Aggiornamenti recenti Marzo 21st, 2025 4:01 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Il ransomware Medusa usa un driver malevolo per bloccare le difese EDR
- Penetration testing, una volta ogni tanto non basta più: serve un approccio continuativo
- MirrorFace ha colpito un ente diplomatico europeo
- Tomcat sotto attacco: grave bug sfruttato dopo 30 ore dalla pubblicazione
- ClickFix: torna la campagna di phishing che colpisce il settore turistico
Microsoft rivela BadPilot, una campagna pluriennale di Seashell Blizzard di impatto globale
Ieri Microsoft ha pubblicato un’approfondita analisi su BadPilot, una campagna pluriennale a opera di un sottogruppo di Seashell Blizzard, nota gang hacker di matrice russa.
“Questo sottogruppo ha eseguito compromissioni differenti a livello globale ai danni di infrastrutture esposte su Internet per permettere a Seashell Blizzard di ottenere la persistenza su obiettivi ad alto valore e supportare operazioni di rete ad hoc” si legge nel report di Microsoft Threat Intelligence.
Anche se le attività del sottogruppo sono in parte opportunistiche, è indubbio che forniscono a Seashell Blizzard e al governo russo nuove opportunità per attaccare i propri obiettivi. Secondo i ricercatori di Microsoft, le operazioni di BadPilot hanno probabilmente permesso l’esecuzione di almeno tre cyberattacchi contro l’Ucraina a partire dal 2023.
Le attività del sottogruppo di Seashell Blizzard
Il team di Threat Intelligence di Microsoft spiega che gli attaccanti dietro BadPilot agiscono per scalare le operazioni di Seashell Blizzard e ottenere persistenza su nuovi obiettivi, in base al settore di interesse per il governo russo. Inizialmente concentrate solo sull’Ucraina, le attività si sono progressivamente globalizzate man mano che gli equilibri del conflitto evolvevano.
Per ottenere l’accesso iniziale, il gruppo ha sfruttato vulnerabilità delle infrastrutture esposte al web individuate tramite appositi strumenti di scansione di terze parti. Secondo i ricercatori di Microsoft, gli hacker hanno utilizzato almeno otto vulnerabilità presenti in diversi prodotti quali, tra gli altri, Exchange, Outlook, JBOSS e TeamCity di JetBrains.
In caso di successo, il gruppo ha eseguito una serie di misure per ottenere persistenza a lungo termine sui sistemi, sia per scopi di cyberspionaggio che per eseguire attacchi mirati e distruttivi.
Il sottogruppo ha usato diversi pattern per gli exploit. Uno dei più recenti comprende l’uso delle suite RMM (Remote Monitoring and Management), usate solitamente dagli MSP per il monitoraggio remoto dei sistema. Il gruppo ha usato software come Atera Agent e Splashtop Remote Service per abilitare diverse funzionalità di comunicazione C2 mascherandosi da utility legittima, rendendole così più difficili da individuare.
Credits: Microsoft
Sin dall’inizio il gruppo ha anche utilizzato web shell per mantenere il controllo dei sistemi ed eseguire comandi per lo spostamento laterale. Ad oggi questo rimane il pattern di sfruttamento più utilizzato dal gruppo, eseguito in seguito allo sfruttamento di vulnerabilità di Microsoft Exchange e Zimbra.
Per il movimento laterale, il sottogruppo di Seashell Blizzard utilizza strumenti di tunneling quali Chisel, plink e rsockstun che gli consentono di creare dei canali dedicati nella rete compromessa. In alcune operazioni più mirate, il gruppo ha anche cercato e sottratto credenziali utente per accedere a informazioni sensibili e ampliare il proprio accesso nella rete.
L’impatto della campagna
Stando all’analisi di Microsoft Threat Intelligence, la campagna è attiva almeno dal 2021 e ha colpito realtà di settori critici quali l’energetico, il petrolifero, le telecomunicazioni, la logistica, la manifattura di armi e governi di tutto il mondo. Inizialmente il gruppo prendeva di mira obiettivi in Ucraina e nell’Est Europa, ma a partire da inizio 2024 ha ampliato i propri confini per raggiungere il Regno Unito, gli Stati Uniti, l’Asia Centrale e Meridionale e il Medio Oriente.
“Dato che Seashell Blizzard è la punta di diamante informatica della Russia in Ucraina, Microsoft Threat Intelligence ritiene che questo sottogruppo di accesso continuerà a sviluppare nuove tecniche scalabili orizzontalmente per compromettere le reti sia in Ucraina che a livello globale a sostegno degli obiettivi di guerra della Russia e delle priorità nazionali in evoluzione” avverte il team di Microsoft.
Per aumentare le proprie difese contro Seashell Blizzard e minacce analoghe, gli esperti consigliano di adottare un sistema di gestione automatizzata delle vulnerabilità e implementare l’autenticazione multi-fattore. Le organizzazioni dovrebbero inoltre implementare controlli di accesso e di identità più severi e robusti e abilitare l’autenticazione per tutte le connessioni RDP.
Condividi l'articolo
Il filtro di FlashStart per la navigazione sicura è il più veloce al mondo secondo DNSperf
Arrestati quattro hacker dietro il ransomware Phobos
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Penetration testing, una volta ogni tanto non basta più:... Il processo di penetration testing è ormai una pratica... -
Il ransomware Medusa ha colpito oltre 300 infrastrutture... Il bilancio delle vittime del ransomware Medusa è... -
Kaspersky avverte: email aziendali usate per account... Kaspersky lancia un segnale d’allarme: registrare account... -
Indagine Zscaler: le aziende devono investire sulla... Le aziende temono gli attacchi informatici e la loro... -
Sul dark web ci sono oltre 2 milioni di carte di credito Secondo una recente analisi di Kaspersky, sul dark web sono...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Il ransomware Medusa usa un driver malevolo per bloccare le... I ricercatori di Security Labs di Elastic hanno analizzato... -
MirrorFace ha colpito un ente diplomatico europeo MirrorFace, gruppo APT cinese allineato al governo, ha... -
Tomcat sotto attacco: grave bug sfruttato dopo 30 ore dalla... Un grave bug che colpisce Apache Tomcat è sfruttato... -
ClickFix: torna la campagna di phishing che colpisce il... ClickFix è tornato alla carica: dopo essere apparsa per... -
CERT-AGID 8-14 marzo: contrastata una campagna malspam con... Nell’ultima settimana il CERT-AGID ha individuato 61...
Ransomware: la serie
No posts found.
