Redazione RHC : 15 Novembre 2024 14:53
Il gruppo di hacker iraniano TA455 sta utilizzando tattiche simili a quelle del gruppo nordcoreano Lazarus per prendere di mira l’industria aerospaziale offrendo lavori falsi a partire da settembre 2023. Secondo l’azienda israeliana ClearSky gli aggressori distribuiscono il malware SnailResin che attiva la backdoor SlugResin.
TA455, noto anche come UNC1549 e Yellow Dev 13, è una divisione di APT35, conosciuta con vari nomi: Charming Kitten, CharmingCypress, ITG18 e altri. Si ritiene che il gruppo sia affiliato al Corpo delle Guardie della Rivoluzione Islamica (IRGC).
Dall’inizio del 2023, TA455 ha preso di mira le industrie aerospaziali e della difesa nei paesi del Medio Oriente come Israele, Emirati Arabi Uniti e Turchia. Gli attacchi si basano sull’ingegneria sociale utilizzando false offerte di lavoro per introdurre backdoor MINIBIKE e MINIBUS. Proofpoint riferisce che gli aggressori spesso utilizzano aziende false per contattare le vittime.
Vuoi diventare un Ethical Hacker?
Non perdere i nostri corsi e scrivi subito su WhatsApp al numero
375 593 1011
per richiedere informazioni dicendo che hai trovato il numero sulle pagine di Red Hot Cyber
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
A quanto pare, TA455 ha utilizzato trucchi simili in passato, fingendosi reclutatori sui social media, comprese foto false generate dall’intelligenza artificiale e impersonando persone esistenti. PwC ne ha parlato dettagliatamente nel suo rapporto.
ClearSky rileva che TA455 utilizza metodi simili al Lazarus Group della Corea del Nord, incluso il download di DLL attraverso siti Web falsi e profili LinkedIn. Ciò potrebbe indicare tentativi di confondere le indagini o uno scambio di strumenti tra gruppi.
Gli aggressori utilizzano attacchi in più fasi utilizzando e-mail di phishing mascherate da documenti di lavoro e archivi ZIP contenenti codice dannoso. Usano anche GitHub per nascondere i server di comando e controllo, consentendo loro di mascherare il traffico e aggirare la sicurezza.
Pertanto, i criminali informatici utilizzano sempre più spesso trucchi, copiando i metodi degli altri e confondendo i confini con gli attacchi provenienti da paesi diversi. Ciò ricorda una regola che vale anche per il settore della sicurezza informatica: fidarsi, ma verificare, soprattutto se l’offerta sembra troppo allettante
Copyright @ 2003 – 2024 RED HOT CYBER
PIVA 16821691009