Aggiornamenti recenti Novembre 22nd, 2024 9:00 AM
Ott 23, 2023 Marina Londei Apt, Attacchi, Intrusione, Minacce, News 0
I ricercatori di Kaspersky hanno individuato una nuova campagna a opera di Lazarus, un gruppo cybercriminale affiliato al governo della Corea del Nord. I nuovi attacchi, osservati nel Q3 2023, hanno sfruttato backdoor inserite nelle app VNC (Virtual Network Computing).
Le applicazioni VNC vengono usate dalle aziende per accedere e controllare i dispositivi e i server remoti. Lazarus ha sfruttato questi software per accedere ai sistemi delle organizzazioni e sottrarre dati sensibili.
La prima fase dell’attacco consiste nel contattare i professionisti del settore in cerca di lavoro e organizzare finti colloqui. Alle vittime viene richiesto di scaricare un file, ovvero l’applicazione VNC dotata di backdoor, per procedere col colloquio a distanza. Non appena l’utente interagisce col client dell’applicazione, il software compromesso scarica nuovi payload sul dispositivo della vittima ed esegue LPEClient, un altro malware.
Lazarus utilizza LPEClient per sottrarre i file di interesse e comunicare col server C2; gli attaccanti, inoltre, utilizzano una versione aggiornata di COPPERHEDGE, una backdoor in grado di eseguire comandi e inviare dati al gruppo.
La campagna colpisce organizzazioni del settore militare come produttori di sistemi radar, droni, veicoli militari, navi e armi, oltre a compagnie del settore marittimo.
È molto probabile che questi ultimi attacchi siano parte dell’Operation Dream Job, un’operazione condotta da Lazarus da settembre 2019 ad agosto 2020. La campagna prendeva di mira i settori della difesa, aerospaziale e governativo di Stati Uniti, Israele, Australia, Russia e India.
L’operazione comprendeva due sotto-campagne chiamate Operation Interception e Operation North Star; entrambe utilizzavano tecniche di phishing basate su finti colloqui di lavoro per distribuire malware, esattamente come è accaduto nell’ultima campagna del gruppo.
Gli attacchi di Lazarus tramite VNC si inseriscono in un contesto più ampio di campagne APT incentrate sul cyber spionaggio. Tra queste, i ricercatori di Kaspersky segnalano anche BadRory, un nuovo gruppo attivo dal 2022 di cui ancora non si conosce l’identità.
L’attenzione degli esperti di cyber security verso questo tipo di campagne è massima. Come sempre, è importante tenere aggiornato il software in uso e istruire gli utenti sui possibili attacchi di cui possono rimanere vittime.
Nov 13, 2024 0
Nov 12, 2024 0
Ott 08, 2024 0
Ott 07, 2024 0
Nov 22, 2024 0
Nov 21, 2024 0
Nov 21, 2024 0
Nov 20, 2024 0
Nov 22, 2024 0
Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 14, 2024 0
L’FBI ha lanciato un allarme: stando a un avviso...Nov 13, 2024 0
I ricercatori di Securonix hanno scoperto CRON#TRAP, una...Nov 12, 2024 0
Le minacce APT sono in aumento e in molti casi stanno...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 22, 2024 0
Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...Nov 21, 2024 0
Playlist e podcast sono l’esca ideale per attirare ignari...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 20, 2024 0
Una campagna di spionaggio a opera di hacker cinesi ha...Nov 19, 2024 0
I ricercatori di Sekoia hanno individuato una nuova...