Cyberteam

  • Home
  • Attività
    • Network Security Assessment
    • Password Hacking
      • Password Intelligence
      • Password Security Management
      • Multi-Factor Authentication
    • Cyber Intelligence
    • Vulnerability Assessment
    • Penetration Testing
    • Spear Phishing
    • Academy
    • Database Health Check
    • Legal 4 Tech
      • Legal 4 Tech
      • AGID/GDPR
    • Digital Forensics
  • Ethical Hacker
    • Lavora con noi
    • Bibliografie hacker
  • CyT per il sociale
  • Contatti
  • CyberNews

Offerte di lavoro false
mirate per distribuire backdoor

Offerte di lavoro false
mirate per distribuire backdoor

da Maurizio / mercoledì, 01 Giugno 2022 / Pubblicato il Cyber Security, Dark Web, HACKER, Ransomware

Si ritiene che la banda di hacker Golden Chickens venda la sua backdoor more_eggs per campagne di spear phishing eseguite utilizzando le informazioni raccolte dai profili LinkedIn delle vittime.

Un gruppo di criminali dietro una backdoor furtiva conosciuta come more_eggs sta prendendo di mira i professionisti con false offerte di lavoro su misura per loro in base alle informazioni dai loro profili LinkedIn.

La banda successivamente vende l’accesso ai sistemi infettati dalla backdoor ad altri sofisticati gruppi di criminalità informatica tra cui FIN6, Evilnum e Cobalt Group che sono noti per prendere di mira organizzazioni di vari settori.

Spearfishing con le informazioni di Linkedin

In un recente attacco rilevato dai ricercatori eSentire, gli hacker hanno preso di mira un professionista che lavora nel settore della tecnologia sanitaria con un’e-mail di phishing che imitava un’offerta di lavoro per una posizione identica a quella che aveva elencato nella pagina del proprio profilo LinkedIn.

Le e-mail non autorizzate contengono un file zip con il nome della posizione di lavoro offerta. Se aperto, avvia un componente dannoso noto come VenomLNK, che funge da primo stadio dell’infezione more_eggs.

“Golden Chickens vende la backdoor con un accordo MaaS (malware-as-a-service) ad altri criminali informatici“, ha affermato il team di eSentire nel loro rapporto. “Una volta che more_eggs è sul sistema informatico della vittima, gli hacker possono entrare ed infettare il sistema con qualsiasi tipo di malware: ransomware, furto di credenziali, malware o semplicemente utilizzare la backdoor come punto d’appoggio nella rete della vittima per esfiltrare i dati.“

Una volta eseguito sul computer di una vittima, VenomLNK utilizza Windows Management Instrumentation (WMI), un sottosistema di PowerShell, per distribuire la seconda fase dell’attacco: un caricatore di malware noto come TerraLoader.

TerraLoader dirotta due processi Windows legittimi, cmstp e regsvr32, per caricare il payload finale chiamato TerraPreter, che viene scaricato dai server ospitati su Amazon AWS per eludere possibili filtri di rete e viene distribuito come controllo ActiveX.
ActiveX è un framework che consente l’esecuzione di codice tramite Internet Explorer ed è supportato nativamente su Windows.

TerraLoader rilascia e apre anche un documento Microsoft Word progettato per sembrare una domanda di lavoro legittima. Viene utilizzato solo come esca in modo che l’utente non diventi sospettoso dopo aver aperto l’allegato e-mail.

Il payload TerraPreter segnala al server degli aggressori che è stato distribuito e che è pronto a ricevere comandi. Gli aggressori possono quindi utilizzarlo per ottenere l’accesso pratico al computer vittima, distribuire plug-in o payload aggiuntivi.

“More_eggs mantiene un profilo furtivo abusando dei processi Windows legittimi e alimenta tali istruzioni di processo tramite file di script“, hanno affermato i ricercatori di eSentire. “nnoltre, le campagne che utilizzano l’offerta MaaS sembrano essere scarse e selettive rispetto alle tipiche reti di distribuzione di malspam“.

