Aggiornamenti recenti Settembre 22nd, 2025 5:44 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Campagne basate su installer ScreenConnect distribuiscono RAT multipli: l’analisi di Acronis TRU
- CERT-AGID 13-19 settembre: il phishing punta alle criptovalute
- SonicWall vittima di un breach, la compagnia chiede ai clienti di resettare le credenziali
- Cohesity Identity Resilience: da Cohesity e Semperis una soluzione per proteggere le infrastrutture di identità aziendali
- MuddyWater si evolve: attacchi più sofisticati e infrastruttura più resiliente
Campagne basate su installer ScreenConnect distribuiscono RAT multipli: l’analisi di Acronis TRU
L’Acronis Threat Research Unit ha pubblicato una nuova ricerca su una serie di campagne malevole che usano installer ScreenConnect compromessi per distribuire RAT multipli.
A partire dallo scorso marzo, il numero di attacchi che usano il tool di remote monitoring and management di ConnectWise per ottenere l’accesso iniziale alle reti è aumentato in maniera significativa. I cybercriminali sfruttano tattiche di social engineering per distribuire gli installer di ScreenConnect, camuffandoli da documenti ufficiali.
Nel corso dei mesi le tecniche dei cyberattaccanti si sono evolute fino a utilizzare un installer ClickOnce per il tool, ovvero installer che non si appoggiano su una configurazione integrata, ma reperiscono i diversi componenti a runtime. “Questa evoluzione rende meno efficaci i tradizionali metodi di analisi statica e complica la prevenzione, lasciando i ricercatori di sicurezza con poche opzioni” spiega il team di Acronis.
Dopo l’installazione, gli attaccanti sfruttano le funzionalità di automazione per eseguire due RAT: uno è il già noto AsyncRAT, mentre l’altro è un RAT custom basato su Powershell. Questo nuovo trojan è in grado di acquisire informazioni sui sistemi colpiti, esfiltrare i dati tramite Microsoft.XMLHTTP e usare numerose tecniche di offuscamento. Secondo i ricercatori, l’uso di due RAT serve probabilmente sia per avere ridondanza e quindi mantenere più facilmente l’accesso ai sistemi, sia per condividere l’infrastruttura con altri cybercriminali, sia per testare nuovi strumenti.
“Una volta installato, gli attaccanti sono in grado di assumere il controllo del computer compromesso, consentendo loro di installare ulteriori malware, rubare informazioni, stabilire una persistenza e muoversi lateralmente attraverso la rete” aggiunge il team di Acronis.
Nel corso dell’analisi, i ricercatori di Acronis hanno individuato inoltre un terzo RAT, rilasciato in seguito agli altri due tramite tecniche di process hollowing, ovvero che “svuotano” il codice legittimo di un processo per iniettarvi del codice malevolo.
Dalla ricerca è inoltre emerso che gli attaccanti utilizzano VM Windows Server 2022 preconfigurate, con hostname ricorrenti, per più campagne, tutte su indirizzi IP differenti; ciò permette al gruppo di ruotare velocemente l’infrastruttura e attivare velocemente nuove campagne.
I ricercatori ricordano alle organizzazioni di monitorare attentamente i propri strumenti RMM e controllare le istanze di ScreenConnect utilizzate.
Condividi l'articolo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
MuddyWater si evolve: attacchi più sofisticati e... La minaccia di MuddyWater non si arresta, anzi: negli... -
L’IA diventa arma e vittima per il cybercrimine: il... L’intelligenza artificiale diventa non solo... -
Report Acronis: il ransomware rimane la minaccia principale... Il ransomware continua a dilagare e rimane la minaccia... -
Migrazione a Windows 11: le aziende devono affrontare molte... Il prossimo 14 ottobre terminerà ufficialmente il supporto... -
IoT, i dispositivi connessi sono ancora troppo esposti alle... Il mondo dell’IoT rimane uno dei più esposti alle...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Campagne basate su installer ScreenConnect distribuiscono... L’Acronis Threat Research Unit ha pubblicato una... -
CERT-AGID 13-19 settembre: il phishing punta alle... Nella settimana appena conclusa il CERT-AGID ha rilevato un... -
SonicWall vittima di un breach, la compagnia chiede ai... SonicWall ha confermato di essere stata vittima di un... -
Cohesity Identity Resilience: da Cohesity e Semperis una... A un anno dall’annuncio della partnership, Cohesity e... -
MuddyWater si evolve: attacchi più sofisticati e... La minaccia di MuddyWater non si arresta, anzi: negli...
Ransomware: la serie
No posts found.