Report settimanale

Scritto il

Segnali di intelligence chiave:

  • Tipo di attacco: Ransomware, Vulnerabilities & Exploits, Ransomware-as-a-Service ( RaaS ), Impianti malware, Efiltrazione dati, Perdita di dati, Impersonazioni, Esecuzione di codice in modalità remota ( RCE ), On- frode dispositivo, Rouge Mobile Apps, Consegna di attacchi con orientamento telefonico ( TOAD ), Pulizie, Malvertising, USB come vettore di attacco
  • Obiettivo: accesso non autorizzato, furto di dati, guadagni finanziari, consegna del carico utile, spionaggio potenziale
  • Impatto aziendale: perdita di dati, perdita finanziaria, danno alla reputazione, perdita di proprietà intellettuale
  • Ransomware – Lorenz Ransomware | Malware – WhiskerSpy
  • Lorenz Ransomware – Uno dei gruppi ransomware.
  • Fare riferimento all’avviso di malware di tendenza per i dettagli su quanto segue:
  • Malware – WhiskerSpy
  • Comportamento – La maggior parte di questi malware utilizza tecniche di phishing e ingegneria sociale come vettore di attacco iniziale. Oltre a queste tecniche, si stanno osservando lo sfruttamento delle vulnerabilità, l’evasione della difesa e le tattiche di persistenza.

Attore di minacce in primo piano

APT Gamaredon abusa di HoaxShell nella recente campagna contro l’Ucraina

  • Attori di minacce sospette: Gamaredon
  • Tipo di attacco: Spear Phishing
  • Obiettivo: accesso non autorizzato, spionaggio, esfiltrazione dei dati
  • Tecnologia di destinazione: Windows
  • Geografie target: Ucraina
  • Settori target: settore pubblico
  • Impatto aziendale: furto di dati

Riepilogo:
Secondo i ricercatori delle recenti osservazioni, è stata rilevata una nuova campagna di Gamaredon rivolta a più organizzazioni in Ucraina. Questa operazione di spionaggio in corso utilizza tecniche sofisticate per fornire malware alle macchine della vittima in Ucraina. Lo strumento open source Hoaxshell è stato usato per l’attacco tecnico. Il vettore di attacco è un’e-mail di phishing con un allegato che compromette il sistema attraverso l’installazione di un WebShell. WebShell include funzionalità per l’esecuzione di comandi remoti e la distribuzione di payload aggiuntivi su una macchina infetta.

Gamaredon si affida alla distribuzione altamente mirata di documenti che imitano i documenti ufficiali delle organizzazioni governative ucraine e usano la lingua ucraina per la posta di phishing. Diversi tipi di allegati sono stati utilizzati per fornire malware, tra cui .xlsx, .doc, .xlsm e .docm, con .docm il più diffuso. I documenti esca sono descritti come documenti governativi ufficiali. Una volta aperto il documento dannoso, esegue una macro fortemente offuscata chiamata “ xdm, ” che decodifica ed esegue un secondo script PowerShell che riporta al server di comando e controllo. Questa campagna fa parte di un’operazione di spionaggio in corso ed è stata osservata di recente nel febbraio 2023. L’uso di script PowerShell e VBScript offuscati nella catena delle infezioni rende difficile rilevare e prevenire. Il file principale utilizzato per eseguire la fase successiva è codificato in Python, mentre WebShell è codificato in PowerShell puro.

Approfondimenti:
Nonostante sia stato esposto più volte per l’utilizzo di strumenti open source come Hoaxshell per l’attacco avanzato, APT continua a colpire con lo stesso vettore di attacco dimostrando che il tasso di successo è buono.

L’intelligence olandese mette in guardia dal sabotaggio russo contro la sua infrastruttura energetica

Secondo l’intelligence militare olandese, la Russia ha recentemente cercato di raccogliere informazioni per danneggiare le infrastrutture vitali nella parte olandese del Mare del Nord. Secondo l’agenzia, una nave russa è stata scoperta in un parco eolico offshore nel Mare del Nord mentre cercava di mappare le infrastrutture energetiche. Prima che qualsiasi tentativo di sabotaggio potesse avere successo, la nave fu scortata fuori dal Mare del Nord da navi olandesi marine e di guardia costiera, ma la nave è stata probabilmente in grado di raccogliere dati su questa infrastruttura.

