Ancora cyber spionaggio contro l’Italia, grazie ad attacchi hacker

Sload Yoroi Cybazezlab Certego Th163 Cybersecurity Italia Cyberspionaggio Apt29 Malware Malspam Cert Infosec Uk Russia Apt29 Cozybear Attaccohacker

Yoroi- Cybaze ZLab: un gruppo del cybercrime, soprannominato “Sload-ITA” (alias TH-163), ha preso di mira l’Italia con una campagna malspam a scopo di spionaggio cibernetico. Usando TTP simili a quelle impiegate recentemente dagli hacker russi di APT29 (Cozy Bear) contro bersagli legati agli USA

Un gruppo del cybercrime ha perso di mira l’Italia con una campagna di malspam a scopo di cyber spionaggio. Lo hanno scoperto gli esperti di cyber security di Certego e del CERT-PA. Poi, Yoroi- Cybaze ZLab ha compiuto ulteriori analisi, soprannominandolo “Sload-ITA” (alias TH-163). Non è chiaro se sia opera di una formazione di criminali informatici preesistenti, che ha cambiato le sue tattiche, tecniche e procedure (TTP), o di un nuovo gruppo di hacker malevoli. Ciò che è certo, invece, è che gli attacchi cibernetici hanno schemi simili ad alcune cyber aggressioni contro bersagli nel Regno Unito, documentate dai ricercatori di SANS ICS lo scorso maggio. Peraltro, i link all’interno delle mail inviate alle vittime sono state “armate” in modo similare a quelle usate dagli hacker di stato russi APT29 (alias Cozy Bear, Office Monkeys, CozyCar, The Dukes e CozyDuke) nei recenti attacchi informatici a numerose entità Usa.

Il malware impiegato dai criminali informatici serve per azioni di cyber spionaggio. Ecco di cosa è capace

Anche in questo caso, come nei recenti attacchi in Italia, rivolti contro la Pubblica Amministrazione legata al Comitato Interministeriale per la Sicurezza della Repubblica (CISR), l’obiettivo degli attori malevoli è il cyber spionaggio. Yoroi – Cybaze ZLab, ha infatti rilevato che il malware usato dai criminali informatici ha caratteristiche e capacità ben specifiche. Innanzitutto raccoglie informazioni sulla macchina della vittima. Dal dominio alla DNS cache, passando per i processi, l’IP e l’architettura del sistema. Inoltre, periodicamente cattura screenshot dei desktop, cerca il folder Microsoft Outlook e informazioni sulla presenza di file “*.ICA“ Citrix nella user directory. Le informazioni vengono inviate a server di comando e controllo (C2). Successivamente, l’aggressore invia un ulteriore codice powershell. Questo comportamento è una caratteristica dei Trojan/ Spyware/ Malware, spesso usati come testa di ponte per ricognizioni di host compromessi. Inoltre, potenzialmente anche nelle prime fasi di cyber attacchi più complessi.

Photo Credits: Yoroi – CybazeZLab