Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 16 Dicembre 2023 13:17
Il gruppo di hacker di APT28 utilizza delle honeypot collegate al conflitto tra Israele e Hamas per distribuire una backdoor HeadLace personalizzata per ottenere informazioni di intelligence. Lo riferiscono gli specialisti di IBM X-Force che stanno monitorando le attività del gruppo.
La nuova campagna si rivolge a target in almeno 12 paesi, tra cui Ungheria, Turchia, Australia, Polonia, Belgio, Germania, Azerbaigian, Arabia Saudita, Kazakistan, Italia, Lettonia e Romania.
Durante gli attacchi gli aggressori utilizzano documenti falsi destinati principalmente alle organizzazioni europee che influenzano la distribuzione degli aiuti umanitari. Tra le esche ci sono documenti relativi all’ONU, alla Banca d’Israele, al Public Policy Research Institute del Congresso americano, al Parlamento europeo e ai think tank.
Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Alcuni attacchi utilizzano archivi RAR che sfruttano la vulnerabilità CVE-2023-38831 (CVSS: 7.8) in WinRAR per distribuire la backdoor HeadLace. Il bug consente a un criminale informatico di eseguire codice arbitrario quando un utente tenta di visualizzare un file protetto in un archivio. Se la vittima ha installato l’applicazione vulnerabile WinRAR e apre l’archivio, il documento esca viene visualizzato mentre il dropper Headlace viene eseguito in background.
In altri casi, l’infezione utilizza il metodo di dirottamento DLL, che fornisce un file binario Microsoft Calc.exe legittimo che risulta suscettibile al dirottamento DLL sul dispositivo di destinazione. Quando la vittima fa clic su Calc.exe, una DLL dannosa viene scaricata e inserita insieme a Calc in un archivio dannoso. A questo punto la DLL avvia Headlace. Per indurre la vittima a eseguire l’eseguibile, Calc.exe viene rinominato e contiene spazi prima dell’estensione, il che potrebbe impedire all’utente di rilevare l’estensione .EXE.
Un’altra opzione Headlace si maschera da aggiornamento di Windows. Quando uno script viene eseguito, subito dopo che i suoi componenti dannosi sono stati consegnati ed eseguiti, Headlace visualizza a intervalli regolari messaggi falsi sullo stato dell’aggiornamento.
Va notato che dopo aver stabilito il controllo sul sistema, APT28 utilizza metodi aggiuntivi per intercettare i dati degli account NTLM o gli hash SMB e cerca anche di penetrare nella rete tramite TOR.
X-Force afferma con grande fiducia che il gruppo continuerà ad attaccare i centri diplomatici e accademici per ottenere informazioni sulle nuove decisioni politiche. APT28 può adattarsi ai cambiamenti nelle capacità di minaccia informatica sfruttando i CVE disponibili al pubblico e sfruttando le infrastrutture disponibili in commercio.
RedazioneLa Cina introdurrà corsi di intelligenza artificiale per gli studenti delle scuole primarie e secondarie questo autunno. L’iniziativa prevede che i bambini a partire dai sei anni imparino ...
L’imageboard di 4chan è praticamente inattivo da lunedì sera (14 aprile), apparentemente a causa di un attacco hacker. I membri dell’imageboard Soyjak party (noto anche semplic...
Apple ha rilasciato patch di emergenza per correggere due vulnerabilità zero-day. Secondo l’azienda, questi problemi sono stati sfruttati in attacchi mirati ed “estremamen...
Quanto accaduto in questi giorni deve rappresentare un campanello d’allarme per l’Europa.Mentre il programma CVE — pilastro della sicurezza informatica globale — rischiava ...
Il 16 aprile 2025, Spotify ha subito un’interruzione del servizio che ha colpito numerosi utenti in Italia e nel mondo. A partire dalle ore 14:00, migliaia di segnalazioni sono state re...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