Secondo un recente rapporto congiunto delle agenzie di intelligence olandesi MIVD e AIVD, la Russia sta intraprendendo attività che indicano i preparativi per l’interruzione e il sabotaggio, con la più grande minaccia rappresentata per l’approvvigionamento idrico ed energetico nei Paesi Bassi. Negli ultimi mesi gli attori informatici e l’intelligence russi stavano cercando di scoprire il funzionamento del sistema energetico nel Mare del Nord e secondo le autorità olandesi, la Russia è interessata al potenziale sabotaggio delle infrastrutture energetiche nei Paesi Bassi e più in generale in Europa. Ciò è in linea con gli avvertimenti che gli analisti di CYFIRMA hanno emesso sull’argomento dall’inizio della guerra russa contro l’Ucraina nel febbraio 2022.

Una nuova APT si impegna nel cyberespionage

I ricercatori hanno osservato un nuovo attore di minaccia che è stato visto colpire le compagnie di navigazione e i laboratori medici in Asia con e-mail di phishing. L’APT soprannominato Hydrochasma  sembra essere interessato alle industrie farmaceutiche connesse ai trattamenti o ai vaccini COVID-19. L’attività, in corso dall’ottobre 2022, è principalmente avviata da messaggi di phishing contenenti documenti di esca a tema curriculum che, una volta lanciati, garantiscono l’accesso iniziale alla macchina.
I ricercatori non hanno notato alcun dato che viene esfiltrato e l’attore non è associato ad altre campagne note; tuttavia, l’uso da parte dell’attore degli strumenti che hanno visto ha suggerito che lo scopo potrebbe essere la raccolta di informazioni. Tuttavia, l’attore ha usato strumenti standard che hanno complicato l’attribuzione dell’attacco, che era probabilmente l’intenzione dell’attaccante di coprire le sue tracce. Data l’ampia portata dell’attacco, i ricercatori sospettano il coinvolgimento del governo e un tentativo di ottenere informazioni strategiche.

APT nordcoreano lancia nuovo malware

Secondo i ricercatori, APT37 ( noto anche come “ RedEyes ” o “ StarCruft ” ), un attore di minaccia della Corea del Nord, sta diffondendo un nuovissimo ceppo di malware chiamato “ M2RAT ” (. Di recente, i ricercatori hanno scoperto che M2RAT è stato diffuso tramite e-mail di phishing. Le e-mail contengono file che, una volta aperti, eseguiranno il shellcode sfruttando un difetto intrinseco nel processore di testi Hangul sudcoreano. Il computer della vittima riceverà prima un download di immagini JPEG dal codice shell, che utilizza la steganografia per estrarre il codice di download M2RAT. Il software è realizzato per acquisire schermate e registrare sequenze di tasti per rubare i dati. I dispositivi mobili infetti verranno inoltre scansionati da M2RAT e allo stesso modo otterranno l’accesso a documenti o registrazioni audio per l’attaccante. APT37 prende spesso di mira giornalisti, disertori nordcoreani,e sostenitori dei diritti umani. Le vittime a volte non sono consapevoli del fatto che sono state hackerate perché l’attore minaccia si rivolge a persone e dispositivi personali piuttosto che a aziende con costosi sistemi di protezione.

La società informatica cinese accusa l’Occidente di aver hackerato la Cina

In una nuova accusa, i ricercatori cinesi sulla sicurezza informatica hanno accusato l’Occidente di attacchi informatici motivati politicamente contro la Cina. Secondo i cinesi, gli hacker hanno avuto origine in Nord America ed Europa e sono stati soprannominati contro l’Occidente in Cina. Il gruppo ha pubblicato informazioni e database cinesi sensibili più di 70 volte dal 2021, incluso il furto di dati da circa 300 sistemi di informazione. L’elenco delle vittime comprende il governo provinciale di Hainan e China Southern Airlines.
I ricercatori cinesi affermano che gli attacchi sono di natura politica e condividono esclusivamente le loro ricerche con il Global Times, la pubblicazione mediatica cinese di proprietà statale con veemenza nel tentativo di far girare la narrativa globale sull’hacking del governo in una luce più adatta alla Cina. La pubblicazione sembra far parte dei crescenti tentativi della Cina di assumere il controllo della narrazione sugli attacchi informatici puntando il dito nella direzione opposta quando si tratta di attribuzione di attacchi informatici.

