skip to Main Content

Le aziende automotive in Italia colpite dalla campagna di cyber spionaggio Roma225

Le Aziende Automotive In Italia Colpite Dalla Campagna Di Cyber Spionaggio Roma225

Le aziende del settore automotive in Italia sono state colpite dalla campagna di cyber spionaggio Roma225 con il RAT Revenge. Gli esperti di cyber security di Cybaze-Yoroi ZLab: Il malware è stato diffuso via mail che impersonavano un partner di  un maxi studio legale brasiliano

Le aziende del settore automotive in Italia sono state recentemente colpite da una campagna di cyber spionaggio che sfrutta il Remote Access Tool (RAT) Revenge. Lo hanno confermato i ricercatori di cyber security di Cybaze-Yoroi ZLab, che hanno condotto un’indagine a riguardo. Il malware è stato diffuso attraverso email che cercavano di impersonare un partner anziano di uno dei maggiori studi legali brasiliani: “Veirano Advogados”. Il testo, peraltro, era scritto senza errori. All’interno del messaggio, però, era nascosto un documento PowerPoint, “armato” con il codice macro VBA. Questo faceva partire l’esecuzione di un tool, che poi portava all’istallazione del payload malevolo: il RAT Revenge, che da subito cominciava a comunicare con i server di comando e controllo (C2). E’ stato dato il nome “Roma225” alla campagna malevola a seguito della ripetuta sequenza di caratteri usati come separatori tra i data fields.

Non c’è certezza su chi siano i criminali informatici dietro agli attacchi hacker. Ci sono, comunque, similitudini con il modus operandi dell’APT Gorgon Group

Non c’è certezza su chi siano i criminali informatici che abbiano preso di mira le aziende dell’automotive in Italia. Gli specialisti di cyber security di Yoroi ricordano che in passato varianti dell RAT Revenge sono state usate da attori malevoli (APT) come il Gorgon Group, scoperto e tracciato dalla Unit 42 di Palo Alto Networks. La formazione di hacker è nota, peraltro, per aver condotto campagne di spionaggio cibernetico contro organizzazioni governative nel Regno Unito, Spagna, Russia e Stati Uniti. Ma il codice sorgente del malware è di dominio pubblico ormai da alcuni anni. Di conseguenza, chiunque potrebbe averlo usato per creare nuovi malware più o meno sofisticati. C’è, comunque, un elemento in comune con il Gorgon Group: le TTP. Sia l’APT sia gli aggressori in Italia hanno usato un’infrastruttura condivisa come drop-server e un RAT popolare come backdoor finale.

Back To Top