Aggiornamenti recenti Ottobre 25th, 2024 6:40 PM
Lug 10, 2024 Marina Londei Malware, Minacce, News, RSS 0
I ricercatori di Securelist di Kaspersky hanno individuato CloudSorcerer, un nuovo gruppo APT che prende di mira le agenzie governative russe.
La gang usa un tool di cyberspionaggio sofisticato per monitorare i dispositivi colpiti e ottenere i dati sensibili sfruttando l’infrastruttura cloud di Microsoft Graph, Tandex Cloud e Dropbox come server C2.
Dopo aver ottenuto l’accesso iniziale, il gruppo esegue il malware, un binario scritto in C, che inizializza l’ambiente di attività e i moduli. Uno dei moduli centrali del malware è la backdoor, la quale si occupa di collezionare diverse informazioni sul sistema colpito, come il nome del computer, lo username e l’uptime di sistema, e inviarle agli attaccanti. Inizialmente i dati vengono memorizzati in una struttura specifica creata a hoc; una volta che il processo di raccolta è completo, le informazioni vengono scritte su una pipe connessa al modulo C2 per la comunicazione.
La stessa pipe viene usata dal malware per ricevere comandi dagli attaccanti. I comandi comprendono, oltre alla raccolta di dati, l’esecuzione di comandi shell, la modifica e la cancellazione di file e l’injection di una shellcode in uno o più processi.
Il server C2 iniziale a cui si collega il modulo di comunicazione è una pagina GitHub relativa a un repository che contiene fork di tre progetti pubblici mai aggiornati. “L’obiettivo è semplicemente far apparire la pagina GitHub legittima e attiva“.
I ricercatori sottolineano che il modus operandi del gruppo ricorda molto quello di CloudWizard APT, attivo nel 2023, ma il codice del malware è completamente diverso. “Riteniamo che CloudSorcerer sia un nuovo gruppo che ha adottato un metodo simile per interagire con i servizi di cloud pubblico” spiega il team di Securelist. “La capacità del malware di adattare dinamicamente il suo comportamento in base al processo in cui è in esecuzione, insieme all’uso di una complessa comunicazione tra processi attraverso le pipe di Windows, evidenzia ulteriormente la sua sofisticatezza“.
In seguito, i ricercatori di Threat Insight hanno scoperto una campagna contro organizzazioni statunitensi che utilizza le stesse tecniche messe in pratica da CloudSorcerer. La compagnia ha attribuito le attività a un cluster soprannominato UNK_ArbitraryAcrobat, probabilmente un gruppo diverso che sta imitando le tattiche di CloudSorcerer.
Ott 08, 2024 0
Ott 07, 2024 0
Set 16, 2024 0
Set 04, 2024 0
Ott 25, 2024 0
Ott 25, 2024 0
Ott 25, 2024 0
Ott 24, 2024 0
Ott 25, 2024 0
Se in passato il tracciamento digitale era considerata una...Ott 22, 2024 0
Una delle problematiche più discusse degli assistenti di...Ott 22, 2024 0
Le minacce informatiche crescono in numero e complessità e...Ott 21, 2024 0
Le aziende si espandono e con esse anche i loro ambienti,...Ott 21, 2024 0
Di recente il team di Group-IB è riuscito a ottenere...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Ott 25, 2024 0
Tra le figure più richieste sul mercato del lavoro ci...Ott 25, 2024 0
Oltre 6.000 siti WordPress hackerati per installare plugin...Ott 24, 2024 0
Il team di Symantec ha scoperto che molte applicazioni...Ott 24, 2024 0
Gli attacchi ibridi alle password sono sempre più...Ott 23, 2024 0
Un’approfondita analisi dei ricercatori di sicurezza...