Altre osservazioni

Il team di ricerca CYFIRMA ha osservato che AOL è un portale web e un fornitore di servizi online negli Stati Uniti d’America ha subito una violazione dei dati. Questa perdita di dati contiene nome, cognome, indirizzo e-mail, numero di telefono, codice postale e ID cliente.

image001.jpg
Fonte: forum sotterranei

Il team ha anche osservato una potenziale perdita di dati relativa a www [. ] sttelemediagdc [. ] com – ST Telemedia Global Data Centers ( STT GDC ), è un fornitore leader di servizi di data center con sede a Singapore. La Società offre servizi di colocation, connettività, hosting e cloud storage dei dati. Questa perdita di dati contiene dati di 1.210 clienti.

image002.jpg
Fonte: forum sotterranei

RACCOMANDAZIONE STRATEGICA

  • Attack Surface Management dovrebbe essere adottato dalle organizzazioni, garantendo che venga creato un processo a circuito chiuso continuo tra monitoraggio della superficie di attacco e test di sicurezza.
  • Distribuire una strategia unificata di gestione delle minacce – tra cui il rilevamento di malware, le reti neurali di apprendimento profondo e la tecnologia anti-sfruttamento – combinata con i processi di vulnerabilità e mitigazione del rischio.
  • Incorporare la protezione del rischio digitale ( DRP ) nella posizione di sicurezza complessiva che funge da difesa proattiva contro le minacce esterne rivolte ai clienti ignari.
  • Implementare una strategia di sicurezza olistica che includa controlli per la riduzione della superficie di attacco, un’efficace gestione delle patch, un monitoraggio attivo della rete, attraverso soluzioni di sicurezza di prossima generazione e un piano di risposta agli incidenti pronto per partire.
  • Creare una gestione della vulnerabilità basata sul rischio con una profonda conoscenza di ciascuna risorsa. Assegnare un punteggio di rischio triaged basato sul tipo di vulnerabilità e criticità dell’asset per aiutare a garantire che le vulnerabilità più gravi e pericolose vengano trattate per prime.

RACCOMANDAZIONE DELLA GESTIONE

  • Approfitta della Cyber Intelligence globale che fornisce preziose informazioni sull’attività, il rilevamento e le tecniche di mitigazione degli attori della minaccia.
  • Monitorare in modo proattivo l’efficacia della strategia di sicurezza delle informazioni basata sul rischio, i controlli di sicurezza applicati e la corretta attuazione delle tecnologie di sicurezza, seguita da misure correttive e lezioni apprese.
  • Andare oltre il tradizionale modello di consapevolezza della sicurezza verso migliori esercizi di simulazione e allenamento che imitano gli scenari di attacco reale, spiegano comportamenti che portano a un compromesso, e sono misurati rispetto agli attacchi reali che l’organizzazione riceve.
  • Prendere in considerazione l’implementazione dei sistemi di sicurezza ( NTA ) e Network Detection and Response ( NDR ) per compensare la carenza di soluzioni EDR e SIEM.
  • I processi di rilevamento sono testati per garantire la consapevolezza di eventi anomali. Comunicazione tempestiva delle anomalie e continuamente evoluta per stare al passo con raffinate minacce ransomware.

RACCOMANDAZIONE TATTICA

  • Patch software / applicazioni non appena sono disponibili aggiornamenti. Laddove possibile, la riparazione automatizzata dovrebbe essere implementata poiché le vulnerabilità sono uno dei principali vettori di attacco.
  • Prendi in considerazione l’utilizzo dell’automazione della sicurezza per accelerare il rilevamento delle minacce, migliorare la risposta agli incidenti, aumentare la visibilità delle metriche di sicurezza e una rapida esecuzione delle liste di controllo di sicurezza.
  • Costruire e adottare misure di salvaguardia monitorando / bloccando i CIO e rafforzando le difese basate sull’intelligence tattica fornita.
  • Distribuire tecnologie di rilevamento basate su anomalie comportamentali per rilevare attacchi ransomware e aiutare ad adottare le misure appropriate.
  • Implementare una combinazione di controllo di sicurezza come reCAPTCHA ( Test di Turing pubblico completamente automatizzato per dire a computer e esseri umani ), Impronta digitale dei dispositivi, backlist IP, Limitazione dei tassi, e blocco dell’account per contrastare gli attacchi automatizzati di forza bruta.
  • Garantire che il filtro di e-mail e contenuti Web utilizzi liste di blocco in tempo reale, servizi di reputazione e altri meccanismi simili per evitare di accettare contenuti da fonti note e potenzialmente dannose.
Print Friendly, PDF & Email

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Tema Seamless Keith, sviluppato da Altervista

Apri un sito e guadagna con Altervista - Disclaimer - Segnala abuso - Notifiche Push - Privacy Policy - Personalizza tracciamento pubblicitario