Aggiornamenti recenti Novembre 21st, 2024 8:55 PM
Giu 01, 2021 Massimiliano Monti Attacchi, News, Scenario 0
Una storia che ha il sapore di uno Spy Movie hollywoodiano, ma che è la realtà all’ordine del giorno nel cyber warfare, il ramo delle scienze belliche che ha a che fare con il mondo IT. In questo caso sono stati i Sentinel Labs a portare alla luce una serie di attività sospette.
Portate avanti da un nuovo gruppo chiamato Agrius, si tratta di attacchi rivolti verso bersagli israeliani, che però hanno una peculiarità. All’apparenza si presentano come “semplici” ransomware, con tanto di richiesta di riscatto e tutte le attività a corollario. Solo che dietro questa facciata si celano attacchi Wiper, finalizzati a cancellare in modo irreversibile i dati del bersaglio.
Una tecnica che si è evoluta nel tempo: le funzionalità ransomware sono state introdotte nel malware di proprietà del gruppo, chiamato Apostle solo nel corso del 2020, secondo quanto riportano i laboratori si SentinelOne che hanno monitorato le attività di Agrius per più di un anno, con l’aggiunta di un secondo tool, Deadwood o Detbosit, apparentemente collegato, anche se senza reali conferme, a un gruppo iraniano.
Sempre secondo l’analisi, sotto la superficie di un apparente ransomware si nascondono diverse varianti di wiper. L’attacco viene intenzionalmente mascherato come una tipica attività lucrativa, mentre i dati vengono eliminati. Un comportamento anomalo per i gruppi che si muovono per denaro, il che porta gli analisti a pensare che si tratti di gruppi sponsorizzati da qualche governo.
Gli analisti sono riusciti anche a ricostruire uno schema di comportamento che il gruppo usa nelle sue attività. Di solito il punto di ingresso sono SQL injection lanciate contro applicazioni web sfruttando gli 1-day exploit, in pratica le vulnerabilità appena scoperte che non sono ancora state risolte.
L’accesso ai sistemi della vittima avviene attraverso servizi di VPN anonime, molto spesso ProtonVPN, che Agrius usa per installare una web shell, uno script in grado di mantenere l’accesso e il controllo attivi. Quasi sempre si tratta di varianti di ASPXSpy, un malware Open Source.
La shell viene usata per raccogliere credenziali ed effettuare movimenti laterali nel sistema attraverso il solito protocollo RDP (Remote Desktop Protocol) di Windows, installare nuove Web Shell, ottenere credenziali più elevate e così via.
Nell’analisi di Sentinel Labs, le shell installate in questo modo provenivano principalmente dall’Iran, ma anche dal Pakistan, dall’Arabia Saudita e dagli Emirati Arabi Uniti. Un comportamento che apparentemente fa pensare ad attività di origine iraniana.
Attraverso le Shell, il gruppo utilizza un malware chiamato IPsec Helper per controllare la disponibilità di una connessione, connettersi a server Microsoft predeterminati e scaricare il malware Apostle, la vera arma dell’operazione. Che, come abbiamo visto, è stato progettato per sembrare un ransomware ma distruggere i dati dei bersagli.
Oltre ai bersagli israeliani, Agrius avrebbe attaccato anche infrastrutture statali negli Emirati Arabi Uniti, già note per essere state oggetto delle attenzioni da gruppi sospettati di essere iraniani.
Nov 19, 2024 0
Nov 12, 2024 0
Nov 11, 2024 0
Nov 06, 2024 0
Nov 21, 2024 0
Nov 21, 2024 0
Nov 20, 2024 0
Nov 18, 2024 0
Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 14, 2024 0
L’FBI ha lanciato un allarme: stando a un avviso...Nov 13, 2024 0
I ricercatori di Securonix hanno scoperto CRON#TRAP, una...Nov 12, 2024 0
Le minacce APT sono in aumento e in molti casi stanno...Nov 11, 2024 0
Kaspersky ha collaborato a Synergia II, operazione...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 21, 2024 0
Playlist e podcast sono l’esca ideale per attirare ignari...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 20, 2024 0
Una campagna di spionaggio a opera di hacker cinesi ha...Nov 19, 2024 0
I ricercatori di Sekoia hanno individuato una nuova...Nov 18, 2024 0
István Márton, ricercatore di Wordfence, ha individuato...