I ricercatori del Threat Analysis Group (TAG) di Google sono entrati nel mirino degli APT nordcoreani in una nuova e audace campagna. Questi enigmatici attaccanti stanno dimostrando una maestria senza precedenti nell’utilizzare l’ingegneria sociale per ottenere l’accesso alle preziose informazioni dei ricercatori. Ma c’è di più: utilizzano un bug zero-day in un software misterioso per penetrare nei sistemi delle vittime. Scopri come operano e cosa ciò significa per la cybersecurity!
Questi astuti aggressori hanno perfezionato l’arte di creare account falsi su social media come X e Mastodon per stabilire rapporti fidati con i potenziali bersagli. Le conversazioni preparatorie possono durare mesi e ruotano attorno alla collaborazione su GitHub. Tuttavia, il colpo di scena arriva quando spostano la conversazione su app di messaggistica crittografata come Signal, WhatsApp o Wire. È lì che condividono un file dannoso con uno zero-day exploit. Scopri come hanno affinato il loro modus operandi e come gli esperti hanno chiuso le falle!
APT: un modus operandi noto ma difficilissimo da bloccare
Gli APT nordcoreani non sono nuovi nel trucco di attirare gli esperti di infosec in trappola. Questi misteriosi attaccanti avevano già fatto parlare di sé quando hanno tentato una campagna simile su GitHub a luglio 2023. Ma c’è di più: gli esperti di TAG li tengono d’occhio da ben due anni e mezzo! Hanno persino scoperto uno strumento Windows autonomo chiamato “GetSymbol” che poteva essere un potenziale vettore di infezione secondario. L’attacco è stato orchestrato proprio su GitHub. Sveliamo il loro percorso e i pericoli nascosti!
Gli APT nordcoreani non si limitano a un solo trucco. Oltre a usare l’ingegneria sociale, ora stanno utilizzando anche file LNK nelle email di phishing per installare backdoor che rubano dati preziosi e compiono atti dannosi sui sistemi delle vittime. Questi attaccanti sono insaziabili, e noi ti sveleremo tutti i dettagli su come operano e chi stanno colpendo!
Previsioni future
Le attività degli APT nordcoreani non si limitano ai ricercatori di sicurezza informatica. Ora prendono di mira anche il governo e l’industria della difesa russi. Cosa c’è dietro a questo intricato doppio gioco? Mentre sostengono la Russia nel conflitto con l’Ucraina, stanno anche rubando informazioni finanziato dal governo stesso. Ma non è tutto: Microsoft e SentinelOne hanno scoperto che Lazarus Group e ScarCruft hanno violato una società russa di ingegneria missilistica per saccheggiare informazioni vitali!
Tra novembre 2022 e gennaio 2023, questi misteriosi attaccanti hanno colpito un istituto di ricerca aerospaziale in Russia e numerosi obiettivi in tutto il mondo. Gli esperti ritengono che il governo nordcoreano sta pagando più APT contemporaneamente per rafforzare le capacità militari del paese. Le informazioni sottratte ai ricercatori di sicurezza potrebbero essere il tassello mancante per attacchi futuri. Scopri cosa sta succedendo dietro le quinte di questo thriller informatico!