ESET, una delle aziende leader nel settore della sicurezza informatica a livello globale, ha presentato l’ESET APT Activity Report, un documento che analizza le attività dei gruppi di hacker sofisticati e persistenti (APT) nel periodo tra ottobre 2022 e marzo 2023. Il report semestrale si basa sulle ricerche di ESET e, oltre a fotografare lo stato di salute della cybersecurity nel mondo, mostra come i vari gruppi APT operano in diverse aree geografiche e con diversi obiettivi.
“I prodotti per la cybersecurity di ESET proteggono i sistemi dei nostri clienti dalle attività dannose descritte in questo report. Le informazioni condivise si basano principalmente sui dati di telemetria proprietari di ESET e sono state verificate dai ricercatori ESET”, spiega Jean-Ian Boutin, Direttore di ESET Threat Research.
Uno sguardo al mondo
Iran e Corea del Nord
In Israele, il gruppo OilRig, legato all’Iran, ha usato una nuova porta di accesso nascosta (backdoor) per infiltrarsi nei sistemi informatici. La backdoor, chiamata Mango, è stata usata per colpire una vittima nel settore sanitario israeliano. Oltre a Mango, OilRig ha anche distribuito la sua ultima versione di SC5k, un downloader che utilizza l’API di Microsoft Office 365 per accedere agli account e scaricare ed eseguire payload memorizzati come allegati alle e-mail della vittima.
I gruppi vicini alla Corea del Nord hanno mirato soprattutto a soggetti della Corea del Sud (o soggetti terzi connessi a essa). Nello specifico il gruppo Lazarus, anch’esso vicino alla Corea del Nord, oltre a colpire i dipendenti di un appaltatore della difesa in Polonia con una falsa offerta di lavoro legata a Boeing, ha anche cambiato i suoi target abituali e ha attaccato un’azienda di gestione dati in India, usando un’esca a tema Accenture.
Proteggiti con Bitdefender, Leader in Cybersecurity
Cina, India e Giappone
Il report evidenzia che Ke3chang e Mustang Panda, affiliati alla Cina, hanno usato nuove varianti di malware e nuove backdoor per colpire i loro bersagli. Nello specifico le varianti sono state chiamate Ketrican (malware) e Okrum (backdoor).
In Giappone si sono invece palesate nuove metodologie di diffusione di malware. Nello specifico a marzo è stato caricato su VirusTotal dal Giappone un archivio ZIP contenente un documento Microsoft Word dannoso e un documento Word esca. Secondo gli esperti di cybersecurity di ESET l’attacco è legato al gruppo MirrorFace.
I gruppi SideWinder e Donot Team, allineati all’India, hanno continuato a prendere di mira le istituzioni governative dell’Asia meridionale: il primo ha puntato al settore dell’istruzione in Cina, mentre il secondo ha continuato a sviluppare il noto framework yty, ma ha anche usato il RAT Remcos, un software spia commerciale. Sempre in ambito cybersecurity in Asia meridionale, ESET Research ha scoperto un alto numero di tentativi di phishing della webmail Zimbra.
Il report cybersecurity di ESET: l’operazione ChattyGoblin nelle Filippine
L’Operazione ChattyGoblin è il nome dato da ESET a una serie di attacchi contro le società di gioco d’azzardo del sud-est asiatico da parte di gruppi allineati alla Cina. Questi attacchi utilizzano una tattica specifica: prendono di mira gli agenti di supporto delle aziende vittime tramite applicazioni di chat, in particolare le app Comm100 e LiveHelp100.
Scritto in C#, il dropper iniziale distribuito dagli aggressori si chiama agentupdate_plugins.exe ed è stato scaricato dall’applicazione di chat LiveHelp100. Lo scopo di questo file è scatenare la seconda fase dell’attacco, che risiede in un archivio ZIP protetto da password.
ESET: la cybersecurity in Europa è minacciata da hacker filo-russi
Senza troppe sorprese, l’Europa è sotto assedio da parte di gruppi di hacker legati alla Russia, che hanno lanciato diverse campagne di spionaggio e sabotaggio contro obiettivi sensibili. Negli ultimi sei mesi i gruppi APT filo-russi sono stati molto attivi in Ucraina e nei Paesi dell’Unione Europea, usando dei programmi malevoli (wipers) per cancellare i dati dei computer infettati. Uno di questi gruppi è Sandworm, noto per aver condotto attacchi informatici di grande impatto.
Tra le vittime anche 3CX, una società che fornisce software per la comunicazione aziendale. Secondo gli esperti di sicurezza informatica di ESET, gli hacker hanno infettato la catena di distribuzione del software 3CX con un malware Linux che ha permesso loro di accedere ai sistemi dei clienti. Questo malware presenta delle analogie con un altro codice malevolo scoperto recentemente da ESET. La somiglianza tra i due attacchi fa pensare che il responsabile sia lo stesso gruppo, noto come Sandworm.
Sandworm è famoso per aver usato dei programmi distruttivi (wipers) per danneggiare le infrastrutture critiche in Ucraina (e non solo). Uno di questi wipers, chiamato SwiftSlicer da ESET, è stato rilevato in una recente campagna di Sandworm.
Ma Sandworm non è l’unico gruppo russo che ha preso di mira l’Europa. Altri attori minacciosi, come Gamaredon, Sednit e Dukes, hanno sfruttato delle email truffa (spearphishing) per infiltrarsi nei sistemi dei loro bersagli. In particolare, Dukes ha usato un sofisticato strumento di hacking (chiamato Brute Ratel) per simulare un attacco reale (red team). In tal modo ha potuto testare le difese dei suoi obiettivi.
- 【Custodia in stile breve】 Design valigetta / valigetta, facile trasportabilità e passaggio da una stanza all'altra con facilità.
- 【Trasmissione a cinghia 3 velocità】 Le impostazioni di velocità 33/45/78 RPM con adattatore a 45 rpm incluso ti consentono di goderti tutti i tuoi dischi in vinile.
- 【Funzione Bluetooth】 puoi connetterti al tuo bluetooth in modalità wireless, come ad esempio un telefono cellulare, un laptop e un altro dispositivo bluetooth
- 【Altoparlanti stereo a gamma completa】 Altoparlanti stereo a gamma intera dinamica. Collegamento phono posteriore per collegare il giradischi allo stereo di casa
- 【Cuffie e Aux in】 Cuffie da 3,5 mm e jack Aux-in per riprodurre musica da smartphone, iPod, MP3 e altri lettori di audio digitale
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techbusiness
📈 SAP NOW 2024 l'intelligenza artificiale per il business conquista Milano💸 Come calcolare il ritorno sugli investimenti nell’Intelligenza Artificiale
👨⚖️ Direttiva NIS2 e cybersecurity nelle PMI italiane obblighi e opportunità
🔫 Metà degli attacchi informatici in Italia prende di mira le supply chain
📰 Ma lo sai che abbiamo un sacco di newsletter?
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!