Attacco informatico: il gruppo TA547 prende di mira le organizzazioni tedesche con Rhadamanthys Stealer

Sandro Sana : 20 Aprile 2024 22:22

Il furto di informazioni è una delle principali minacce informatiche che affliggono le organizzazioni di tutto il mondo. Gli “InfoStealers” sono un tipo di malware che ha lo scopo di rubare dati sensibili, come credenziali di accesso, informazioni bancarie, carte di credito, documenti personali o aziendali, ecc. Questi dati possono essere poi sfruttati dagli hacker per vari scopi illeciti, come la vendita sul mercato nero, l’estorsione, la frode, lo spionaggio o il sabotaggio. Uno dei più recenti e pericolosi information stealers che ha colpito le organizzazioni tedesche è il Rhadamanthys Stealer, che fa parte dell’arsenale del gruppo TA547.

Che cos’è il Rhadamanthys Stealer e come funziona?

Il Rhadamanthys Stealer è un malware che appartiene alla categoria dei cosiddetti “information stealers”, ovvero programmi malevoli che hanno lo scopo di rubare dati sensibili dagli utenti infetti.

Gli information stealers sono una tipologia di malware che si specializza nel rubare dati sensibili dagli utenti infetti. Questi dati possono includere credenziali di accesso, informazioni finanziarie, documenti personali, immagini e altri file importanti. Gli information stealers operano in modo furtivo, cercando di evitare la rilevazione da parte degli antivirus o dei firewall. Essi possono sfruttare diverse tecniche per infiltrarsi nei sistemi informatici, come il phishing, l’exploit, il download drive-by o il dropper. Una volta installati, gli information stealers monitorano le attività dell’utente, catturano i dati di interesse e li trasmettono a un server remoto gestito dagli hacker. I dati rubati dagli information stealers possono essere usati dagli hacker per scopi fraudolenti, come il furto di identità, il compromesso dei conti bancari, il ricatto, l’espionaggio o il sabotaggio. Inoltre, gli information stealers possono anche aprire la porta ad altri attacchi informatici più avanzati, come il ransomware, il trojan o il worm. Per questo motivo, è fondamentale proteggere i propri dispositivi e le proprie reti con misure di sicurezza adeguate, come l’aggiornamento dei software, l’utilizzo di antivirus, il backup dei dati e la formazione degli utenti.

Prova la Demo di Business Log! Adaptive SOC italiano Log management non solo per la grande Azienda, ma una suite di Audit file, controllo USB, asset, sicurezza e un Security Operation Center PERSONALE, che ti riporta tutte le operazioni necessarie al tuo PC per tutelare i tuoi dati e informati in caso di problemi nel tuo ambiente privato o di lavoro. Scarica ora la Demo di Business Log per 30gg Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

L’attacco descritto coinvolge diversi passaggi intricati per compromettere i sistemi informatici delle organizzazioni bersaglio:

1. Spam Email con Malware Allegato: Il gruppo TA547 invia email di spam alle organizzazioni tedesche, mascherandole da comunicazioni legittime da un noto marchio tedesco, come Metro Cash and Carry. Queste email contengono allegati dannosi o link che una volta aperti o cliccati, installano il malware Rhadamanthys Stealer sui sistemi delle vittime.
2. Script PowerShell AI-Powered: L’elemento distintivo di questo attacco è l’utilizzo di uno script PowerShell alimentato dall’intelligenza artificiale (IA). Lo script potrebbe essere stato creato con l’ausilio di tecnologie di generazione del linguaggio naturale, come ChatGPT, Gemini o CoPilot, per aumentare l’efficacia nell’inganno e nella distribuzione del malware.
3. Infiltrazione del Malware Rhadamanthys Stealer: Una volta eseguito lo script PowerShell, il malware Rhadamanthys Stealer viene installato sui sistemi delle vittime. Questo malware è progettato per rubare informazioni sensibili, come password, dati finanziari e altre informazioni personali, che possono poi essere utilizzate per scopi fraudolenti.
4. Esfiltrazione dei Dati: Una volta installato, il Rhadamanthys Stealer raccoglie silenziosamente le informazioni sensibili dalle vittime e le invia agli attaccanti. Questo può includere dati sensibili memorizzati sui dispositivi infetti o informazioni scambiate durante le attività online.
5. Persistenza e Espansione delle Attività Malevole: Dopo il successo dell’infiltrazione iniziale, il malware può persistere nei sistemi delle vittime per un periodo prolungato, consentendo agli attaccanti di continuare a raccogliere dati sensibili e di espandere ulteriormente le loro attività malevole.

Questo tipo di attacco dimostra l’evoluzione delle minacce informatiche, con l’uso sempre più sofisticato dell’IA per aumentare l’efficacia e la complessità delle operazioni criminali nel cyberspazio.

