NewsSicurezza

Kaspersky ha rilevato un nuovo malware simile a quello utilizzato per l’attacco Sunburst

Il nuovo malware è stato chiamato Tomiris

I ricercatori di Kaspersky hanno rivelato di aver scovato una backdoor precedentemente non documentata probabilmente progettata e sviluppata da DarkHalo il threat actor che si nasconde dietro l’attacco Sunburst.

Kaspersky ha chiamato questo nuovo malware “Tomiris“, definendo le sue somiglianze con un altro malware utilizzato nella seconda fase dell’attacco, che ha preso di mira nel 2020 la piattaforma Orion del fornitore di software di gestione IT SolarWinds.

Mentre gli attacchi alla catena di approvvigionamento erano già un vettore di attacco documentato sfruttato da un certo numero di APT, questa specifica campagna si è distinta per l’estrema attenzione degli aggressori e la natura di alto profilo delle loro vittime“, hanno affermato i ricercatori di Kaspersky . “Le prove raccolte finora indicano che DarkHalo ha trascorso sei mesi all’interno delle reti di Orion IT per perfezionare il loro attacco e assicurarsi che la manomissione della catena di costruzione non provocasse alcun effetto negativo”.

DarkHalo ci riprova con una nuova backdoor dopo l’attacco Sunburst

i ricercatori Kaspersky hanno trovato segni di un attacco DNS hijacking riuscito. Le vittime dell’attacco che cercavano di accedere all’interfaccia web di un servizio di posta elettronica aziendale venivano reindirizzate ad una copia falsa dell’interfaccia web e indotte a scaricare un aggiornamento software dannoso. Seguendo il percorso creato dagli attaccanti, i ricercatori di Kaspersky sono riusciti a recuperare il finto aggiornamento e hanno scoperto che utilizzava una backdoor fino ad allora sconosciuta.

Come spiegano i ricercatori di Kaspersky in post su SecureList, Tomiris è una backdoor scritta in Go il cui ruolo è quello di interrogare continuamente il suo server C2 per gli eseguibili da scaricare ed attivare sul sistema vittima. Prima di eseguire qualsiasi operazione, dorme per almeno nove minuti nel possibile tentativo di sconfiggere i sistemi di analisi basati su sandbox. Stabilisce la persistenza con le attività pianificate creando ed eseguendo un file batch.

Questa non è la prima volta che vengono scoperte sovrapposizioni tra i diversi strumenti utilizzati dai vari gruppi hacker. All’inizio di quest’anno, l’analisi di Kaspersky su Sunburst ha rivelato una serie di funzionalità condivise tra il malware e Kazuar, una backdoor basata su .NET attribuita al gruppo Turla.

Kaspersky Total Security 2023 | 4 Dispositivi | 1 Anno | PC / Mac / Android | Codice d'attivazione via email
  • Difende da virus, cryptolocker e altri ransomware
  • Protegge la privacy, le password, i file e le foto
  • Protegge i risparmi quando acquisti o navighi nella tua banca online
  • Protegge più dispositivi
  • Protegge i tuoi bambini…online e non solo grazie al Kaspersky Safe Kids

Da non perdere questa settimana su Techbusiness

 

📈 SAP NOW 2024 l'intelligenza artificiale per il business conquista Milano
💸 Come calcolare il ritorno sugli investimenti nell’Intelligenza Artificiale
👨‍⚖️ Direttiva NIS2 e cybersecurity nelle PMI italiane obblighi e opportunità
🔫 Metà degli attacchi informatici in Italia prende di mira le supply chain
📰 Ma lo sai che abbiamo un sacco di newsletter?
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!

Autore

  • Danilo Loda

    100% "milanes", da una vita scrivo di bit e byte e di quanto inizia con on e finisce con off. MI piace tutto quello che fa rumore, meglio se con un motore a scoppio. Amo viaggiare (senza google Maps) lo sport, soprattutto se è colorato di neroazzuro.

    Visualizza tutti gli articoli

Ti potrebbero interessare anche:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Back to top button