Gli hacker Cinesi prendono di mira l’Italia. Il Malware 9002 RAT Colpisce Aziende ed Enti Governativi

Redazione RHC : 17 Luglio 2024 16:10

Un gruppo di hacker legato alla Cina, chiamato APT17 ha colpito aziende ed enti governativi italiani utilizzando una variante di un malware denominato 9002 RAT.

9002 RAT, è noto anche come Hydraq e McRAT. Ha raggiunto la notorietà come cyber weapons nell’operazione Aurora che ha individuato Google nel 2009. È stato successivamente utilizzato anche in un’altra campagna del 2013 denominata Sunshop in cui gli aggressori hanno iniettato reindirizzamenti dannosi in diversi siti Web.

APT17 è stato documentato per la prima volta da Mandiant (allora FireEye), di proprietà di Google, nel 2013. Hanno preso parte alle operazioni di spionaggio informatico denominate DeputyDog ed Ephemeral Hydra. Tali campagne sfruttavano falle zero-day in Internet Explorer di Microsoft per violare obiettivi di interesse.

Sei un Esperto di Formazione?
Entra anche tu nel Partner program!
Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.
Per ulteriori informazioni, scrivici ad [email protected] oppure su Whatsapp al 379 163 8765 

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo

I due attacchi mirati hanno avuto luogo il 24 giugno e il 2 luglio 2024. Questa notizia è stata affermato dalla TG Soft in un’analisi pubblicata la scorsa settimana.

“La prima campagna del 24 giugno 2024 ha utilizzato un documento Office, mentre la seconda campagna conteneva un collegamento. Entrambe le campagne invitavano la vittima a installare un pacchetto Skype for Business da un collegamento di un dominio.”

È noto anche con i nomi di Aurora Panda, Bronze Keystone, Dogfish, Elderwood, Helium, Hidden Lynx e TEMP.Avengers, ma l’avversario condivide un certo livello di sovrapposizione di strumenti con un altro attore della minaccia soprannominato Webworm.

Le ultime catene di attacchi prevedono l’uso di esche di spear-phishing per indurre i destinatari a cliccare su un collegamento. Tale collegamento li invita a scaricare un programma di installazione MSI per Skype for Business (“SkypeMeeting.msi”).

L’avvio del pacchetto MSI innesca l’esecuzione di un file di archivio Java (JAR) tramite uno script Visual Basic (VBS). Quest installa al contempo il software di chat legittimo sul sistema Windows. L’applicazione Java, a sua volta, decifra ed esegue lo shellcode responsabile dell’avvio di 9002 RAT.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.