• Dragon Ball
  • Obey Me
  • How I Met Your Mother
  • Harry Potter
  • saint seiya
  • robot aspirapovere
  • truffe
  • phishing
Tech News, Magazine & Review WordPress Theme 2017
  • Notizie
  • Videogiochi
  • Cinema
  • Anime
  • Sport
  • Libri
  • Tecnologia
    • Scienza
No Result
View All Result
  • Notizie
  • Videogiochi
  • Cinema
  • Anime
  • Sport
  • Libri
  • Tecnologia
    • Scienza
No Result
View All Result
PlayTalk.it
No Result
View All Result
Home News

Asia: Governi e organizzazioni presi di mira da attacchi informatici

by
Maggio 12, 2023
1
Asia: Governi e organizzazioni presi di mira da attacchi informatici
ADVERTISEMENT
Condividi su FacebookCondividi su TwitterCondividi su Telegram

Il governo e le organizzazioni statali di numerosi paesi asiatici sono stati presi di mira da un gruppo distinto di hacker esperti in spionaggio informatico nell’ambito di una missione di raccolta di informazioni in corso dall’inizio del 2021.

“Una caratteristica notevole di questi attacchi è che gli aggressori hanno sfruttato un’ampia gamma di pacchetti software legittimi per caricare i loro payload di malware utilizzando una tecnica nota come DLL Side Loading“, ha affermato il team di Symantec Threat Hunter, parte di Broadcom Software.

Perché ad essere presa di mira dallo spionaggio informatico è proprio l’Asia?

Sembra che la campagna sia rivolta esclusivamente alle istituzioni governative legate alla finanza (dei paesi asiatici, insomma), dall’aerospazio e alla difesa, nonché alle società di media, IT e telecomunicazioni di proprietà statale.

ADVERTISEMENT

Il DDL Side Loading a collegamento dinamico (DLL) è un popolare metodo di attacco informatico che sfrutta il modo in cui le applicazioni Microsoft Windows gestiscono i file DLL.

In queste intrusioni, una DLL dannosa contraffatta viene inserita nella directory Windows Side-by-Side (WinSxS) in modo che il sistema operativo la carichi invece del file legittimo.

Gli attacchi di questo tipo  comportano l’uso di versioni vecchie e obsolete di soluzioni di sicurezza, software di grafica e browser Web che sono destinati a non avere mitigazioni per il caricamento laterale delle DLL, utilizzandole come un canale per caricare shellcode arbitrario progettato per eseguire payload aggiuntivi.

Inoltre, i pacchetti software fanno da tramite anche come mezzo per fornire strumenti per facilitare il furto di credenziali e lo spostamento laterale attraverso la rete compromessa.

“[Il gruppo hacker] ha sfruttato PsExec per eseguire vecchie versioni di software legittimo che sono stati poi utilizzati per caricare strumenti malware aggiuntivi come i Trojan di accesso remoto (RATS) pronti all’uso tramite caricamento laterale DLL su altri computer delle reti“, hanno fatto notare i ricercatori.

In uno degli attacchi contro un’organizzazione di proprietà del governo nel settore dell’istruzione in Asia (specifico: nel continente asiatico, sia mai qualcuno pensi che l’Asia sia uno stato unico…) durato da aprile a luglio 2022, durante il quale il gruppo di hacker ha avuto accesso a macchine che ospitavano database ed e-mail, prima di accedere al controller di amministrazione.

L’intrusione ha anche utilizzato una versione di Bitdefender Crash Handler (“javac.exe”) di 11 anni fa per lanciare una versione rinominata di Mimikatz (“calc.exe”), un framework di test di penetrazione Golang open source chiamato LadonGo, e altri payload personalizzati su più host.

ADVERTISEMENT

Uno di questi programmi elencati è un “ladro” di informazioni ricco di funzionalità precedentemente non documentate in grado di registrare sequenze di tasti, acquisire schermate, connettersi (tipo i vecchi dialer) e interrogare database SQL, scaricare file e rubare dati negli appunti.

Nell’attacco viene utilizzato anche uno strumento di scansione intranet pubblicamente disponibile denominato Fscan per eseguire tentativi di exploit sfruttando le vulnerabilità di ProxyLogon Microsoft Exchange Server.

L’identità del gruppo hacker non è chiara, anche se si dice che abbia utilizzato ShadowPad in precedenti campagne, una backdoor modulare modellata come successore di PlugX (alias Korplug) e condivisa da molti attentatori informatici cinesi.

Gli esperti di Symantec hanno affermato di avere prove limitate che collegano i precedenti attacchi dell’attore della minaccia che coinvolgono il malware PlugX ad altri gruppi di hacking cinesi come APT41 (aka Wicked Panda) e Mustang Panda.

Inoltre, l’uso di un file Bitdefender legittimo per caricare lo shellcode è stato osservato in precedenti attacchi attribuiti ad APT41.

ADVERTISEMENT

“L’uso di applicazioni legittime per facilitare il DLL Side Loading sembra essere una tendenza in crescita tra gli attentatori dello spionaggio [informatico] che operano nella regione [Asia]“, hanno affermato i ricercatori. “Sebbene sia una tecnica ben nota, deve riscuotere un certo successo per gli aggressori data la sua attuale popolarità“.

Ma perché proprio in Asia questo succede contro governi e organizzazioni?

Facciamo un esempio con un paese a caso dell’Asia: Giappone.

Questo si ricollega al discorso dell’importanza degli aggiornamenti; non a caso il Giappone è finito giusto un filino nel caos per non essersi aggiornati ad altri browser all’infuori di Internet Explorer.

Nello stesso paese asiatico si usano ancora i Floppy Disk.

Se a questo aggiungiamo che nel mondo esistono miriadi di persone che non aggiornano i software come l’antivirus e che utilizzano ancora Windows 7 (se non XP in casi più estremi), direi che è abbastanza semplice immaginare la motivazione dei problemi informatici istituzionali di alcuni paesi dell’Asia.

Questa cosa è un vizio di molte istituzioni anche in Europa, di conseguenza ne è colpito anche il nostro paese.

Infatti in programmi e sistemi operativi non (più) aggiornati è molto più facile che questi file DLL vecchi possano essere sfruttati per il DLL side-loading!

In breve: stare al passo con gli aggiornamenti software e con la tecnologia non è solo una smania da smanettoni (perdona il gioco di parole), ma è un modo per salvaguardare i propri dati.

————-

Contenuto pubblicato su tech.icrewplay.com Read More

Lascia un commento Annulla risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

ADVERTISEMENT
PlayTalk.it

Copyright © Alpha Unity - testata giornalistica registrata presso il Tribunale di Roma n. 75 del 26/07/2017. Tutti i diritti riservati.

  • Lavora con noi
  • Privacy Policy
  • Advertising
  • Contact

Seguici

No Result
View All Result
  • Ultime notizie
  • Videogiochi
  • Recensioni
  • Cinema
  • Sport
  • Anime
  • Libri
  • Tecnologia
  • Scienza

Copyright © Alpha Unity - testata giornalistica registrata presso il Tribunale di Roma n. 75 del 26/07/2017. Tutti i diritti riservati.

Welcome Back!

Login to your account below

Forgotten Password? Sign Up

Create New Account!

Sign Up with Facebook
OR

Fill the forms below to register

All fields are required. Log In

Retrieve your password

Please enter your username or email address to reset your password.

Log In
Generated by Feedzy