I potenti clienti di Golden Chickens

I Golden Chickens sembrano soddisfare solo un gruppo selezionato di attaccanti di alto profilo. Uno dei suoi clienti è probabilmente FIN6, un noto gruppo di criminalità informatica finanziaria che esiste almeno dal 2014. Questo gruppo è noto per prendere di mira i sistemi di punti vendita fisici e, più recentemente, i sistemi di pagamento online per rubare i dati delle carte e venderli sul mercato nero.

Un altro attore di minacce noto per l’utilizzo di more_eggs è Evilnum , un gruppo noto per aver preso di mira le società di tecnologia finanziaria e le piattaforme di compravendita di azioni dal 2018. Evilnum è anche un sospetto gruppo mercenario che vende servizi di hacker a noleggio. Secondo eSentire, gli aggressori di Evilnum effettuano anche attacchi di spear phishing ai dipendenti delle aziende che prendono di mira con allegati zip dannosi che a volte contengono la backdoor more_eggs.

Un terzo attore del crimine informatico che è stato segnalato per utilizzare more_eggs è il gruppo Cobalt , noto anche come Carbanak. Questo gruppo è specializzato nel furto di denaro da banche e altre organizzazioni finanziarie ed è noto per la sua profonda capacità di esplorazione e pazienza: il gruppo può trascorrere mesi all’interno delle reti delle vittime analizzando le loro applicazioni e flussi di lavoro personalizzati prima di colpire.

Dato il tipo di gruppi che usano more_eggs e la loro raffinatezza, un’infezione con questa backdoor su una rete dovrebbe essere presa molto seriamente e dovrebbe portare a un’indagine forense completa. Gli aggressori potrebbero essersi già diffusi a sistemi critici e si stanno preparando a lanciare un attacco più serio o stanno esfiltrando informazioni sensibili.

Maurizio

Problem Solver e Cyber Security Advisor, si occupa di sicurezza informatica e di Ethical Hacking da oltre 20 anni.

Da diversi anni tiene corsi di Ethical Hacking e consapevolezza della sicurezza informatica formando centinaia di persone nell’IT e migliaia di risorse aziendali.

Tre caratteristiche che lo distinguono:

La passione/ossessione per le password
Ha chiamato Hash anche il suo gatto
Il papillon

Colore preferito? Verde, ovviamente!

Condividi
Taggato in: Backdoor, IAB, Linkedin, more_egges, ransomware

Che altro puoi leggere

Shutterfly rivela la violazione dei dati
dopo l’attacco del ransomware Conti
Parrot: il servizio di web redirect dannoso infetta
16.500 siti per inviare malware
T-Mobile data breach:
esposti i numeri di telefono

Categorie

  • Analisi Tecnica
  • Cyber Security
  • Dark Web
  • Data Leak
  • GDPR
  • HACKER
  • Industria 4.0
  • IOT
  • MongoDB
  • Password
  • Ransomware
  • Smartworking

Articoli recenti

  • password intelligence

    Controllo di sicurezza: 13.000 password del governo USA violate in 90 minuti

    Poiché i dipendenti del Dipartimento degli Inte...
  • Fuga di dati: circola un database con 235 milioni di account Twitter

    Dopo che a dicembre è stato messo in vendita un...
  • Codice dannoso su PyPI: attacco alla catena di distribuzione delle build notturne di PyTorch

    Chi ha recentemente installato PyTorch-nightly ...
  • Il ransomware Magniber ora infetta gli utenti Windows
    tramite file JavaScript

    Una recente campagna dannosa che ha distribuito...
  • GIFShell – Nuovo attacco che consente agli aggressori di rubare
    i dati utilizzando una GIF dentro Microsoft Teams

    Una nuova tecnica di attacco chiamata “GIFShell...
  • SOCIAL

© 2020.Tutti i diritti riservati. EURO INFORMATICA SPA - Viale della Repubblica 63/4, 36066 Sandrigo (VI)
P. IVA/CF 02367910243 - Cap Soc. 100.000 Euro i.v. - REA 0226275 - VI - Reg. Imp. 30100-VI-116

COOKIE POLICY - PRIVACY POLICY

TORNA SU
  • Sei sotto attacco?