Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Silvia Felici : 8 Maggio 2023 14:02
L’attacco mira a vari organi governativi dell’Ucraina. L’agenzia ha attribuito questa campagna di phishing ad APT28, un gruppo noto anche come Fancy Bear, Forest Blizzard, FROZENLAKE, Iron Twilight, Sednit e Sofacy.
Secondo quanto riferito, i messaggi di posta elettronica hanno come oggetto “Windows Update” e contengono presunte istruzioni in lingua ucraina per eseguire un comando PowerShell, con il pretesto di aggiornamenti di sicurezza.
L’esecuzione dello script carica ed esegue uno script di PowerShell della fase successiva, progettato per raccogliere informazioni dal sistema di base tramite comandi come tasklist e systeminfo per esfiltrare i dettagli tramite una richiesta HTTP a un’API Mocky.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Non perdere i nostri corsi e scrivi subito su WhatsApp al numero
379 163 8765
per richiedere informazioni
"
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Per convincere gli obiettivi ad eseguire le azioni, le e-mail hanno impersonato gli amministratori di sistema delle entità governative prese di mira, utilizzando falsi account di posta elettronica di Microsoft Outlook creati con i nomi e le iniziali reali dei dipendenti.
CERT-UA ha raccomandato alle organizzazioni di limitare la capacità degli utenti di eseguire script PowerShell e di monitorare le connessioni di rete all’API Mocky.
La divulgazione dell’attacco arriva dopo che APT28 è stato collegato ad attacchi che sfruttavano difetti di sicurezza ora corretti nelle apparecchiature di rete per condurre ricognizioni e distribuire malware contro obiettivi selezionati.
Il Threat Analysis Group (TAG) di Google ha anche pubblicato un avviso il mese scorso, dettagliando un’operazione di raccolta delle credenziali effettuata dall’autore della minaccia per reindirizzare i visitatori dei siti web del governo ucraino a domini di phishing.
I gruppi di hacker russi sono stati anche collegati allo sfruttamento di un difetto critico di escalation dei privilegi in Microsoft Outlook (CVE-2023-23397, punteggio CVSS: 9.8) in intrusioni dirette contro il governo, i trasporti, l’energia e i settori militari in Europa.
Inoltre, Fortinet FortiGuard Labs ha scoperto un attacco di phishing in più fasi che sfrutta un documento Word presumibilmente dall’Energoatom ucraino come esca per fornire il framework post-sfruttamento Havoc open source.
Secondo Recorded Future, una società di sicurezza informatica, “resta molto probabile che i servizi di intelligence, militari e delle forze dell’ordine russi abbiano un’intesa tacita di lunga data con gli attori delle minacce informatiche“.
“In alcuni casi, è quasi certo che queste agenzie mantengano una relazione consolidata e sistematica con gli attori delle minacce criminali informatiche, tramite collaborazione indiretta o tramite reclutamento“.
Fonte Thehackernews
Silvia Felici
Copyright @ 2003 – 2024 RED HOT CYBER
PIVA 16821691009