Ci aggiorniamo su Killnet e indaghiamo Polonium
Buon sabato e ben ritrovato caro cyber User.
In breve oggi ti parlo di:
Ultime attività di Killnet
Il gruppo Polonium e le operazioni con Creep
Ultime attività di Killnet
È da un po' di mesi che non seguiamo le attività e gli aggiornamenti del gruppo pro Cremlino, nato in occasione della propaganda cyber russa dopo l'invasione dell'Ucraina di febbraio 2022, qui ne evidenzio le ultime recenti attività.
L'Ufficio per la sicurezza interna delle Hawaii ha rilasciato una dichiarazione pubblica in cui afferma di essere impegnato a indagare su un attacco Ddos ai siti Web dell'aeroporto che ha interrotto i portali digitali per alcune ore. Come comunicato, gli sforzi di risposta intrapresi dall'Office of Enterprise Technology Services (ETS) hanno prodotto risultati positivi, in effetti tutti i 15 siti Web degli aeroporti delle Hawaii sono stati riportati online entro poche ore dall'attacco di Russian Killnet.
Joe Biden, ha esortato gli enti pubblici e privati a rafforzare la loro vigilanza contro gli attacchi informatici. Soprattutto, dopo che la Russia ha emesso un avvertimento secondo il quale intensificherà i suoi sforzi di guerra informatica e potrebbe anche dedicarsi alla guerra nucleare se la situazione dovesse richiederlo.
JP Morgan Chase ha preso atto della notizia secondo la quale l'infrastruttura di rete della banca regnava sotto l'influenza di un attacco informatico lanciato da Killnet. Tuttavia, ha rassicurato sul fatto che nessuno dei clienti ha subito danni derivanti dall'hacking e l'incidente è stato contenuto in una piccola parte del suo ambiente aziendale.
Anche la notizia di Toyota, arriva nello scenario della cyberwar propagandistica dei gruppi schierati pro Russia, un data breach sul colosso automobilistico giapponese. In una dichiarazione rilasciata questa settimana, la casa automobilistica ha ammesso che gli hacker potrebbero aver avuto accesso ai dati personali di quasi 300.000 clienti, poiché le informazioni non sono state protette adeguatamente sulla piattaforma GitHub per quasi 5 anni.
Le informazioni sono quindi fuoriuscite, gli hacker hanno avuto accesso a quell'indirizzo e-mail e ai numeri di identificazione del cliente di oltre 297.000 persone che hanno utilizzato il sistema T-Connect e altri servizi di analisi per connettersi in modo smart da luglio 2017. Ora, una parte dei dati rubati è disponibile sul Web e veniva promosso su un handle di Twitter che controlla Killnet.
Poiché la società non archivia mai record come numeri di telefono e dettagli delle carte dei suoi clienti, si presume che le possibilità di tale perdita di informazioni siano scarse di rilevanza, cosa che invece non si può dire per i dati personali dei clienti, che poi sarebbero anche i più difficili da cambiare (se rubati).
Fonti non confermate affermano che un fornitore di servizi di sviluppo web privato ha caricato accidentalmente un codice sorgente T-Connect su GitHub a metà del 2017 e ciò avrebbe aiutato all'hacking contro Toyota.
Il gruppo Polonium e le operazioni con Creep
I ricercatori hanno identificato che il gruppo di hacker POLONIUM, con sede in Libano, ha utilizzato un'ampia gamma di malware auto-prodotti durante i suoi attacchi alle organizzazioni israeliane. Il gruppo è noto per gli attacchi di spionaggio puro, senza alcun interesse per la crittografia o la cancellazione dei dati.
Secondo i ricercatori ESET, il gruppo ha utilizzato diverse backdoor personalizzate contro un'ampia gamma di organizzazioni israeliane dei settori delle comunicazioni, assicurazioni, ingegneria, IT, diritto, branding e marketing e servizi sociali.
Da settembre 2021 ha utilizzato sette o più strumenti, inclusi quattro nuovi malware backdoor chiamati MegaCreep, PapaCreep, TechnoCreep, FlipCreep.
Inoltre, il gruppo utilizza diversi strumenti open source, inclusi strumenti standard e software personalizzati, per il keylogging, l'acquisizione di schermate, il proxy inverso e la registrazione web.
L'infrastruttura di rete utilizzata dagli aggressori è una rete privata protetta da server privati virtuali (VPS) o siti Web autentici presi di mira dal gruppo. Questo aiuta a mantenere nascoste le sue tracce.
I ricercatori sospettano che gli aggressori abbiano ottenuto l'accesso iniziale alle reti di destinazione sfruttando le credenziali dell'account VPN di Fortinet, che sono state compromesse durante una violazione nel settembre 2021.
Le backdoor utilizzate dal gruppo POLONIUM hanno funzionalità diverse, come keylogging, acquisire schermate, esfiltrare file, eseguire comandi e installare malware aggiuntivo.
CreepyDrive è una backdoor di PowerShell che utilizza servizi cloud pubblici come OneDrive e Dropbox per C&C.
CreepySnail è una backdoor di PowerShell che esegue comandi arbitrari ricevuti dagli aggressori sul dispositivo infetto.
DeepCreep è una backdoor C# che accetta comandi scritti in un file di testo archiviato negli account Dropbox e, in base alle istruzioni, carica o scarica file da e verso tali account.
MegaCreep accetta comandi scritti in un file di testo archiviato nei servizi di archiviazione file Mega e, in base alle istruzioni, carica o scarica file da e verso tali account.
Inoltre, FlipCreep, TechnoCreep e PapaCreep ricevono comandi dai server sotto il controllo dell'attaccante. Inoltre, il gruppo ha ulteriormente utilizzato alcuni strumenti personalizzati per spiare i suoi obiettivi.
POLONIUM ha efficacemente migliorato il suo malware nel tempo. Con l'abuso dei servizi cloud pubblici, come OneDrive, Mega e Dropbox, gli hacker stanno segnalando importanti cambiamenti nella sua infrastruttura di attacco. Inoltre, in questo momento questo è focalizzato su obiettivi israeliani, tuttavia, gli esperti sospettano che questo possa cambiare nel prossimo futuro. Pertanto questo gruppo dovrebbe essere costantemente monitorato dalle comunità di sicurezza.
Anche quest'oggi abbiamo concluso, ti ringrazio per il tempo e l'attenzione che mi hai dedicato, augurandoti buon fine settimana, ti rimando al mio blog e alla prossima settimana per un nuovo appuntamento con NINAsec.