Aggiornamenti recenti Giugno 13th, 2025 12:44 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- EchoLeak: è arrivata la prima vulnerabilità zero clic per le IA (Microsoft 365 Copilot)
- Smartwatch e attacchi acustici: nuova minaccia alle reti isolate
- Microsoft rilascia patch per 67 bug, di cui uno già sfruttato
- Un bug di Google consentiva di scoprire il numero di telefono degli utenti in pochi minuti
- Helmon e la cybersecurity per tutti. Soprattutto le PMI
Acronis individua un sofisticato attacco contro produttori di droni di Taiwan
I ricercatori di Acronis hanno individuato un attacco sofisticato che ha colpito i produttori di droni di Taiwan. Sfruttando una vulnerabilità di Office 2010, i cybercriminali sono riusciti a distribuire un malware persistente in grado di eludere gli antivirus e passare quindi inosservato.
L’indagine è iniziata dopo che un cliente della compagnia ha segnalato alcuni comportamenti anomali legati a una vecchia versione di Word: la soluzione Acronis Advanced Security + XDR segnalava attività sospette legate a questo software, ma non riusciva a determinare quale fosse il documento potenzialmente malevolo.
A insospettire i ricercatori è stato soprattutto il fatto che la soluzione di sicurezza segnalava che c’era un’altra versione di Word in esecuzione sul dispositivo. Il team ha scoperto che questa versione risaliva al 2010, soffriva di una vulnerabilità di side-loading e, cosa più importante, veniva usata per ottenere persistenza sul device.
Nella stessa cartella di Word i ricercatori hanno individuato wwlib.dll, parte del pacchetto di installazione standard Office, e un file chiamato “gimaqkwo.iqq”. La libreria veniva usata come un loader per leggere il payload principale del malware, cifrato nel secondo file. Durante l’analisi i ricercatori hanno trovato numerose copie dei loader wwlib.dll, molte delle quali era firmate digitalmente con un certificato valido.
“Ciò significa che non solo gli attaccanti potrebbero aggirare alcune soluzioni di sicurezza che si fidano completamente dei file binari firmati, ma il malware distribuito potrebbe aver sfruttato il certificato digitale valido in attacchi precedenti, fin dal 2021” scrivono i ricercatori.
Tra i file individuati è presente anche install.dll, la libreria che si occupa di installare il malware e specificare il metodo di persistenza da usare. Nell’attacco analizzato da Acronis, la libreria era configurata per usare il processo host come servizio di persistenza; in seguito, install.dll iniettava lo stage successivo, con al centro la libreria ClientEndPoint.dll.
Questa libreria si occupa di “silenziare” gli antivirus e i prodotti EDR bloccando i processi a essi collegati. Secondo i ricercatori, questa funzionalità è stata ottenuta da EDRSilencer, un tool molto popolare. Una volta eliminata la minaccia dei prodotti di sicurezza, la backdoor controlla se il canale col server C2 è abilitato per procedere con la comunicazione.
Una backdoor sofisticata per l’industria dei droni di Taiwan
La comunicazione Command and Control è pre-configurata in un file di configurazione in un formato binario custom. La comunicazione non è sempre abilitata: la configurazione usa un array di bit per rappresentare ogni ora della settimana; se l’ora corrente nell’array è rappresentata con un 1, allora la backdoor può comunicare con il server degli attaccanti. La configurazione specifica anche il protocollo di comunicazione da usare (uno tra TCP, TLS, SMB, HTTP, HTTPS o WebSocket).
La backdoor è in grado di ricevere payload aggiuntivi e comandi; il contenuto del payload finale dipende da un codice specificato dal malware che determina l’azione da svolgere.
Acronis ha scoperto che la backdoor può utilizzare 59 codici possibili, ma i ricercatori non sono riusciti a scoprire lo scopo di ciascuno di essi. I più importanti consentono al malware di raccogliere le informazioni dell’utente e del sistema operativo, inviare i dati ottenuti, eseguire shellcode, aprire una porta locale e ascoltarvi le comunicazioni o connettersi a un indirizzo specificato dagli attaccanti. I ricercatori sospettano che la backdoor possa essere usata in modalità proxy, ovvero per inviare e ricevere comandi da altri host compromessi della rete e inviarli al server C2.
Non ci sono ancora indicazioni certe su come gli attaccanti abbiano ottenuto l’accesso iniziale ai dispositivi, anche se le prime tracce del malware sono state trovate nelle cartelle di Digiwin, un popolare software di ERP usato a Taiwan. Gli attacchi, individuati solo nell’ultimo mese, hanno cominciato a verificarsi a partire da aprile di quest’anno.
Secondo i ricercatori di Acronis, gli attaccanti hanno preso di mira l’industria dei droni di Taiwan per via della sua notevole crescita negli ultimi due anni, supportata anche dal governo. Poiché inoltre il Paese è sempre stato un alleato degli Stati Uniti e ha sempre potuto contare su un background tecnologico robusto, è inevitabile che sia diventano uno degli obiettivi principali delle campagne di spionaggio militare e di attacchi alla supply chain.
“Il nostro caso riflette il fatto che gli attaccanti, motivati e sofisticati, stanno passando dal livello aziendale al mercato delle medie imprese e persino alle piccole imprese. Non sono le dimensioni dell’obiettivo ad attirare la loro attenzione, piuttosto il profilo della vittima prescelta” spiegano i ricercatori di Acronis. Sebbene la presenza di versioni obsolete di Windows non sia di per sé un’indicazione di un’attività malevola, le imprese dovrebbero fare attenzione a eventuali altri segnali sospetti, come l’assenza di documenti Word caricati.
I ricercatori invitano le imprese a utilizzare soluzioni di sicurezza robuste in grado di individuare e fermare attività potenzialmente malevole, come avvenuto in questa specifica campagna.
Condividi l'articolo
ESET scopre CeranaKeeper, gruppo APT affiliato al governo cinese
CERT-AGID 28 settembre – 4 ottobre: 29 campagne malevole e un malware simile a uno spyware
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Le aziende italiane prevedono un aumento degli investimenti... La cybersecurity sta acquisendo sempre più importanza tra... -
Sophos Annual Threat Report: i malware e gli strumenti più... Nel 2024, le piccole e medie imprese, spesso considerate il... -
Down di MATLAB: MathWorks conferma l’attacco... MATLAB ha smesso di funzionare per quasi una settimana e... -
Acronis: l’italia traina la crescita MSP Nel corso del “TRU Security Day 2025” di... -
Akamai individua “BadSuccessor” per... I ricercatori di Akamai hanno individuato di recente...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
EchoLeak: è arrivata la prima vulnerabilità zero clic per... Nel gennaio 2025, i ricercatori di Aim Labs hanno... -
Smartwatch e attacchi acustici: nuova minaccia alle reti... Le reti air-gapped, ovvero fisicamente separate da Internet... -
Microsoft rilascia patch per 67 bug, di cui uno già... Nell’aggiornamento di sicurezza di giugno Microsoft... -
Un bug di Google consentiva di scoprire il numero di... Di recente Google ha agito su un bug che consentiva... -
Helmon e la cybersecurity per tutti. Soprattutto le PMI In un contesto nazionale in cui il cyber crime colpisce...
Ransomware: la serie
No posts found.
