Aggiornamenti recenti Luglio 4th, 2024 2:56 PM
Mag 24, 2024 Marina Londei In evidenza, Minacce, News, RSS 0
Analizzando una serie di cyberattacchi contro organizzazioni di alto livello di nazioni del mar cinese meridionale, Bitdefender ha individuato Unfading Sea Haze, una nuova minaccia APT.
L’obiettivo principale del gruppo, attivo presumibilmente dal 2018, è il cyberspionaggio di obiettivi militari e governativi. Finora il gruppo ha colpito almeno otto vittime in diverse nazioni della zona e, a giudicare dalla sua attività, sembra essere allineato agli interessi del governo cinese.
Poiché il primo accesso ai sistemi delle vittime è avvenuto sei anni fa, i ricercatori di Bitdefender non sono riusciti a scoprire la tecnica con cui il gruppo ha ottenuto il primo accesso; il team ha però scoperto che gli attaccanti usano email di spear-phishing con file malevoli per riottenere l’accesso ai dispositivi target e proseguire con l’esfiltrazione di dati.
Pixabay
Unfading Sea Haze usa un arsenale sofisticato di malware custom e tool per stabilire la persistenza ed esfiltrare dati; tra questi emerge in particolare il framework RAT (Remote Access Trojan) Gh0st personalizzato, usato per colpire i sistemi Windows. Nei primi anni di attività il gruppo ha utilizzato principalmente tre tipi di malware: SilentGh0st, TranslucentGh0st e tre varianti di SharpJSHandler; in seguito, a partire dal 2023, gli attaccanti hanno cominciato a usare varianti più modulari del RAT quali FluffyGh0st, InsidiousGh0st e EtherealGh0st.
Per collezionare i dati, il gruppo usa diversi tool, sia personalizzati che off-the-shelf. Tra i tool custom si segnala xkeylog, un keylogger, e un data stealer creato appositamente per sottrarre dati da browser quali Google Chrome, Firefox, Edge e Internet Explorer. Il gruppo ha inoltre sviluppato un altro tool per monitorare la presenza di dispositivi USB e portatili connessi alle macchine ed esfiltrare dati da essi.
Oltre a questi strumenti, il gruppo usa anche tecniche manuali per raccogliere dati, comprimerli in archivi e inviarli al server C2, e colpisce anche i dati relativi ad applicazioni di messaggistica come Telegram e Viber.
Infine, per l’esfiltrazione delle informazioni, il gruppo fino al 2022 ha usato DustyExfilTool, uno strumento con riga di comando in grado di trasmettere i file al server specificato; in seguito, Unfading Sea Haze è passato all’uso di curl e del protocollo FTP.
Pixabay
“Lo spostamento verso la modularità, gli elementi dinamici e l’esecuzione in memoria evidenzia i loro sforzi per aggirare le misure di sicurezza tradizionali. Gli aggressori adattano costantemente le loro tattiche, rendendo necessario un approccio di sicurezza a più livelli” hanno affermato i ricercatori di Bitdefender, sottolineando la necessità di adottare un approccio di sicurezza a strati per proteggersi efficacemente dalla minaccia APT.
Bitdefender consiglia innanzitutto di dare priorità alla gestione delle patch e tenere aggiornati i software, in particolare quelli esposti sul web, e impostare metodi di autenticazione forte. È inoltre necessario segmentare la rete in maniera appropriata, adottare un modello zero trust e monitorare il traffico per individuare qualsiasi pattern sospetto.
Infine, si consiglia di implementare soluzioni o scegliere servizi di Detection and Response e creare una cultura di cybersecurity aziendale che promuova la comunicazione e la condivisione di informazioni.
Mag 31, 2024 0
Mar 14, 2024 0
Mar 12, 2024 0
Mar 07, 2024 0
Lug 04, 2024 0
Lug 04, 2024 0
Lug 03, 2024 0
Lug 03, 2024 0
Lug 02, 2024 0
Le coperture assicurative contro i cyberattacchi stanno...Lug 02, 2024 0
Telegram continua a essere una grande fonte di...Lug 01, 2024 0
Gli attacchi DDoS sono in aumento in tutto il mondo, ma il...Lug 01, 2024 0
Secondo l’ultimo Threat Report di ESET, negli...Giu 26, 2024 0
Se c’è un concetto che abbiamo sentito ripetere decine...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Lug 04, 2024 0
Splunk, fornitrice di soluzioni software per il...Lug 04, 2024 0
Migliaia di dispositivi Apple sono vulnerabili ad attacchi...Lug 03, 2024 0
Cisco ha risolto una vulnerabilità di command injection...Lug 03, 2024 0
Il team di sicurezza Qualys, fornitore di soluzioni di...Lug 02, 2024 0
Le coperture assicurative contro i cyberattacchi stanno...