Aggiornamenti recenti Settembre 2nd, 2025 4:53 PM
Ago 07, 2024 Marina Londei Attacchi, In evidenza, Malware, News, RSS 0
I ricercatori di Volexity hanno individuato una campagna malware a opera di StormBamboo, un gruppo di hacker cinesi, che ha compromesso un internet service provider (ISP) per distribuire payload malevoli su macchine Windows e macOS.
Conosciuto anche come Evasive Panda e StormCloud, il gruppo ha sfruttato diverse famiglie di malware per infettare una stessa rete. I cybercriminali hanno usato un attacco di DNS poisoning per compromettere l’ISP: il gruppo ha alterato le risposte alle query DNS per domini specifici, legati agli aggiornamenti software automatici.
Pixabay
I record DNS sono stati compromessi a livello di ISP per essere risolti in un server di Hong Kong controllato dagli attaccanti. Volexity ha immediatamente contattato l’ISP che ha riavviato la propria infrastruttura e messo offline alcune componenti, interrompendo il flusso d’attacco e la diffusione dei malware.
Modificando le risposte DNS, il gruppo è riuscito a redirezionare le richieste di update al proprio server e far installare alle applicazioni il malware. “Sembra che StormBamboo abbia colpito i software che usavano meccanismi di update non sicuri, come HTTP, e non validavano correttamente la firma digitali degli installer” spiegano i ricercatori. Quando queste applicazioni scaricavano gli aggiornamenti, in realtà installavano il payload malevolo.
Tra i malware più usati dal gruppo ci sono MACMA, per macOS, e POCOSTICK, per Windows, conosciuto anche come MGBot.
“La varietà di malware impiegati nelle varie campagne di questo gruppo indica che esso ha fatto uno sforzo significativo, con payload attivamente supportati non solo per macOS e Windows, ma anche per le appliance di rete” scrivono i ricercatori.
Prima di Volexity, anche i ricercatori di ESET avevano individuato l’attività degli attaccanti: ad aprile 2023 il team aveva scoperto che il gruppo stava distribuendo POCOSTICK su diverse macchine di reti aziendali, ma non era riuscito a capire quale fosse l’esatto meccanismo di distribuzione.
Il team di Volexity ha avvertito gli utenti della natura molto aggressiva di StormBamboo e ha invitato gli amministratori di rete a implementare meccanismi robusti per individuare e bloccare attività sospette.
Ago 01, 2025 0
Giu 19, 2025 0
Mag 30, 2025 0
Apr 28, 2025 0
Set 02, 2025 0
Set 01, 2025 0
Ago 29, 2025 0
Ago 27, 2025 0
Ago 29, 2025 0
Il prossimo 14 ottobre terminerà ufficialmente il supporto...Ago 26, 2025 0
Il mondo dell’IoT rimane uno dei più esposti alle...Ago 04, 2025 0
I chatbot basati su modelli linguistici di grandi...Lug 29, 2025 0
Tra le minacce più recenti che stanno facendo tremare il...Lug 17, 2025 0
Gli attacchi DDoS, compresi quelli ipervolumetrici,...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Set 02, 2025 0
Lo scorso 20 agosto Salesloft aveva avvertito di un...Set 01, 2025 0
Qualche giorno fa la Counter Threat Unit di Sophos ha...Ago 29, 2025 0
Il prossimo 14 ottobre terminerà ufficialmente il supporto...Ago 27, 2025 0
Google ha deciso di aumentare la sicurezza dei dispositivi...Ago 26, 2025 0
Il mondo dell’IoT rimane uno dei più esposti alle...