CYBERCRIME

Tlc e aerospazio, scoperto un trojan via Dropbox per lo spionaggio di reti e asset

Operazione GhostShell: i ricercatori di Cybereason hanno individuato un Rat mirato a carpire informazioni sensibili di infrastrutture critiche facendo leva sull’archiviazione cloud. Nel mirino principalmente l’industry in Medio Oriente ma ci sono state vittime anche in Stati Uniti, Russia ed Europa

Pubblicato il 06 Ott 2021

cybercrime

Una campagna di spionaggio informatico contro industrie aerospaziali e delle telecomunicazioni principalmente in Medio Oriente ma con vittime anche negli Stati Uniti, Russia ed Europa. A individuarla, per la prima volta, un team di ricercatori di Cybereason secondo i quali la campagna trojan va avanti almeno dal 2018.

Durante l’indagine, la squadra Nocturnus ha scoperto un Rat (Remote Access Trojan) precedentemente non documentato, soprannominato ShellClient, che è stato impiegato come strumento di spionaggio principale nella cosidetta operazione GhostShell mirata a rubare informazioni sensibili su asset critici, infrastrutture e tecnologie. (QUI IL DOCUMENTO TECNICO DELL’INDAGINE).

Il team composto da Assaf Dahan, Daniel Frank, Tom Fakterman e Chen Erlich ha scoperto che il Rat ShellClient denominato MalKamak e di provenienza iraniana, era in grado di eludere gli strumenti antivirus e riusciva a rimanere non rilevato e quindi pubblicamente sconosciuto. Inoltre, la ricerca ha evidenziato possibili connessioni con altri attori di minacce Apt “sponsorizzate” dallo Stato iraniano come Chafer Apt (APT39) e Agrius Apt.

Gli attacchi sono stati osservati prevalentemente nella regione del Medio Oriente, ma si estendono anche a Stati Uniti, Russia ed Europa. Reso operativo per la prima volta nel 2018 , e da allora in continuo sviluppo, il Rat GhostClient è stato in grado in ogni nuova versione di aggiungere caratteristiche e stealth e gli attacchi sono continuati almeno fino allo scorso mese di settembre. Le versioni più recenti di ShellClient hanno operato a danno dei servizi di archiviazione sul cloud attraverso Dropbox, per passare inosservate e confondersi con normale traffico di rete.

Durante la prima ispezione del Rat ShellClient, il trojan è stato individuato in esecuzione come “svchost.exe”, e il suo nome interno era mascherato come “RuntimeBroker.exe”.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati