Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 4 Aprile 2024 08:17
I ricercatori di Trend Micro hanno scoperto l’attività del gruppo Earth Freybug, che, secondo gli analisti, fa parte del famoso gruppo di hacking cinese APT41 (alias Winnti, Axiom, Brass Typhoon, Bronze Atlas, HOODOO, Wicked Panda). Il nuovo malware UNAPIMON consente ai processi dannosi di funzionare senza essere rilevati e viene utilizzato per attacchi di spionaggio informatico.
APT41 (e Earth Freybug come parte di esso) è uno dei più antichi gruppi di hacking cinesi, attivo dal 2012. Il gruppo ha precedentemente attaccato un’ampia gamma di organizzazioni, tra cui governi, fornitori di hardware, sviluppatori di software, think tank, fornitori di servizi di telecomunicazioni e istituzioni educative.
Gli attacchi Earth Freybug studiati dagli esperti iniziano con l’introduzione di un processo dannoso in un processo legittimo di VMware Tools (vmtoolsd.exe), che esegue un’attività pianificata remota per avviare un file batch che raccoglie informazioni sul sistema (comprese le impostazioni di rete).
 Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)? Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente. Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Quindi il secondo file batch (cc.bat), utilizzando la tecnica di sideloading DLL (TSMSISrv.dll) con la partecipazione del servizio SessionEnv, carica UNAPIMON in memoria e lo inserisce nel processo cmd.exe.
UNAPIMON stesso è un malware scritto in C++, fornito come DLL (_{random}.dll), che utilizza Microsoft Detours per agganciare la funzione API CreateProcessW, consentendole di sganciare le funzioni API critiche nei processi figli.
Poiché molte soluzioni di sicurezza utilizzano l’aggancio delle API per tenere traccia delle attività dannose, UNAPIMON consente di sganciare le API per evitare il rilevamento.
Trend Micro spiega che la maggior parte dei malware utilizza hook per intercettare chiamate, ottenere dati sensibili e modificare il comportamento del software. Cioè, i metodi utilizzati da UNAPIMON sono molto insoliti.
“La caratteristica unica e notevole di questo malware è la sua semplicità e originalità”, conclude Trend Micro. “L’utilizzo di tecnologie esistenti come Microsoft Detours dimostra che qualsiasi libreria semplice e pronta all’uso può essere utilizzata per scopi dannosi se utilizzata in modo creativo.” Ciò dimostra anche l’abilità e la creatività degli autori del malware.
“Negli scenari tipici, è il malware a eseguire l’hacking. Ma in questo caso è il contrario”.
RedazioneUn’episodio di cyberattacco ha interessato Leroy Merlin, coinvolgendo i dati personali di numerosi clienti in Francia, con un impatto su centinaia di migliaia di individui. Leroy Merlin assicura che...
Gli sforzi dei legislatori e delle forze dell’ordine per contrastare il riciclaggio di denaro e le procedure più complesse di verifica delle schede SIM non hanno indebolito in modo significativo la...
Sviluppatori e amministratori di tutto il mondo stanno aggiornando urgentemente i propri server a seguito della scoperta di una vulnerabilità critica in React Server, che consente agli aggressori di ...
Il panorama della sicurezza informatica moderna è imprescindibile dalla conoscenza della topografia del Dark Web (DW), un incubatore di contenuti illeciti essenziale per la criminalità organizzata. ...
Dalla pubblicazione pubblica di ChatGPT nel novembre 2022, l’intelligenza artificiale (AI) è stata integrata in molti aspetti della società umana. Per i proprietari e gli operatori delle infrastru...
