Kaspersky svela CommonMagic, la campagna ATP che colpisce le aziende nella zona del conflitto
di Alberto Falchi pubblicata il 21 Marzo 2023, alle 14:01 nel canale Security
Una nuova campagna di attacco che prende di mira aziende che operano nel settore agricolo, amministrativo e dei trasporti nelle zone di Donetsk, Luhansk e Crimea. Secondi i ricercatori, ci sono delle motivazioni geopolitiche dietro questi attacchi
CommonMagic è una campagna di ATP (Advanced Persistent Threat) che sta prendendo di mira enti e imprese che operano nella zona del conflitto fra Russia e Ucraina, in particolare realtà attive nei settori amministrativo, agricolo e dei trasporti e situate nelle aree di Donetsk, Luhansk e Crimea. La campagna è stata scoperta dai ricercatori di Kaspersky nell'ottobre 2022, ma è attiva da settembre 2021, quindi prima che scoppiasse la guerra.
CommonMagic, la nuova campagna APT scoperta da Kaspersky
CommonMagic è un nuovo framework che secondo i ricercatori di Kaspersky è in grado di sottrarre dati, anche dai dispositivi USB, e inviarli agli attaccanti. Alcuni di questi attacchi sfruttano invece la backdoor PowerMagic.
L'accesso iniziale ai sistemi è ottenuto tramite campagne di spear phishing, cioè mail di phishing mirate a specifici bersagli. Chi cascava nella trappola, si trovava a scaricare un archivio .zip che installava per l'appunto la backdoor PowerMagic. Per confondere le vittime, nel file .zip erano presenti anche documenti leciti, così da farle sembrare normali scambi di documenti e non far emergere sospetti.
Una volta installata la backdoor PowerMagic, questa riceve comandi da un server sotto il controllo degli attaccanti che, probabilmente, lo hanno sfruttato per veicolare CommonMagic. I ricercatori, però, sottolineano come non sia ancora chiaro come avvenga precisamente l'infezione.
CommonMagic è un framework composto da più moduli: è in grado di effettuare uno screenshot dello schermo ogni tre secondi e inviarlo all'attaccante, ma anche di copiare file dai dispositivi USB collegati al PC violato.
Secondo i ricercatori di Kaspersky, "la limitata tipologia di vittime e il tema degli attacchi suggeriscono che gli attaccanti hanno probabilmente un interesse specifico per la situazione geopolitica nella regione della crisi".
Ulteriori informazioni su questo APT sono disponibili a questo indirizzo.
“La situazione geopolitica influenza sempre il panorama delle minacce informatiche e porta all’emergere di nuove sfide", ha commentato Leonid Bezverzhenko, Security Researcher di Kaspersky’s Global Research and Analysis Team (GReAT). "Da tempo monitoriamo le attività legate al conflitto tra Russia e Ucraina e questa è una delle nostre ultime scoperte. Sebbene il malware e le tecniche impiegate nella campagna CommonMagic non siano particolarmente sofisticate, l’uso del cloud storage come infrastruttura di comando e controllo è degno di nota. Continueremo le nostre indagini e speriamo di poter condividere ulteriori informazioni su questa campagna”.
Samsung Galaxy Z Flip6: è più premium e sfrutta Galaxy AI. Recensione
Nikon Z6 III, arriva il sensore "quasi" stacked
Aorus CO49DQ, la declinazione Gigabyte dei monitor OLED ultrawide
Intel Core Raptor Lake: se va in crash, il danno è permanente
Longsoon 3C6000: i dati lo posizionano al pari dello Xeon Silver 4314 Ice Lake
Con AI Discovery Hitachi Vantara aiuta le aziende ad essere pronte per l'IA
2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoDevi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".