Utilizzavano Telegram per rubare i dati degli utenti
Il malware di spionaggio abusa dell’API della celebre app di messaggistica.
Nel novembre 2021 è stato scoperto che un gruppo di hacker iraniani utilizzavano un nuovo malware per ingannare gli utenti della piattaforma Telegram e rubare i loro dati sensibili.
La società di sicurezza informatica Mandiant ha attribuito l’attacco a un cluster non classificato che sta tracciando con il moniker UNC3313, che valuta con “moderata sicurezza” come associato al gruppo sponsorizzato dallo stato MuddyWater.
“UNC3313 effettua la sorveglianza e raccoglie informazioni strategiche per supportare gli interessi e il processo decisionale iraniani”, hanno affermato i ricercatori Ryan Tomcik, Emiel Haeghebaert e Tufail Ahmed. “I modelli di targeting e le relative esche dimostrano una forte attenzione agli obiettivi con un nesso geopolitico”.
A metà gennaio 2022, le agenzie di intelligence statunitensi hanno caratterizzato MuddyWater (alias Static Kitten, Seedworm, TEMP.Zagros o Mercury) come un elemento subordinato del Ministero dell’intelligence e della sicurezza iraniano (MOIS), attivo almeno dal 2018 ed è noto per utilizzare una vasta gamma di strumenti e tecniche nelle sue operazioni.
Si dice che gli attacchi siano stati orchestrati tramite messaggi di spear-phishing per ottenere l’accesso iniziale, seguito sfruttando strumenti di sicurezza offensivi pubblicamente disponibili e software di accesso remoto per il movimento laterale e il mantenimento dell’accesso all’ambiente.
Leggi anche:
Le e-mail di phishing sono state create con un’esca di promozione del lavoro e hanno indotto più vittime a cliccare su un URL per scaricare un file di archivio RAR ospitato su OneHub, il che ha aperto la strada all’installazione di ScreenConnect, un legittimo software di accesso remoto, per prendere il controllo dei dispositivi delle vittime.
“UNC3313 si è mosso rapidamente per stabilire l’accesso remoto utilizzando ScreenConnect per infiltrarsi nei sistemi entro un’ora dalla compromissione iniziale”, hanno osservato i ricercatori, aggiungendo che l’incidente di sicurezza è stato rapidamente contenuto e risolto.
Le fasi successive dell’attacco hanno comportato l’escalation dei privilegi, l’esecuzione di ricognizioni interne sulla rete di destinazione e l’esecuzione di comandi PowerShell offuscati per scaricare strumenti e payload aggiuntivi su sistemi remoti.
È stata inoltre osservata una backdoor precedentemente non documentata chiamata STARWHALE, un file di script di Windows (.WSF) che esegue i comandi ricevuti da un server C2 (command-and-control) codificato tramite HTTP.
Un altro impianto consegnato nel corso dell’attacco è GRAMDOOR, così chiamato per l’utilizzo dell’API di Telegram per le comunicazioni di rete con il server controllato dall’attaccante nel tentativo di eludere il rilevamento, evidenziando ancora una volta l’uso di strumenti di comunicazione per facilitare l’esfiltrazione di dati.
I risultati coincidono anche con un nuovo avviso congiunto delle agenzie di sicurezza informatica del Regno Unito e degli Stati Uniti, che accusa il gruppo MuddyWater di attacchi di spionaggio contro i settori della difesa, del governo locale, del petrolio e del gas naturale e delle telecomunicazioni in tutto il mondo.
Ti potrebbe interessare:
Segui guruhitech su:
- Google News: bit.ly/gurugooglenews
- Instagram: instagram.com/guruhitech_official
- Telegram: t.me/guruhitech
- Facebook: facebook.com/guruhitechweb
- Twitter: twitter.com/guruhitech1
- Threads: threads.net/@guruhitech_official
- Bluesky: bsky.app/profile/guruhitech.bsky.social
- GETTR: gettr.com/user/guruhitech
- Rumble: rumble.com/user/guruhitech
- VKontakte: vk.com/guruhitech
- MeWe: mewe.com/i/guruhitech
- Skype: live:.cid.d4cf3836b772da8a
- WhatsApp: bit.ly/whatsappguruhitech
Esprimi il tuo parere!
Utilizzi la piattaforma di messaggistica Telegram? Lascia un commento nell’apposita sezione che trovi più in basso e se ti va, iscriviti alla newsletter.
Per qualsiasi domanda, informazione o assistenza nel mondo della tecnologia, puoi inviare una email all’indirizzo [email protected].
