Aggiornamenti recenti Novembre 27th, 2025 5:21 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Gli LLM malevoli aiutano i piccoli cybercriminali, ma non sono (ancora) così pericolosi
- Codice formattato, ma migliaia di secret esposti: il problema del copia-incolla selvaggio
- Torna Shalai Ulud: centinaia di pacchetti compromessi
- DeepSeek R1 produce codice vulnerabile con prompt “politicamente sensibili”
- CERT-AGID 15–21 novembre: attacchi a università, banche e PEC
Andariel ha sviluppato nuovi malware per colpire le organizzazioni sud-coreane
Andariel, un gruppo di cybercriminali nord-coreano, sta usando nuovi tool per colpire organizzazioni e istituzioni della Corea del Sud. Sottogruppo di Lazarus, Andariel ha raffinato le proprie tecniche per distribuire il malware, sviluppando anche numerose varianti scritte in Go.
I ricercatori dell’AhnLab Security Emergency Response Center (ASEC) hanno seguito le attività del gruppo degli ultimi mesi, scoprendo che Andariel ha cominciato a usare il software Innorix Agent, prodotto per trasferire file tra due dispositivi in rete, non solo per scaricare malware dal server C2, ma anche per creare direttamente il file dei software malevoli.
Pixabay
Il gruppo sta utilizzando nuovi strumenti, come Black RAT, una backdoor scritta in Go in grado di scaricare e installare file sul dispositivo, ottenere la lista di cartelle e file e catturare screenshot. In modo simile, il gruppo ha utilizzato anche il malware Goat RAT; in questo caso Andariel ha sfruttato Innorix Agent per installare il malware con il nome “iexplorer.exe”.
Nello stesso periodo, il gruppo ha utilizzato AndarLoader, un downloader usato per scaricare ed eseguire file .NET da sorgenti esterne. AndarLoader è in grado di installare Mimikatz sul dispositivo colpito per ottenere le credenziali di accesso del sistema.
Il gruppo ha inoltre utilizzato un nuovo malware chiamato DurianBeacon, sviluppato in due versioni: una scritta in Go e l’altra in Rust. In entrambi i casi le backdoor possono comunicare col server C2 dell’attaccante, ottenere informazioni sul sistema colpito (username, computer name, architettura, memoria utilizzata), scaricare/inviare file ed eseguire comandi.
Pixabay
Andariel, spiegano i ricercatori, è uno dei gruppi più attivi nel campo del cybercrimine con la Corea del Sud, insieme a Kimsuky e Lazarus. Se all’inizio il gruppo sferrava i propri attacchi per ottenere informazioni di carattere politico e sulla sicurezza nazionale, oggi le sue intenzioni sono principalmente economiche.
Per ottenere l’accesso iniziale ai dispositivi il gruppo sfrutta sia vulnerabilità software, sia tecniche di phishing. I ricercatori rinnovano quindi l’invito a non scaricare allegati provenienti da indirizzi mail sconosciuti, non eseguire file scaricati da siti web sospetti e mantenere aggiornati sistema operativo e applicazioni installate.
Condividi l'articolo
Il breach di LastPass ha compromesso centinaia di cryptowallet
Il malware Chaes sfrutta DevTools di Chrome per sottrarre dati sensibili
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Gli LLM malevoli aiutano i piccoli cybercriminali, ma non... Dopo l’esplosione di ChatGPT e degli LLM, nel mondo... -
Codice formattato, ma migliaia di secret esposti: il... I ricercatori di watchTowr Labs hanno individuato migliaia... -
DeepSeek R1 produce codice vulnerabile con prompt... Analizzando DeepSeek R1, un potente LLM dell’omonima... -
Come Firemon supporta i propri partner nel processo di... Lo scorso marzo Skybox Security, società israeliana di... -
DragonForce evolve in un “cartello” ransomware... Di recente la Threat Research Unit di Acronis ha analizzato...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Gli LLM malevoli aiutano i piccoli cybercriminali, ma non... Dopo l’esplosione di ChatGPT e degli LLM, nel mondo...
-
Codice formattato, ma migliaia di secret esposti: il... I ricercatori di watchTowr Labs hanno individuato migliaia...
-
Torna Shalai Ulud: centinaia di pacchetti compromessi I ricercatori di Wiz Threat Research e Aikido hanno... -
DeepSeek R1 produce codice vulnerabile con prompt... Analizzando DeepSeek R1, un potente LLM dell’omonima...
-
CERT-AGID 15–21 novembre: attacchi a università, banche... Nel periodo compreso tra il 15 e il 21 novembre,...
Ransomware: la serie
No posts found.