Iscriviti al nostro nuovo canale YouTube, attiva le notifiche e rimani aggiornato su tutti i nuovi video

Kaspersky svela CommonMagic, la campagna ATP che colpisce le aziende nella zona del conflitto

Kaspersky svela CommonMagic, la campagna ATP che colpisce le aziende nella zona del conflitto

Una nuova campagna di attacco che prende di mira aziende che operano nel settore agricolo, amministrativo e dei trasporti nelle zone di Donetsk, Luhansk e Crimea. Secondi i ricercatori, ci sono delle motivazioni geopolitiche dietro questi attacchi

di pubblicata il , alle 14:01 nel canale Security
Kaspersky
 

CommonMagic è una campagna di ATP (Advanced Persistent Threat) che sta prendendo di mira enti e imprese che operano nella zona del conflitto fra Russia e Ucraina, in particolare realtà attive nei settori amministrativo, agricolo e dei trasporti e situate nelle aree di Donetsk, Luhansk e Crimea. La campagna è stata scoperta dai ricercatori di Kaspersky nell'ottobre 2022, ma è attiva da settembre 2021, quindi prima che scoppiasse la guerra

CommonMagic, la nuova campagna APT scoperta da Kaspersky

CommonMagic è un nuovo framework che secondo i ricercatori di Kaspersky è in grado di sottrarre dati, anche dai dispositivi USB, e inviarli agli attaccanti. Alcuni di questi attacchi sfruttano invece la backdoor PowerMagic. 

CommonMagic_backdoor

L'accesso iniziale ai sistemi è ottenuto tramite campagne di spear phishing, cioè mail di phishing mirate a specifici bersagli. Chi cascava nella trappola, si trovava a scaricare un archivio .zip che installava per l'appunto la backdoor PowerMagic. Per confondere le vittime, nel file .zip erano presenti anche documenti leciti, così da farle sembrare normali scambi di documenti e non far emergere sospetti.

Una volta installata la backdoor PowerMagic, questa riceve comandi da un server sotto il controllo degli attaccanti che, probabilmente, lo hanno sfruttato per veicolare CommonMagic. I ricercatori, però, sottolineano come non sia ancora chiaro come avvenga precisamente l'infezione.

CommonMagic è un framework composto da più moduli: è in grado di effettuare uno screenshot dello schermo ogni tre secondi e inviarlo all'attaccante, ma anche di copiare file dai dispositivi USB collegati al PC violato. 

CommonMagic_backdoo

Secondo i ricercatori di Kaspersky, "la limitata tipologia di vittime e il tema degli attacchi suggeriscono che gli attaccanti hanno probabilmente un interesse specifico per la situazione geopolitica nella regione della crisi".

Ulteriori informazioni su questo APT sono disponibili a questo indirizzo.

La situazione geopolitica influenza sempre il panorama delle minacce informatiche e porta all’emergere di nuove sfide", ha commentato Leonid Bezverzhenko, Security Researcher di Kaspersky’s Global Research and Analysis Team (GReAT). "Da tempo monitoriamo le attività legate al conflitto tra Russia e Ucraina e questa è una delle nostre ultime scoperte. Sebbene il malware e le tecniche impiegate nella campagna CommonMagic non siano particolarmente sofisticate, l’uso del cloud storage come infrastruttura di comando e controllo è degno di nota. Continueremo le nostre indagini e speriamo di poter condividere ulteriori informazioni su questa campagna”.

2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Sandro kensan21 Marzo 2023, 17:25 #1
Yankee?
alexfri21 Marzo 2023, 18:37 #2
Sembra che le tastiere le abbiano solo i Russi, ma perche non gli rendiamo pan per focaccia??

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^