticato per monitorare i dispositivi colpiti e ottenere i dati sensibili sfruttando l’infrastruttura cloud di Microsoft Graph, Tandex Cloud e Dropbox come server C2.
Dopo aver ottenuto l’accesso iniziale, il gruppo esegue il malware, un binario scritto in C, che inizializza l’ambiente di attività e i moduli. Uno dei moduli centrali del malware è la backdoor, la quale si occupa di collezionare diverse informazioni sul sistema colpito, come il nome del computer, lo username e l’uptime di sistema, e inviarle agli attaccanti. Inizialmente i dati vengono memorizzati in una struttura specifica creata a hoc; una volta che il processo di raccolta è completo, le informazioni vengono scritte su una pipe connessa al modulo C2 per la comunicazione.
Pixabay
La stessa pipe viene usata dal malware per ricevere comandi dagli attaccanti. I comandi comprendono, oltre alla raccolta di dati, l’esecuzione di comandi shell, la modifica e la cancellazione di file e l’injection di una shellcode in uno o più processi.
Il server C2 iniziale a cui si collega il modulo di comunicazione è una pagina GitHub relativa a un repository che contiene fork di tre progetti pubblici mai aggiornati. “L’obiettivo è semplicemente far apparire la pagina GitHub legittima e attiva“.
I ricercatori sottolineano che il modus operandi del gruppo ricorda molto quello di CloudWizard APT, attivo nel 2023, ma il codice del malware è completamente diverso. “Riteniamo che CloudSorcerer sia un nuovo gruppo che ha adottato un metodo simile per interagire con i servizi di cloud pubblico” spiega il team di Securelist. “La capacità del malware di adattare dinamicamente il suo comportamento in base al processo in cui è in esecuzione, insieme all’uso di una complessa comunicazione tra processi attraverso le pipe di Windows, evidenzia ulteriormente la sua sofisticatezza“.
In seguito, i ricercatori di Threat Insight hanno scoperto una campagna contro organizzazioni statunitensi che utilizza le stesse tecniche messe in pratica da CloudSorcerer. La compagnia ha attribuito le attività a un cluster soprannominato UNK_ArbitraryAcrobat, probabilmente un gruppo diverso che sta imitando le tattiche di CloudSorcerer.
Condividi l'articolo
Una nuova vulnerabilità OpenSSH consente l'esecuzione remota di codice
APT40 è ancora una minaccia: il rapporto di CISA e altre agenzie di cybersecurity
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Attacchi DDoS ipervolumetrici, ancora numeri da record... Gli attacchi DDoS, compresi quelli ipervolumetrici,... -
Liste di dati sul dark web: una fonte inaffidabile per le... In una recente analisi, Group-IB ha approfondito il ruolo... -
IconAds: quando le app fantasma diventano portali... Recentemente il team Satori Threat Intelligence di HUMAN ha... -
Le aziende italiane prevedono un aumento degli investimenti... La cybersecurity sta acquisendo sempre più importanza tra... -
Sophos Annual Threat Report: i malware e gli strumenti più... Nel 2024, le piccole e medie imprese, spesso considerate il...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
LameHug, un nuovo malware che sfrutta un LLM per eseguire... Il CERT-UA, agenzia governativa ucraina di cybersicurezza,... -
Salt Typhoon: nove mesi nascosti nei sistemi della Guardia... Un gruppo APT legato al governo cinese ha mantenuto... -
Attacchi DDoS ipervolumetrici, ancora numeri da record... Gli attacchi DDoS, compresi quelli ipervolumetrici,...
-
FlashStart rinnova il DNS Filtering per migliorare... FlashStart, realtà italiana specializzata in soluzioni per... -
GPUHammer: le GPU NVIDIA sono vulnerabili a un exploit di... Nuova minaccia per le GPU: secondo un recente comunicato...
Ransomware: la serie
No posts found.