Aggiornamenti recenti Novembre 21st, 2024 8:55 PM
Set 11, 2023 Marina Londei Attacchi, Hacking, Intrusione, Malware, Minacce, News, RSS 0
Andariel, un gruppo di cybercriminali nord-coreano, sta usando nuovi tool per colpire organizzazioni e istituzioni della Corea del Sud. Sottogruppo di Lazarus, Andariel ha raffinato le proprie tecniche per distribuire il malware, sviluppando anche numerose varianti scritte in Go.
I ricercatori dell’AhnLab Security Emergency Response Center (ASEC) hanno seguito le attività del gruppo degli ultimi mesi, scoprendo che Andariel ha cominciato a usare il software Innorix Agent, prodotto per trasferire file tra due dispositivi in rete, non solo per scaricare malware dal server C2, ma anche per creare direttamente il file dei software malevoli.
Il gruppo sta utilizzando nuovi strumenti, come Black RAT, una backdoor scritta in Go in grado di scaricare e installare file sul dispositivo, ottenere la lista di cartelle e file e catturare screenshot. In modo simile, il gruppo ha utilizzato anche il malware Goat RAT; in questo caso Andariel ha sfruttato Innorix Agent per installare il malware con il nome “iexplorer.exe”.
Nello stesso periodo, il gruppo ha utilizzato AndarLoader, un downloader usato per scaricare ed eseguire file .NET da sorgenti esterne. AndarLoader è in grado di installare Mimikatz sul dispositivo colpito per ottenere le credenziali di accesso del sistema.
Il gruppo ha inoltre utilizzato un nuovo malware chiamato DurianBeacon, sviluppato in due versioni: una scritta in Go e l’altra in Rust. In entrambi i casi le backdoor possono comunicare col server C2 dell’attaccante, ottenere informazioni sul sistema colpito (username, computer name, architettura, memoria utilizzata), scaricare/inviare file ed eseguire comandi.
Andariel, spiegano i ricercatori, è uno dei gruppi più attivi nel campo del cybercrimine con la Corea del Sud, insieme a Kimsuky e Lazarus. Se all’inizio il gruppo sferrava i propri attacchi per ottenere informazioni di carattere politico e sulla sicurezza nazionale, oggi le sue intenzioni sono principalmente economiche.
Per ottenere l’accesso iniziale ai dispositivi il gruppo sfrutta sia vulnerabilità software, sia tecniche di phishing. I ricercatori rinnovano quindi l’invito a non scaricare allegati provenienti da indirizzi mail sconosciuti, non eseguire file scaricati da siti web sospetti e mantenere aggiornati sistema operativo e applicazioni installate.
Nov 13, 2024 0
Nov 12, 2024 0
Nov 11, 2024 0
Nov 11, 2024 0
Nov 21, 2024 0
Nov 21, 2024 0
Nov 20, 2024 0
Nov 19, 2024 0
Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 14, 2024 0
L’FBI ha lanciato un allarme: stando a un avviso...Nov 13, 2024 0
I ricercatori di Securonix hanno scoperto CRON#TRAP, una...Nov 12, 2024 0
Le minacce APT sono in aumento e in molti casi stanno...Nov 11, 2024 0
Kaspersky ha collaborato a Synergia II, operazione...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 21, 2024 0
Playlist e podcast sono l’esca ideale per attirare ignari...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 20, 2024 0
Una campagna di spionaggio a opera di hacker cinesi ha...Nov 19, 2024 0
I ricercatori di Sekoia hanno individuato una nuova...Nov 18, 2024 0
István Márton, ricercatore di Wordfence, ha individuato...