logo_toms
  • HOME
  • Tom’s hardware
  • Game Division
  • MobileLabs
  • Cultura Pop
  • MotorLabs
  • B2BLABS
  • More
  • forum
  • offerte
  • forum
hammer_toms
  • HOME
  • Tom’s hardware
  • Game Division
  • MobileLabs
  • Cultura Pop
  • MotorLabs
  • B2BLABS
  • More
  • forum
  • offerte
  • forum
  • Recensioni
  • Recensione RTX 3090 Ti
  • Come installare Windows 11
  • Recensione RTX 3080 12GB
  • Le migliori VPN del 2022
  • Codici sconto
Software

Gruppo hacker “invisibile” ruba dati in Europa e USA dal 2019

Recensioni
Recensione RTX 3090 Ti
Come installare Windows 11
Recensione RTX 3080 12GB
Le migliori VPN del 2022
Codici sconto

Tom's Hardware vive grazie al suo pubblico. Quando compri qualcosa dai nostri link, potremmo guadagnare una commissione. Scopri di più

Software

Gruppo hacker “invisibile” ruba dati in Europa e USA dal 2019

di Marco Doria | giovedì 5 Maggio 2022 9:47
  • 2 min
  • vai ai commenti
Più informazioni su
  • Cybereason
  • Cybersicurezza
  • Hacker
  • Malware
  • Winnty
  • Software

Gli analisti del gruppo Cybereason hanno scoperto un’operazione di hacking, nota come Operation CuckooBees, attiva dal 2019 e mai rilevata in precedenza. La campagna ha colpito aziende tecnologiche e industriali in Asia orientale, Europa occidentale e Nord America attraverso un malware specifico e lo sfruttamento di vulnerabilità note e di tipo zero-day nelle piattaforme ERP utilizzate dalle vittime.

Il gruppo responsabile degli attacchi è di origine cinese e si fa chiamare Winnty o APT41, caratterizzato da una grande capacità di mimetizzazione e dal presunto supporto ufficiale della Cina. Nel corso degli ultimi tre anni, il gruppo avrebbe ottenuto risorse relative alle proprietà intellettuali, come brevetti, diritti d’autore, marchi commerciali e altri dati aziendali, agendo del tutto indisturbato. Non è noto l’impatto economico delle azioni del gruppo, ma i ricercatori ritengono che si tratti di una delle operazioni più dannose degli ultimi anni.

Tramite una WebShell codificata e l’uso del protocollo WinRM per l’accesso remoto, Winnty sfrutta i servizi di Windows IKEEXT e PrintNotify per il sideloading di file DLL o per il caricamento di un rootkit kernel con firma. Una volta ottenuto l’accesso alla rete, gli hacker procedono ad analizzare il sistema tramite comandi standard di Windows come “systeminfo” e altri, una scelta molto ingegnosa, dato che queste operazioni non generano avvisi di sicurezza nemmeno se eseguite in batch.

Gli attacchi hacker hanno provocato danni per svariati milioni di euro negli ultimi anni
hacker

Come dei veri ninja, gli hacker di Winnti sfruttano tecniche e programmi in grado di mimetizzarsi perfettamente nel sistema, come una versione a riga di comando di WinRar per l’esfiltrazione dei dati e un malware noto come “DEPLOYLOG” che, insieme all’uso di Windows CLFS, consente di rendere invisibile l’uso dei payload del gruppo, il rootkit WINNKIT.

WINNKIT è molto sofisticato e contiene una firma digitale BenQ scaduta che viene utilizzata per bypassare la verifica della firma con DSE, successivamente il rootkit consente di prendere il controllo delle comunicazioni di rete e ricevere comandi tramite DEPLOYLOG.

Il gruppo è ancora molto attivo, nonostante alcuni dei suoi membri siano stati individuati dalle forze dell’ordine, pertanto la minaccia è ancora concreta. Le aziende che potrebbero essere colpite da attacchi di questo tipo devono assicurarsi di aggiornare gli antivirus e monitorare con attenzione il traffico rete, possibilmente utilizzando la segmentazione. Cybereason ha approfondito la questione in questo post del blog ufficiale.

di Marco Doria |
giovedì 5 Maggio 2022 9:47
  • 2 min
  • vai ai commenti
Shares
Più informazioni su
  • Cybereason
  • Cybersicurezza
  • Hacker
  • Malware
  • Winnty
  • Software

Scarica gratis

l'app di Tom's Hardware
Vuoi ricevere aggiornamenti sui tuoi topics preferiti ogni giorno? Iscriviti alla newsletter
Leggi i commenti
toms_logo_white_footer
  • Privacy
  • Chi siamo
  • Contattaci
  • Feed RSS
  • Codici sconto
Google Play
App Store

3LABS S.R.L. • Via Dante 16 - Milano (MI) 20121
CF/P.IVA: 04146420965 - REA: MI - 1729249 - Capitale Sociale: 10.000 euro

Testata giornalistica associata all'USPI Unione Stampa Periodica Italiana, registrata presso il Tribunale di Milano, nr. 285 del 9/9/2013 - Direttore: Andrea Ferrario

Copyright © 2022 - 3Labs Srl. - Tutti i diritti riservati. - credits: logo_edinet


  • Tom's Hardware
  • Game division
  • MobileLabs
  • Cultura Pop
  • MotorLabs
  • B2BLabs
  • More
  • Home
  • Le news di oggi
  • Le news di ieri
  • Le news dell'altro ieri

Ultime news

Ultimo video

Da non perdere su Tom's Hardware
Havanna Gazebo
Scopri gli sconti oltre il 30% su piscine e barbecue!
eBay ha aggiornato il catalogo delle offerte e propone a prezzi scontati i tipici articoli da usare durante la primavera…
2 di Dario De Vita - 10 ore fa
  • barbecue
  • Offerte e Sconti
  • Offerte eBay
  • Offerte Giardinaggio
  • Offerte Giardino
  • piscine
2
Offerta
libri promozione Feltrinelli
2 libri a soli 9,90€: da Feltrinelli fino a esaurimento scorte!
Offerta imperdibile sui libri: da LaFeltrinelli acquistate 2 libri a soli 9,90€ ma solo fino a esaurimento scorte!
2 di Sara Riccobono - 12 ore fa
  • Feltrinelli
  • Libri
  • Offerte e Sconti
  • Offerte Feltrinelli
  • offerte libri
2
Offerta