L’ ARMA DI CYBER SPIONAGGIO CHE PRENDE IL CONTROLLO DEI PC
redatto da Aryon Solutions | Cyber Security | 30 Giugno 2021
È stata scoperta una nuova backdoor nel software Windows, una “DLL” che è capace di raccogliere quasi tutte le informazioni desiderate dai pirati informatici e che può essere eseguita da remoto sui pc delle vittime, consentendo agli attaccanti di effettuare cyber spionaggio live, mediante:
- azioni di esecuzione screenshot,
- modifica di file
- esecuzione di comandi
La backdoor è stata utilizzata da un gruppo di attacco di sospetta nazionalità cinese che ha iniziato una campagna di cyber spionaggio verso un governo del sud est asiatico.
L’avvio dell’attacco avviene mediante invio di documenti contenenti un malware usato come arma di spionaggio, a più membri del gruppo preso di mira, impersonando altre entità all’interno dello stesso.
LA CATENA DI INFEZIONE è COMPOSTA DEI SEGUENTI PASSI:
- ricezione da parte della potenziale vittima di una e-mail (spear phishing) con un documento allegato in formato “.doc”, presumibilmente inviato da un contatto fidato;
- attuazione di una serie di eventi che attivano la backdoor, a partire dall’apertura del documento da parte della vittima;
- la backdoor raccoglie tutte le informazioni a cui gli attaccanti sono interessati, compresa la lista dei file e dei programmi attivi sul PC, permettendo l’accesso remoto.
CARATTERISTICHE DELLA NUOVA BACKDOOR
La nuova backdoor rappresenta un tipo di malware che nega le normali procedure di autenticazione per accedere a un sistema. Con il nome interno “VictoryDll_x86.dll”, il modulo backdoor contiene malware personalizzato equipaggiato delle seguenti capacità fino ad oggi appurate:
- cancellare/creare/rinominare/leggere/scrivere file e ottenere gli accessi dei file;
- ottenere informazioni su processi e servizi;
- catturare screenshot;
- eseguire comandi attraverso cmd.exe;
- creare/terminare un processo;
- ottenere tabelle TCP/UDP;
- carpire informazioni sulle chiavi di registro;
- conoscere i titoli di tutte le finestre di primo livello;
- avere informazioni sul computer personale della vittima – nome del computer, nome utente, indirizzo del gateway, dati dell’adattatore, versione di Windows (versione maggiore/minore e numero di build) e tipo di utente;
- spegnere il PC;
Archivi
- Novembre 2023
- Aprile 2023
- Luglio 2022
- Maggio 2022
- Aprile 2022
- Marzo 2022
- Febbraio 2022
- Gennaio 2022
- Dicembre 2021
- Ottobre 2021
- Settembre 2021
- Agosto 2021
- Luglio 2021
- Giugno 2021
- Maggio 2021
- Aprile 2021
- Marzo 2021
- Febbraio 2021
- Gennaio 2021
- Dicembre 2020
- Novembre 2020
- Ottobre 2020
- Settembre 2020
- Agosto 2020
- Luglio 2020
- Giugno 2020
- Maggio 2020
- Aprile 2020
- Marzo 2020
- Febbraio 2020