Logo Tom's Hardware
  • Hardware
  • Videogiochi
  • Mobile
  • Elettronica
  • EV
  • Scienze
  • B2B
  • Quiz
  • Tom's Hardware Logo
  • Hardware
  • Videogiochi
  • Mobile
  • Elettronica
  • EV
  • Scienze
  • B2B
  • Quiz
  • Forum
  • Sconti & Coupon
Sconti & Coupon
Accedi a Xenforo
Immagine di Cloud e on-premise insieme? Non solo si può, è anche una scelta vincente Cloud e on-premise insieme? Non solo si può, è anche una s...
Immagine di Come fa una PMI a digitalizzarsi e restare competitiva? C’è l’arma segreta Come fa una PMI a digitalizzarsi e restare competitiva? C’...

Kaspersky analizza le attività del gruppo APT che spia le piccole e medie imprese

I ricercatori hanno pubblicato una ricerca approfondita su DeathStalker, un gruppo “mercenario” che si occupa di minacce persistenti avanzate verso le PMI

Quando acquisti tramite i link sul nostro sito, potremmo guadagnare una commissione di affiliazione. Scopri di più
Avatar di Antonino Caffo

a cura di Antonino Caffo

Editor

Pubblicato il 26/08/2020 alle 10:41

Kaspersky monitora dal 2018 DeathStalker, un gruppo cybercriminale unico nel suo genere, che si concentra principalmente sul cyberspionaggio prendendo di mira studi legali e organizzazioni che operano nel settore finanziario. L'autore della minaccia è noto per la sua grande capacità di adattamento e per l'utilizzo di un approccio iterativo e veloce nella progettazione dei software, caratteristiche che lo rendono in grado di mettere in atto campagne efficaci.

Recenti ricerche hanno permesso a Kaspersky di collegare l'attività di DeathStalker a tre famiglie di malware: Powersing, Evilnum e Janicab, il che dimostra l’ampiezza dell'attività svolta dai gruppi almeno fin dal 2012. Mentre Powersing è stato rintracciato da Kaspersky nel 2018, le altre due famiglie sono state individuate da altri fornitori di soluzioni di sicurezza informatica. L'analisi di Kaspersky ha messo in evidenza le somiglianze di codici tra le tre famiglie di malware e nella scelta delle vittime; per questo motivo i ricercatori credono, con un certo livello di affidabilità, che ci sia un collegamento.

Ti potrebbe interessare anche

youtube play
Guarda su youtube logo

Le tattiche, le tecniche e le procedure messe in atto dagli autori della minaccia sono rimaste le stesse nel corso degli anni: si basano su email di spear-phishing realizzate su misura per consegnare archivi contenenti file malevoli. Quando l'utente clicca sullo shortcut, viene eseguito uno script malevolo e si procede così con il download di ulteriori componenti direttamente da Internet. Questo metodo consente agli attaccanti di ottenere il controllo del dispositivo della vittima.

kaspersky-msp-69396.jpg

Un esempio è l'uso di Powersing, basato su Power-Shell, il primo malware rilevato tra quelli usati da questo autore di cyberminacce. Una volta che il dispositivo della vittima è stato infettato, il malware è in grado di catturare regolarmente degli screenshot e anche di eseguire degli script di Powershell in modo arbitrario. Alternando diversi metodi di persistenza, a seconda della soluzione di sicurezza rilevata sul dispositivo infetto, il malware è in grado di eludere la detection. Questo dimostra così la capacità degli attaccanti nell’eseguire test di rilevamento prima di ogni campagna e nell’aggiornare poi gli script a seconda degli ultimi risultati ottenuti.

Nelle campagne che utilizzano Powersing, DeathStalker si avvale anche di un noto servizio pubblico per nascondere le prime comunicazioni backdoor nel traffico di rete legittimo, limitando così la capacità dei difensori di ostacolare le operazioni. Usando dei dead-drop resolvers, messaggi pubblicati su servizi web legittimi, quali social media, blog e siti con servizi di messaggistica, e contenenti informazioni per connettersi all’infrastruttura di comando e controllo, l’autore è stato in grado di eludere i rilevamenti e portare rapidamente a termine la campagna.

Una volta che le vittime venivano infettate, infatti, si rivolgevano proprio a questi dead-drop resolver, ma venivano reindirizzate direttamente da loro, nascondendo così la catena stessa delle comunicazioni.

