{"id":58143,"date":"2023-02-17T15:21:29","date_gmt":"2023-02-17T14:21:29","guid":{"rendered":"https:\/\/www.alground.com\/site\/?p=58143"},"modified":"2023-02-17T15:21:33","modified_gmt":"2023-02-17T14:21:33","slug":"armenia-sotto-attacco-spia-di-oxtarat","status":"publish","type":"post","link":"https:\/\/alground.com\/site\/armenia-sotto-attacco-spia-di-oxtarat\/58143\/","title":{"rendered":"Armenia sotto attacco spia di OxtaRAT"},"content":{"rendered":"\n

Alcuni enti in Armenia sono stati oggetto di un attacco informatico utilizzando una versione aggiornata di una Backdoor chiamato OxtaRAT, che consente l’accesso remoto e la sorveglianza del sistema.<\/p>\n\n\n\n

Le funzionalit\u00e0 dello strumento includono la ricerca e l’esfiltrazione di file dal computer infetto, la registrazione video dalla webcam e dal desktop, il controllo remoto della macchina compromessa con TightVNC, l’installazione di una shell web, la scansione delle porte e altro ancora<\/em>“, ha dichiarato Check Point Research in un rapporto.<\/p>\n\n\n\n

Si dice che l’ultima campagna sia iniziata nel novembre 2022 e segni la prima volta che i gruppi dietro all’attivit\u00e0 hanno espanso il loro focus oltre l’Azerbaigian.<\/p>\n\n\n\n

Da diversi anni i gruppi dietro a questi attacchi hanno preso di mira organizzazioni per i diritti umani, dissidenti e media indipendenti in Azerbaigian<\/em>“, lo ha spiegato la societ\u00e0 di sicurezza informatica, definendo la campagna Operazione Silent Watch.<\/p>\n\n\n\n

Le intrusioni del 2022 sono significative, non solo a causa dei cambiamenti nella catena di infezione, ma anche delle misure adottate per migliorare la sicurezza operativa ed equipaggiare la Backdoor con maggiori mezzi a disposizione.<\/p>\n\n\n\n

Il punto di partenza della sequenza di attacco \u00e8 un archivio autoestraente<\/strong> che imita un file PDF e presenta un’icona PDF. L’avvio del presunto “documento” apre un file esca, mentre esegue in modo furtivo il codice maligno nascosto all’interno di un’immagine<\/strong>.<\/p>\n\n\n\n

Un file poliglotta che combina uno script AutoIT compilato e un’immagine, OxtaRAT presenta comandi che permettono all’autore della minaccia<\/strong> di eseguire comandi e file aggiuntivi, raccogliere informazioni sensibili, eseguire ricognizioni e sorveglianza tramite una webcam e persino passare ad altri dispositivi.<\/p>\n\n\n\n

OxtaRAT \u00e8 stato utilizzato fin dal giugno 2021<\/strong>, anche se con funzionalit\u00e0 significativamente ridotte, questo indica un tentativo di aggiornare costantemente il set di strumenti e trasformarlo in un malware “coltellino svizzero”.<\/p>\n\n\n\n

L’attacco di novembre 2022 si distingue anche per alcune ragioni. La prima \u00e8 che i file .SCR che attivano la catena di attacco contengono gi\u00e0 l’impianto OxtaRAT anzich\u00e9 agire come downloader per recuperare il malware.<\/p>\n\n\n\n

Questo evita agli attori la necessit\u00e0 di effettuare ulteriori richieste di file binari al server C&C e di attirare attenzioni inutili, nonch\u00e9 nasconde il malware principale dall’essere facilmente scoperto sulla macchina infetta, poich\u00e9 sembra un’immagine normale e supera le protezioni specifich<\/em>“, ha spiegato Check Point.<\/p>\n\n\n\n

Il secondo aspetto sorprendente \u00e8 la geofencing dei domini di controllo e comando che ospitano gli strumenti ausiliari agli indirizzi IP armeni.<\/p>\n\n\n\n

\u00c8 anche importante la capacit\u00e0 di OxtaRAT di eseguire comandi per la scansione delle porte e per testare la velocit\u00e0 di una connessione Internet, quest’ultima probabilmente utilizzata come modo per nascondere l’estesa esfiltrazione di dati.<\/p>\n\n\n\n

OxtaRAT, che in precedenza aveva principalmente capacit\u00e0 di ricognizione e sorveglianza locali, pu\u00f2 ora essere utilizzato come pivot per la ricognizione attiva di altri dispositivi<\/em>“, ha detto Check Point.<\/p>\n\n\n\n

Questo potrebbe indicare che gli autori della minaccia si stanno preparando ad estendere<\/strong> il loro principale vettore di attacco, che attualmente \u00e8 l’ingegneria sociale, agli attacchi basati sull’infrastruttura. Potrebbe anche essere un segnale che gli autori si stanno spostando dal targeting di individui a targeting di ambienti pi\u00f9 complessi o aziendali<\/em>“.<\/p>\n\n\n\n

Gli autori della minaccia hanno mantenuto lo sviluppo di malware basati su Auto-IT negli ultimi sette anni, e lo stanno utilizzando in campagne di sorveglianza il cui obiettivo \u00e8 coerente con gli interessi azeri<\/em>.”<\/p>\n","protected":false},"excerpt":{"rendered":"

Alcuni enti in Armenia sono stati oggetto di un attacco informatico utilizzando una versione aggiornata di una Backdoor chiamato OxtaRAT, che consente l’accesso remoto e la sorveglianza del sistema. “Le funzionalit\u00e0 dello strumento includono la ricerca e l’esfiltrazione di file dal computer infetto, la registrazione video dalla webcam e dal desktop, il controllo remoto della […]<\/p>\n","protected":false},"author":16,"featured_media":58145,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"pmpro_default_level":"","footnotes":""},"categories":[1413,387],"tags":[2145,2146],"class_list":{"0":"post-58143","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-attualita","8":"category-guide-sicurezza","9":"tag-backdoor","10":"tag-oxtarat","11":"pmpro-has-access"},"aioseo_notices":[],"jetpack_featured_media_url":"https:\/\/alground.com\/site\/wp-content\/uploads\/2023\/02\/sicurezza-informatica.jpg","wps_subtitle":"","_links":{"self":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/58143","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/users\/16"}],"replies":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/comments?post=58143"}],"version-history":[{"count":0,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/58143\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media\/58145"}],"wp:attachment":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media?parent=58143"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/categories?post=58143"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/tags?post=58143"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}