I ricercatori di cybersecurity di Lab52: L’App ruba informazioni dai dispositivi mobile e le invia a un server in Russia. Sembra opera di Turla, ma non ci sono conferme.
Threat actor usano UEFI Implant della'azienda (con leggere varianti) per iniettare il malware MosaicRegressor e spiare le vittime con un framework multistage.
Pierguido Iezzi, co-fondatore di Swascan: L’APT, che opera da tempo in Medio Oriente anche con Hamas, sfrutta il malware Android/SpyC23.A attraverso finti app store Android.
L’esperto di cyber security JAMESWT: La catena d’infezione del malware parte dall’allegato .gz, lo stesso tipo di quello usato nelle mail da Uruguay e Arabia Saudita.
L’esperto di cyber security JAMESWT: Si vuole veicolare il malware tra le aziende con l’esca del falso ordine. L’allegato .gz è lo stesso tipo di quello usato nella mail dall’Uruguay.
L’esperto di cyber security reecDeep: Sfrutta reali conversazioni precedenti per diffondere il malware. La catena d’infezione si avvia tramite un file VBS nell’allegato.
L’esperto di cyber security JAMESWT: L’esca per distribuire il malware è una falsa fattura da una vera azienda. La catena d’infezione del trojan parte da un allegato .gz.
Gli esperti di cyber security di TG Soft: La catena d’infezione del malware si avvia aprendo l’allegato di una mail sulla presunta mancata consegna di una spedizione.
Gli esperti di cyber security di TG Soft: Le esche del phishing sono un falso ordine e presunti pagamenti di una fattura. La catena d’infezione del malware si attiva sempre aprendo gli allegati.
Gli esperti di cyber security di Yoroi ZLab: La campagna NIBBI è dello stesso attore degli attacchi precedenti, da Roma225 a Yakka. Usa il malware Agent Tesla e ha similitudini con l’APT Gorgon.