Ecco come un gruppo di hacker cinesi infetta i computer

china cyber security

Buongiorno cari lettori, oggi vi andremo a parlare degli hacker cinesi che hanno creato un sito per infettare i computer.

Un gruppo di spionaggio informatico cinese ha utilizzato un sito di notizie false per infettare obiettivi del governo e dell’industria energetica in Australia, Malesia ed Europa con malware.

Il gruppo è conosciuto con diversi nomi, tra cui APT40, Leviathan, TA423 e Red Ladon. Quattro dei suoi membri sono stati incriminati dal Dipartimento di Giustizia degli Stati Uniti nel 2021 per aver violato diverse aziende, università e governi negli Stati Uniti e nel mondo tra il 2011 e il 2018.

Il gruppo sta usando il suo falso sito di notizie australiane per infettare i visitatori con il framework di sfruttamento di ScanBox. “ScanBox è un framework di ricognizione e sfruttamento implementato dall’attaccante per raccogliere diversi tipi di informazioni, come l’indirizzo IP pubblico del bersaglio, il tipo di browser Web utilizzato e la sua configurazione”, ha spiegato Sherrod, vicepresidente di Proofpoint per la ricerca e il rilevamento delle minacce De Grippo.

“Questo serve come impostazione per le fasi della raccolta di informazioni che seguono e il potenziale sfruttamento o la compromissione successiva, in cui il malware potrebbe essere distribuito per ottenere persistenza sui sistemi della vittima e consentire all’attaccante di svolgere attività di spionaggio”, ha detto.

Gli attacchi “Watering Hole” che utilizzano ScanBox attirano gli hacker perché il punto di compromissione non è all’interno, ha aggiunto John Bambenek, uno dei principali ricercatori di minacce di Netenrich, una società di operazioni di sicurezza digitale e IT con sede a San Jose, California.

Attacco modulare

La campagna TA423 ha preso di mira principalmente le agenzie governative australiane locali e federali, le società di media australiane e i produttori globali dell’industria pesante che effettuano la manutenzione di flotte di turbine eoliche nel Mar Cinese Meridionale.

Ha notato che le e-mail di phishing per la campagna sono state inviate da indirizzi e-mail di Gmail e Outlook, che si ritiene con “moderata sicurezza” siano stati creati dagli aggressori. Gli hacker delle minacce spesso si atteggiavano a dipendenti della pubblicazione immaginaria “Australian Morning News”, ha spiegato il blog, e fornivano un URL al loro dominio dannoso, sollecitando gli obiettivi a visualizzare il loro sito Web o condividere contenuti di ricerca che il sito Web avrebbe pubblicato.

Se un target ha fatto clic sull’URL, sarebbe stato inviato al sito di notizie false e avrebbe ricevuto, a sua insaputa, il malware ScanBox. Per dare credibilità al loro sito Web fasullo, gli hacker hanno pubblicato contenuti presi da siti di notizie legittimi, come Sky News.

Aumento del phishing

Come dimostrano questi tipi di campagne, il phishing rimane la punta della lancia utilizzata per penetrare in molte organizzazioni e rubare i loro dati. “I siti di phishing hanno visto un’impennata inaspettata nel 2022”, ha osservato Monnia Deng, direttore del marketing di prodotto di Bolster, un fornitore di protezione automatizzata dai rischi digitali, a Los Altos, in California.

DeGrippo ha affermato che le campagne di phishing continuano a funzionare perché gli hacker sono adattivi. “Usano l’attualità e le tecniche generali di ingegneria sociale, molte volte utilizzano le paure e il senso di urgenza o importanza di un bersaglio”, ha detto.

Due cose da ricordare

Sebbene TA423 abbia utilizzato le e-mail nella sua campagna di phishing, Grimes ha notato che gli hacker si stanno provando nuovi metodi.

“Gli hacker utilizzano più spesso altre strade, come i social media, i messaggi di testo e le chiamate vocali per fare la loro ingegneria sociale”, ha spiegato. “Questo perché molte organizzazioni si concentrano quasi esclusivamente sull’ingegneria sociale basata sulla posta elettronica e la formazione e gli strumenti per combattere l’ingegneria sociale sugli altri tipi di canali multimediali non sono allo stesso livello di sofisticazione nella maggior parte delle organizzazioni”.

Ha spiegato che la maggior parte degli attacchi di ingegneria sociale hanno due cose in comune. Innanzitutto, arrivano inaspettatamente. L’utente non se lo aspettava. In secondo luogo, è chiedere all’utente di fare qualcosa che il mittente, non ha mai chiesto all’utente di fare prima.