skip to Main Content

Cyber Espionage, Italia sotto attacco da APT 29 con EnvyScout

Analisi tecnica del Malware Hunter JAMESWT

Italia sotto attacco da APT 29 con EnvyScout. Falsa mail del governo sui vaccini contiene pdf con LNK, che scarica ISO. Al suo interno ci sono link e dll malevoli, che avviano l’infezione del malware

Il gruppo APT 29 (NOBELIUM, The Dukes o Cozy Bear) ha preso di mira l’Italia con un malware: presumibilmente EnvyScout. L’esca è una falsa email del governo sull’obbligo di compilare un questionario sulla vaccinazione anti Covid-19 in relazione alla prevenzione di una nuova ondata di infezioni.

 

Nell’allegato pdf c’è un link che punta a una pagina html e scarica la ISO con dentro un LNK e dll malevoli. Aprendo il file LNK, viene eseguito il contenuto della iso e la macchina è infettata con il malware.

L’APT, in attività da anni, è ritenuta legata all’intelligence. Tra le sue caratteristiche c’è l’uso di malware e tool personalizzati come Ceeloader, usato per attaccare fornitori di servizi cloud e gestiti (MSP).

 

Back To Top