Silvia Felici : 23 Maggio 2023 08:37
Il terrore informatico ritorna: il gruppo di hacker sponsorizzato dallo stato cinese riemerge con una nuova e campagna di attacchi rivolta a entità governative, sanitarie, tecnologiche e manifatturiere situate in Taiwan, Tailandia, Filippine e Fiji, dopo un lungo periodo di oltre sei mesi di inattività.
Trend Micro, leader nel settore della sicurezza informatica, ha attribuito il recente set di intrusioni al sottogruppo Earth Longzhi, all’interno del noto APT41 (conosciuto anche come HOODOO o Winnti).
Questo gruppo di hacker è stato individuato per la prima volta nel novembre 2022, durante i suoi attacchi contro organizzazioni in Asia orientale, sud-orientale e in Ucraina.
FINO AL 31 DICEMBRE, sconti estremi sui corsi Red Hot Cyber
Affrettati!
Fino al 31 dicembre potrai acquistare a prezzi scontati i nostri corsi cliccando sui seguenti coupon:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Gli attacchi dell’Earth Longzhi sfruttano applicazioni vulnerabili come punto di ingresso per distribuire la webshell BEHINDER e quindi utilizzano tale accesso per rilasciare payload aggiuntivi, tra cui una nuova variante del pericoloso caricatore Cobalt Strike chiamato CroxLoader.
Trend Micro ha segnalato che questa recente campagna di Earth Longzhi fa un uso spietato di un eseguibile di Windows Defender per eseguire il sideloading DLL, sfruttando anche un driver vulnerabile, zamguard.sys, per disabilitare i prodotti di sicurezza installati sugli host tramite un attacco BYOVD (Bring Your Own Vulnerable Driver).
Non è la prima volta che Earth Longzhi utilizza la tecnica BYOVD, con precedenti campagne che sfruttavano il driver vulnerabile RTCore64.sys per impedire l’esecuzione di prodotti di sicurezza.
Il malware, denominato SPHijacker, impiega anche un secondo metodo, noto come “stack smashing”, per raggiungere lo stesso obiettivo, causando intenzionalmente il crash delle applicazioni mirate durante l’avvio.
Tuttavia, questi non sono gli unici metodi che i cybercriminali possono utilizzare per compromettere i prodotti di sicurezza. Il mese scorso, Deep Instinct ha descritto una nuova tecnica di code injection chiamata Dirty Vanity, che sfrutta il meccanismo di fork remoto in Windows per evitare la rilevazione da parte dei sistemi di sicurezza degli endpoint.
Inoltre, il payload del driver viene installato come servizio a livello di kernel utilizzando Microsoft Remote Procedure Call (RPC) anziché le API di Windows per evitare la rilevazione, dimostrando la sofisticatezza degli attacchi perpetrati dal gruppo di hackeraggio Earth Longzhi.
Copyright @ 2003 – 2024 RED HOT CYBER
PIVA 16821691009