Proofpoint ha condotto una ricerca sul nuovo attacco del gruppo iraniano di cybercriminali TA453, evidenziando infezioni LNK e malware per Mac. Il gruppo sta diffondendo un nuovo attacco dalla metà di maggio 2023, attraverso una conversazione esca benigna.
Nuovo attacco malware di TA453: cosa ha scoperto Proofpoint
Il gruppo cybercriminale TA453, ha continuato ad adattare e migliorare i propri malware, diffondendo nuovi tipi di file ed espandendosi ad altri sistemi operativi. Di recente, Proofpoint ha condotto un’indagine con la collaborazione dei principali partner della community di protezione per introdurre il lavoro di TA453. Durante la ricerca, ha identificato un attacco mirato ai Mac, oltre a catene di infezione LNK. L’obiettivo resta lo stesso: introdursi abusivamente e in modo non autorizzato negli ambienti target.
Proteggi i tuoi dati con Bitdefender, Leader in Cybersecurity
Come agisce il nuovo malware
Noto anche come Charming Kitten, APT42, Mint Sandstorm, Yellow Garuda, il gruppo iraniano TA453 ha iniziato la nuova campagna di attacchi a metà maggio 2023. Attraverso una conversazione esca benigna, i cybercriminali si fingevano un senior fellow del Royal United Services Institute (RUSI). L’e-mail chiedeva un riscontro sul progetto “Iran in the Global Security Context”, chiedendo il permesso di inviare una bozza per la revisione. Il messaggio includeva anche riferimenti alla partecipazione di noti esperti di sicurezza nucleare, che tra l’altro TA453 aveva precedentemente impersonato.
Per distribuire una catena di infezione innovativa, TA453 ha utilizzato una serie di cloud hosting provider in grado di implementare backdoor PowerShell GorjolEcho. Ha quindi effettuato il porting del proprio malware e lanciato una catena di infezione per Apple, che Proofpoint ha definito “NokNok”.
- ESET Smart Security Premium è una tecnologia antivirus multilivello di categoria superiore che protegge i tuoi...
- La tecnologia di LiveGuard è una funzionalità che intercetta, identifica e blocca minacce informatiche nuove, cioè...
- La tecnologia di Password Manager è una funzionalità che archivia e organizza le password, compila automaticamente i...
L’approccio benigno: una conversazione innocua
TA453 continua ad utilizzare messaggi benevoli per colpire esperti di affari e sicurezza nucleare in Medio Oriente. Dalle osservazioni recenti, pare che il gruppo prenda di mira soprattutto gli esperti che supportano alcune politiche estere. Per stabilire un rapporto di fiducia ed entrare in contatto con gli obiettivi, TA453 interpreta più figure di rilievo. Secondo Proofpoint, il gruppo avrebbe creato una serie di account ad hoc gestiti da un attore in grado di simulare esperti noti, escludendo l’ipotesi di account compromessi.
Dopo l’interazione benevola via e-mail, TA453 fornisce un link dannoso a un macro di Google Script, che reindirizza ad un URL di Dropbox contenente un file .rar. L’utilizzo del file .rar e di uno LNK per la distribuzione del malware è ciò che differenzia il nuovo attacco di TA453. Nonostante queste differenze, Proofpoint attribuisce con elevata sicurezza questa campagna al noto gruppo cybercriminale. L’ipotesi più acclamata è che TA453 operi a sostegno del Corpo delle Guardie Rivoluzionarie Islamiche (IRGC), in particolare dell’IRGC Intelligence Organization (IRGC-IO).
- McAfee Total Protection offre protezione tutto in uno - Antivirus, sicurezza e protezione della privacy e...
- Verifica l’integrità della tua protezione online - Il nostro punteggio di protezione, unico nel settore, identifica...
- Monitora i tuoi dati personali sul Dark Web - In caso di esposizione dei tuoi dati, ti avvertiamo affinché tu possa...
Ultimo aggiornamento 2024-10-06 / Link di affiliazione / Immagini da Amazon Product Advertising API
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techprincess
🎮 Che impatto avranno le elezioni americane sui videogiochi?
🚘 I gadget più strani delle case automobilistiche
🇨🇳 Un gruppo di ricercatori cinesi ha sviluppato un modello di IA per uso militare basato su Llama di Meta
🔍 ChatGPT si aggiorna e ora naviga sul web
Ma lo sai che abbiamo un sacco di newsletter?
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!