L'attività di DeathStalker è stata rilevata in tutto il mondo, un dato che chiarisce anche la dimensione delle operazioni portate avanti dal gruppo. Attività legate a Powersing sono state individuate in Argentina, Cina, Cipro, Israele, Libano, Svizzera, Taiwan, Turchia, Regno Unito ed Emirati Arabi Uniti. Kaspersky ha localizzato anche vittime di Evilnum a Cipro, in India, Libano, Russia ed Emirati Arabi Uniti. Informazioni dettagliate sugli Indicatori di Compromissione relativi a questo gruppo, compresi gli hash di file e i server C2, sono disponibili online su Kaspersky Threat Intelligence Portal.

Leggi altri articoli

👋 Partecipa alla discussione! Scopri le ultime novità che abbiamo riservato per te!

0 Commenti

⚠️ Stai commentando come Ospite . Vuoi accedere?


Questa funzionalità è attualmente in beta, se trovi qualche errore segnalacelo.

Segui questa discussione

Non perdere gli ultimi aggiornamenti

Newsletter Telegram

I più letti di oggi


  • #1
    7 smart TV da tenere d'occhio in vista del Prime Day
  • #2
    Blocco diesel Euro 5 Nord Italia: tutto quello che c'è da sapere
  • #3
    LTSC è la versione più pulita di Windows! Tua a 8€ per un tempo limitato
  • #4
    Incredibile ma vero: PNG si aggiorna dopo ben 22 anni
  • #5
    Amazon Prime Day, quand'è, quanto dura e come trovare le offerte migliori
  • #6
    Migliori stampanti fotografiche (luglio 2025)
Articolo 1 di 4
Addio uomo, l'assistente del dottore è oramai l'IA
Dal supporto ai pazienti all'accuratezza delle diagnosi, Il mercato globale in telemedicina raggiungerà 192 miliardi di euro entro il 2033
Immagine di Addio uomo, l'assistente del dottore è oramai l'IA
Leggi questo articolo
Articolo 2 di 4
Come fa una PMI a digitalizzarsi e restare competitiva? C’è l’arma segreta
Le PMI italiane faticano a digitalizzarsi per carenza di budget e personale ICT. I Managed Service Provider (MSP) offrono la soluzione, gestendo IT, sicurezza e compliance con un canone mensile. Questo modello riduce i costi e garantisce continuità, accelerando la trasformazione digitale.
Immagine di Come fa una PMI a digitalizzarsi e restare competitiva? C’è l’arma segreta
Leggi questo articolo
Articolo 3 di 4
Cloud e on-premise insieme? Non solo si può, è anche una scelta vincente
Pure Storage presenta Enterprise Data Cloud con gestione unificata dati on-premise e cloud. NVMe a 300 TB, IA predittiva, sicurezza integrata e automazione policy.
Immagine di Cloud e on-premise insieme? Non solo si può, è anche una scelta vincente
Leggi questo articolo
Articolo 4 di 4
In questa azienda l'IA fa già il 50% del lavoro
Marc Benioff di Salesforce rivela che l'IA svolge fino alla metà del lavoro aziendale, dall'ingegneria software al servizio clienti, raggiungendo il 93% di precisione.
Immagine di In questa azienda l'IA fa già il 50% del lavoro
1
Leggi questo articolo
Footer
Tom's Hardware Logo

 
Contatti
  • Contattaci
  • Feed RSS
Legale
  • Chi siamo
  • Privacy
  • Cookie
  • Affiliazione Commerciale
Altri link
  • Forum
Il Network 3Labs Network Logo
  • Tom's Hardware
  • SpazioGames
  • CulturaPop
  • Data4Biz
  • TechRadar
  • SosHomeGarden
  • Aibay

Tom's Hardware - Testata giornalistica associata all'USPI Unione Stampa Periodica Italiana, registrata presso il Tribunale di Milano, nr. 285 del 9/9/2013 - Direttore: Andrea Ferrario

3LABS S.R.L. • Via Pietro Paleocapa 1 - Milano (MI) 20121
CF/P.IVA: 04146420965 - REA: MI - 1729249 - Capitale Sociale: 10.000 euro

© 2025 3Labs Srl. Tutti i diritti riservati.