Aggiornamenti recenti Aprile 29th, 2024 10:00 AM
Set 01, 2017 Marco Schiaffino Attacchi, Intrusione, Malware, News, RSS 0
Ambasciate, consolati e organizzazioni legate all’esercito e alla difesa. Sono questi gli obiettivi finiti nel mirino del famigerato gruppo Turla, che molti ricercatori considerano legati ad ambienti dei servizi segreti russi.
Stando a quanto riporta Kaspersky, che ha pubblicato un dettagliato report sulla vicenda, l’operazione sarebbe iniziata addirittura nel febbraio del 2016, quando Turla ha cominciato a prendere di mira le sedi diplomatiche di svariati paesi in Europa, Asia e Sud America utilizzando un nuovo malware che gli analisti hanno battezzato WhiteBear.
Gli analisti di Kaspersky non hanno ancora trovato prove riguardanti il vettore iniziale dell’attacco, anche se sospettano che i cyber-criminali abbiano utilizzato, come in passato, tecniche di Spear Phishing con allegati PDF infetti.
***foto***Secondo i ricercatori, i documenti usati come veicolo di infezione sono spesso sottratti ad altri uffici compromessi dal gruppo. Questo rende l’attacco estremamente difficile da individuare.
Molto di più si sa del malware utilizzato per compromettere i sistemi delle vittime. Si tratta di un trojan decisamente complesso, già a partire dalla fase iniziale dell’attacco. Il loader di WhiteBear sfrutta infatti due tecniche diverse di injection e contiene due binary: 201 e 202.
Dopo due minuti di attesa, esegue una serie di verifiche e il binary 201, il cui compito è di “preparare l’ambiente” per il caricamento del payload vero e proprio, contenuto nel binary 202. A questo scopo crea una pipe (un sistema di comunicazione interprocesso) che consente il caricamento del payload.
Il componente principale di WhiteBear comprende numerosi file (compressi e protetti da crittografia) che contengono i dati di configurazione e le risorse necessarie al suo funzionamento.
Una volta in comunicazione con i server Command and Control (C&C) consente al gruppo Turla di fare pressoché qualsiasi cosa e, in particolare, di installare ulteriori moduli che gli consentono di ampliare le funzionalità del malware.
Come già accaduto in passato, i server C&C di WhiteBear sfruttano un collegamento che i cyber-criminali gestiscono dirottando comunicazioni satellitari. I server individuati da Kaspersky si trovano in Congo e Sud Sudan, mentre un terzo non è stato localizzato ma sembra essere posizionato comunque in Africa.
Turla non è nuovo a usare tecniche piuttosto originali per nascondere la posizione dei suoi server C&C. In altri casi ha utilizzato anche informazioni nascoste all’interno dei commenti su Instagram di celebrità come Britney Spears.
Apr 24, 2024 0
Apr 23, 2024 0
Apr 16, 2024 0
Apr 12, 2024 0
Apr 29, 2024 0
Apr 26, 2024 0
Apr 24, 2024 0
Apr 23, 2024 0
Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 29, 2024 0
Nel periodo compreso tra il 20 e il 26 aprile,...Apr 26, 2024 0
I ricercatori di Avast hanno scoperto una nuova campagna...Apr 24, 2024 0
I ricercatori di Cisco Talos hanno scoperto una nuova...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...