Malware RoarBAT individuato dal CERT ucraino

russia ukraine cyberattacks

Il Computer Emergency Response Team of Ukraine (CERT-UA) ha segnalato una campagna di phishing in corso che utilizza esche a tema fatture per diffondere il malware SmokeLoader. Le e-mail vengono inviate da account compromessi e contengono un archivio ZIP che in realtà è un file poliglotta con un documento esca e un file JavaScript. Questo file viene utilizzato per eseguire il malware SmokeLoader, il cui obiettivo è scaricare malware più efficaci sui sistemi infetti. CERT-UA ha attribuito questa attività a UAC-0006, un attore di minacce motivato finanziariamente che cerca di rubare credenziali e trasferire fondi senza autorizzazione.

Inoltre, l'autorità ucraina per la sicurezza informatica ha rivelato un attacco distruttivo contro organizzazioni del settore pubblico effettuato da UAC-0165, un gruppo che CERT-UA ha moderatamente attribuito al gruppo Sandworm. L'attacco ha coinvolto un malware wiper basato su script batch chiamato RoarBAT che ha cercato in modo ricorsivo file con estensioni specifiche e li ha eliminati utilizzando l'utilità WinRAR legittima. Il gruppo ha anche compromesso i sistemi Linux utilizzando uno script bash che sovrascriveva i file con zero byte per evitare il rilevamento.

L'attacco è stato facilitato dalla mancanza di MFA durante le connessioni remote alla VPN. L'impatto distruttivo dell'attacco ha causato danni ai computer elettronici, alle apparecchiature dei server, alle postazioni di lavoro automatizzate degli utenti e ai sistemi di archiviazione dei dati.

Cosa sono gli attori di minacce persistenti avanzate?

Gli attori di Advanced Persistent Threat (APT) sono aggressori informatici altamente qualificati e motivati che conducono campagne di spionaggio informatico mirate a lungo termine contro obiettivi specifici come agenzie governative, infrastrutture critiche o grandi aziende. Questi aggressori utilizzano tecniche sofisticate per ottenere l'accesso non autorizzato a informazioni e sistemi sensibili, con l'obiettivo di rubare proprietà intellettuale di valore, informazioni classificate o dati finanziari.

Gli APT in genere utilizzano una combinazione di tattiche, come spear-phishing, ingegneria sociale, malware e strumenti di accesso remoto per ottenere l'accesso a sistemi mirati. Una volta ottenuto l'accesso, gli attori APT possono stabilire un punto d'appoggio nella rete, spostarsi lateralmente all'interno dell'ambiente di destinazione e rimanere inosservati per lunghi periodi di tempo mentre esfiltrano i dati.

Gli attori APT sono spesso sponsorizzati dallo stato, con il sostegno di stati-nazione o altre grandi organizzazioni che dispongono di risorse significative per supportare le loro operazioni informatiche. Tuttavia, possono anche essere motivati finanziariamente, lavorando per conto di organizzazioni criminali che cercano di rubare dati preziosi a scopo di lucro.

La difesa dagli attacchi APT richiede un approccio sfaccettato che includa funzionalità avanzate di rilevamento e risposta alle minacce, solide pratiche igieniche di sicurezza e monitoraggio continuo dell'attività di rete per rilevare eventuali segnali di comportamenti sospetti.

May 10, 2023
Caricamento in corso...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.