Aggiornamenti recenti Febbraio 5th, 2025 12:07 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Hacker russi fruttano un bug 0-day di 7-Zip per distribuire SmokeLoader
- Sophos acquisisce Secureworks e diventa il principale fornitore di servizi MDR
- Meta smantella una campagna di spionaggio su WhatsApp
- CERT-AGID 25 – 31 gennaio: attacchi contro funzionari governativi e rappresentanti di ambasciate
- DeepSeek: il top della tecnologia cinese dimentica di chiudere il database esposto
Hacker russi all’attacco degli oppositori di Trump
Il gruppo Cozy Bear protagonista di un’ondata di attacchi mirati nei confronti di think tank e ONG. Le email facevano riferimento alle elezioni presidenziali.
Dopo aver violato i server del Partito Democratico durante le primarie, gli hacker del gruppo russo Cozy Bear ci riprovano. Questa volta sfruttando l’effetto shock dell’elezione di Donald Trump per indurre le potenziali vittime a scaricare un malware.
A segnalare cinque successive ondate di attacchi registrati a partire dal 9 novembre è Volexity, che nel suo report ripercorre anche le ultime azioni del gruppo di pirati.
Cozy Bear, che molti considerano collegato ai servizi segreti russi, sono infatti saliti all’onore delle cronache quando la scorsa estate hanno colpito ripetutamente i sistemi informatici del Partito Democratico.
Ora il gruppo di hacker sembra essere interessato a bersagli diversi, prendendo di mira soggetti che operano nel settore della sicurezza nazionale, affari internazionali e difesa, così come organizzazioni che si occupano di e politiche pubbliche e centri studi sull’Europa e l’Asia. A giudicare dalle tecniche di ingegneria sociale adottate, i bersagli dovrebbero essere tutti di orientamento “liberal”.
La tecnica di attacco ricalca quelle già osservate in passato: le email sono confezionate con grande cura e in alcuni casi utilizzano account compromessi per dare più credibilità al messaggio. In un caso, per esempio, il messaggio di phishing proveniva da un indirizzo della prestigiosa università di Harvard.
La prima ondata di attacchi utilizzava un’email che sembrava provenire da un servizio di fax elettronico, il cui contenuto avrebbe dovuto riportare “scioccanti verità” sulle elezioni appena concluse.
Allegato ai messaggi c’era un file ZIP che dovrebbe contenere il documento o l’articolo indicato nel messaggio di posta. All’interno dell’archivio, però, c’è invece un file in formato .LNK che contiene una sequenza di comandi PowerShell.
Il messaggio proviene davvero da Harvard. Ma l’account è stato compromesso…
Come prima cosa le istruzioni prevedono un controllo del PC per verificare che non si tratti di una macchina virtuale o una sandbox.
Una volta eseguito il controllo, viene scaricato e installato il malware vero e proprio. Per evitare i controlli antivirus, il codice del malware è nascosto all’interno di un file PNG attraverso una tecnica di steganografia. Il codice viene iniettato nel processo rundll32.exe in modo da essere eseguito solo in memoria.
Infine viene visualizzato un documento, che funziona come diversivo per allontanare i sospetti dall’avvenuta infezione.
In una seconda fase, gli hacker hanno invece utilizzato dei documenti Word con funzionalità Macro che adottano a loro volta delle tecniche di controllo per evitare l’esecuzione del malware in ambienti virtuali.
Il messaggio usava sempre la copertura del servizio eFax, ma in questo caso riportava la falsa notizia della scoperta di brogli elettorali che avrebbero portato alla revisione dei risultati elettorali.
**
Brogli elettorali dietro la vittoria di Trump: un’esca irresistibile per chi si occupa di politica USA.
La terza ondata di attacchi, che secondo i ricercatori è stata la più imponente in termini numerici, utilizzava di nuovo la tecnica dell’archivio compresso, ma allegato a un messaggio di posta elettronica inviato attraverso un account della Harvard University.
Anche in questo caso l’oggetto del messaggio riguardava l’elezione di Trump e ipotetici sospetti riguardanti la validità delle elezioni.
Gli attacchi successivi, affidati di nuovo all’uso di documenti Word, utilizzavano lo stesso account di posta, ma in questo caso riportavano anche un riferimento alla Clinton Foundation e ad analisi del voto che avrebbero “spiegato” il perché della vittoria dei repubblicani nelle elezioni presidenziali.
Il malware, già analizzato in passato dai ricercatori, è una backdoor che consente di acquisire un controllo pressoché completo del PC infettato, permettendo agli hacker di scaricare file, installare ulteriori strumenti di spionaggio e controllare l’attività della vittima.
Condividi l'articolo
Aziende sotto costante attacco: un malware ogni 4 secondi
Web of Trust sospende il servizio. Violata la privacy degli utenti
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Privacy dei dati: la maggior parte degli utenti teme una... Quando si parla di dati e di privacy, gli utenti si dicono... -
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
L’IA generativa rivoluziona il cybercrimine e rende... Gli ultimi giorni dell’anno sono da sempre... -
Gli Stati Uniti cambiano opinione sulla crittografia e... Se finora l’FBI e il governo degli Stati Uniti ha... -
Normative di cybersecurity: non uno spauracchio, ma... Oggi le aziende italiane non solo devono affrontare nuove e...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa...
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Hacker russi fruttano un bug 0-day di 7-Zip per distribuire... Il team di Threat Hunting della Zero Day Initiative di... -
Sophos acquisisce Secureworks e diventa il principale... Sophos ha completato l’acquisizione di Secureworks,... -
Meta smantella una campagna di spionaggio su WhatsApp Meta ha annunciato di aver smantellato una campagna di... -
CERT-AGID 25 – 31 gennaio: attacchi contro funzionari... Questa settimana, il CERT-AGID ha identificato e analizzato... -
DeepSeek: il top della tecnologia cinese dimentica di... La rapida ascesa della startup cinese di intelligenza...
Ransomware: la serie
No posts found.
