Attacco inaspettato. Come la Corea Del Nord Minaccia le Agenzie Governative Russe

Redazione RHC : 8 Settembre 2024 09:03

L’analisi delle minacce legate alla campagna Konni mostra la crescente attività del gruppo Kimsuky, che utilizza vari metodi per attacchi furtivi. Il pericolo risiede nell’utilizzo di servizi cloud e FTP legittimi per infettare gradualmente i sistemi target, rendendo difficile il rilevamento di file dannosi. La campagna colpisce non solo i sistemi della Corea del Sud, ma anche le agenzie governative russe e altri obiettivi internazionali.

Utilizzando tecniche come spear-phishing e documenti dannosi (ad esempio file con estensione “.exe”, “.scr”, “.ppam”), gli aggressori mascherano i loro attacchi come richieste o documenti legittimi. In uno di questi attacchi, scoperto nel 2022, gli aggressori hanno utilizzato documenti falsi relativi alla politica estera, alle transazioni fiscali e finanziarie russe, confermando gli obiettivi più ampi della campagna.

Per eseguire comandi di controllo remoto, gli aggressori utilizzano domini e servizi di hosting gratuiti, che rendono più semplice creare e nascondere server di comando e controllo (C2). Un elemento importante degli attacchi è la modifica e l’iniezione di malware attraverso la creazione di (RAT) utilizzando PowerShell e VBS, che poi eseguono comandi crittografati sui dispositivi compromessi.

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Non perdere i nostri corsi e scrivi subito su WhatsApp al numero
379 163 8765  per richiedere informazioni "

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

I numerosi file scoperti durante l’analisi dimostrano la capacità del gruppo di adattarsi alle condizioni e di utilizzare metodi sofisticati per aggirare i sistemi di sicurezza tradizionali, compresi gli attacchi basati su file e senza file. I moderni sistemi di rilevamento e risposta degli endpoint (EDR) aiutano a identificare le minacce più rapidamente e a prevenirle nelle fasi iniziali, riducendo il rischio di violazioni dei dati su larga scala.

Negli ultimi anni, le campagne associate a Kimsuky hanno incluso non solo attacchi mirati contro agenzie governative, ma anche attacchi contro rappresentanti di operazioni di criptovaluta, indicando le motivazioni finanziarie del gruppo.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.