skip to Main Content

APT28 diffonde nuova variante del malware Lojax (alias Double-Agent)

APT28 Diffonde Nuova Variante Del Malware Lojax (alias Double-Agent)

Gli esperti di cyber security di Cybaze ZLab – Yoroi: Gli hacker di stato russi APT28 hanno diffuso una nuova variante del malware Lojax (alias Double Agent). Lo usano per prendere di mira governi nei Balcani e in Europa

C’è una nuova variante in circolazione del famigerato malware Lojax (alias Double-Agent). Lo hanno scoperto gli esperti di cyber security di Cybaze ZLab – Yoroi. È l’ultima versione del noto rootkit Double-Agent, precedentemente analizzato dai ricercatori ESET. Gli hacker di stato russi APT28 (alias Sednit, Fancy Bear, Pawn Storm, Sofacy e STRONTIUM) lo usano per colpire organizzazioni governative nei Balcani, nell’Europa centrale e orientale, impiegandone diverse componenti. Secondo Security Affairs, il comportamento della nuova variante sembra essere simile alle versioni precedenti e sfrutta il software legittimo “Absolute Lojack” per garantire la sua persistenza sul sistema infetto. Lojack è un software anti-furto e localizzazione, sviluppato da Absolute Software Corporation ed è preinstallato nell’immagine BIOS di diverse macchine Lenovo, HP, Dell, Fujitsu, Panasonic, Toshiba e Asus. In passato, il software era noto come “Computrace”.

Il codice malevolo utilizza un indirizzo C2 sconosciuto finora alla comunità e alle piattaforme di threat intelligence

Nonostante i suoi scopi legittimi, il software Absolute Lojack agisce come un rootkit (più precisamente come un bootkit): la sua componente BIOS costringe la scrittura di un piccolo agente chiamato “rpcnetp.exe” nella cartella di sistema. Questo contatta periodicamente il server Absolute e invia a esso la posizione corrente della macchina. Quando il malware di APT28 si installa, si copia in una nuova DLL: il file finale è lo stesso di quello iniziale, ad eccezione di alcuni flag di intestazione. Dopo ciò, il codice malevolo cerca alcuni componenti appartenenti al software legittimo, che dovrebbero essere già installati nella macchina, con i quali tenta di stabilire una connessione tramite il canale RPC. Se i componenti Absolute Lojack non vengono trovati, il malware si auto-uccide. Yoroi ha reso noto nel suo blog che l’indirizzo C2 è sconosciuto finora alla comunità e alle piattaforme di threat intelligence. L’indirizzo è “regvirt.com”.

Il post di Security Affairs

Il post sul blog di Yokoi

L’articolo di Difesa e Sicurezza sulla scoperta di ESET

Back To Top