Quali sono le organizzazioni tedesche colpite e quali sono le possibili conseguenze?

Secondo un rapporto di sicurezza pubblicato da Proofpoint, un’azienda specializzata in soluzioni di sicurezza informatica, il gruppo TA547 ha mirato specificamente alle organizzazioni tedesche, tra cui enti governativi, aziende, organizzazioni non governative e istituzioni accademiche. Il rapporto non ha rivelato i nomi delle organizzazioni colpite, ma ha affermato che si tratta di entità di rilievo nel panorama tedesco. Le possibili conseguenze di questo attacco informatico sono gravi, in quanto i dati rubati possono essere usati per il furto di identità, il compromesso dei conti bancari, il ricatto, l’espionaggio o altre attività malevole. Inoltre, il malware può anche consentire agli hacker di accedere ad altri sistemi informatici collegati a quelli infetti, ampliando il raggio d’azione dell’attacco.

Chi è il gruppo TA547 e come usa l’intelligenza artificiale nelle sue attività criminali?

Il gruppo TA547, conosciuto anche come Scully Spider, è una delle principali minacce informatiche che attaccano le organizzazioni in Europa e in altre regioni. Secondo gli esperti di sicurezza, il gruppo è attivo dal 2016 e ha condotto diverse campagne di attacco con vari tipi di malware, come ransomware, trojan bancari, backdoor e information stealers. Il gruppo si concentra su obiettivi di alto profilo, come istituzioni governative, finanziarie, sanitarie, educative e industriali. Il gruppo sfrutta tecniche sofisticate di ingegneria sociale, analisi del contesto e personalizzazione delle email per indurre le vittime a cliccare sui link o sugli allegati infetti. Il gruppo ha anche dimostrato capacità di adattare i propri strumenti e tattiche in base alle misure di difesa delle organizzazioni bersaglio. Tra le varie organizzazioni tedesche colpite dal gruppo TA547, ci sono enti pubblici, aziende farmaceutiche, università e società energetiche. Le conseguenze di questi attacchi possono essere gravi, sia dal punto di vista economico che della sicurezza nazionale. I dati rubati dagli hacker possono essere venduti sul mercato nero, utilizzati per estorsioni, frodi, spionaggio o sabotaggio. Inoltre, il gruppo può usare le informazioni ottenute per pianificare nuovi attacchi più mirati e dannosi.

Il gruppo ha utilizzato una varietà di malware per sistemi Windows e Android, ma recentemente ha preferito utilizzare il modulo Rhadamanthys Stealer, che continua a espandere le sue capacità. Dal marzo di quest’anno, il gruppo ha iniziato a utilizzare uno script PowerShell alimentato dall’intelligenza artificiale (IA) nelle sue attività criminali, aprendo così una nuova era nel campo della cibercriminalità, dove l’IA diventa un’arma nelle mani degli hacker. Lo script è stato utilizzato in una campagna di spam email in Germania, mascherandosi da noto marchio tedesco, Metro Cash and Carry. L’obiettivo dell’attacco era distribuire il malware Rhadamanthys con l’intento di rubare informazioni sensibili. L’uso dell’IA nella creazione dello script è evidenziato da dettagliati commenti e l’uso di hash, indicando la possibile utilizzazione di sistemi simili a ChatGPT, Gemini o CoPilot. Questo utilizzo dell’IA potrebbe indicare la generazione di codice con una grammatica impeccabile e descrizioni dettagliate, cosa non comune nei malware. OpenAI ha dichiarato di aver preso provvedimenti per bloccare gli account associati ad APT che utilizzano il loro sistema per scopi malintenzionati. Tuttavia, rimane incerto secondo quali criteri verrà valutata l’attività dannosa degli account. È interessante notare che, mentre i giganti della sicurezza informatica affrontano nuove sfide, gli hacker continuano a sviluppare i propri strumenti AI per compiere attività criminali nel cyberspazio.

Come proteggersi da questo tipo di attacco informatico?

Per proteggersi da questo tipo di attacco informatico, è necessario adottare alcune misure di sicurezza, sia a livello individuale che organizzativo. A livello individuale, è importante essere cauti nell’aprire email sospette o cliccare su link o allegati non verificati. Inoltre, è consigliabile usare password forti e diversificate per i vari account online, nonché software antivirus e firewall aggiornati. A livello organizzativo, è fondamentale investire in soluzioni di sicurezza avanzate, che possano rilevare e bloccare i tentativi di intrusione, nonché criptare e salvaguardare i dati sensibili. Inoltre, è essenziale fornire formazione ai propri dipendenti, per sensibilizzarli sui rischi informatici e sulle buone pratiche da seguire.

Sandro Sana
Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Lista degli articoli
Visita il sito web dell'autore