Senza LineaSenza Linea
Aa
  • Home
  • Qui Napoli
    • Eventi
    • Storia & Curiosità
  • Sport
    • Calcio Napoli
  • Cucina
    • #Tengofame
  • Arte & Spettacolo
    • Musica
    • Arte
    • Cinema
    • Libri
      • Editoria
    • Serie Tv
    • Teatro
  • Nerdangolo
    • CosPlay
    • Fumetti
    • Giochi
    • Hi Tech
    • Animazione
    • Videogiochi
  • LGBT
  • La tana del Bianconiglio
  • Salute & Benessere
Cerca
Reading: ToddyCat, threat actor avanzato, colpisce soggetti di alto profilo con un nuovo malware 
Share
Aa
Senza LineaSenza Linea
  • Home
  • Qui Napoli
  • Sport
  • Cucina
  • Arte & Spettacolo
  • Nerdangolo
  • LGBT
  • La tana del Bianconiglio
  • Salute & Benessere
Cerca
  • Home
  • Qui Napoli
    • Eventi
    • Storia & Curiosità
  • Sport
    • Calcio Napoli
  • Cucina
    • #Tengofame
  • Arte & Spettacolo
    • Musica
    • Arte
    • Cinema
    • Libri
    • Serie Tv
    • Teatro
  • Nerdangolo
    • CosPlay
    • Fumetti
    • Giochi
    • Hi Tech
    • Animazione
    • Videogiochi
  • LGBT
  • La tana del Bianconiglio
  • Salute & Benessere
Follow US
  • Disclaimer
  • Privacy
  • Buy This Theme!
  • Advertisement
  • Contact us
© 2022 Senzalinea testata giornalistica registrata presso il Tribunale di Napoli n. 57 del 11/11/2015.Direttore Responsabile Enrico Pentonieri
Hi TechNerdangolo

ToddyCat, threat actor avanzato, colpisce soggetti di alto profilo con un nuovo malware 

Danilo Battista
Danilo Battista 3 anni fa
Share
8 Min Lettura
SHARE

I ricercatori di Kaspersky hanno osservato una campagna ancora in corso condotta da un gruppo criminale APT (minacce persistenti avanzate) soprannominato ToddyCat, che si concentra sulla compromissione di più server Microsoft Exchange utilizzando due programmi dannosi: la backdoor Samurai e il trojan Ninja. La campagna ha interessato principalmente i settori governativi e militari in Europa e in Asia.

ToddyCat è un gruppo APT sofisticato relativamente nuovo, la cui attività è stata rilevata per la prima volta dai ricercatori di Kaspersky nel dicembre 2020, a seguito di una serie di attacchi ai server Microsoft Exchange delle vittime. Nel periodo febbraio-marzo 2021, Kaspersky ha osservato una rapida escalation: ToddyCat ha iniziato ad abusare della vulnerabilità ProxyLogon sui server Microsoft Exchange per compromettere diverse organizzazioni in Europa e Asia. Successivamente, a partire da settembre 2021, il gruppo ha spostato la sua attenzione sui computer desktop di enti governativi e diplomatici in Asia. Anche nel 2022 il gruppo ha continuato ad aggiornare il proprio arsenale e ad eseguire attacchi.

Sebbene non sia chiaro quale sia il vettore iniziale di infezione per le ultime attività, i ricercatori hanno condotto un’analisi approfondita del malware utilizzato nelle campagne. ToddyCat impiega la backdoor Samurai e il trojan Ninja, due strumenti sofisticati di cyberspionaggio progettati per penetrare in profondità nelle reti prese di mira e agire furtivamente.

Samurai è una backdoor modulare e è un componente della fase finale dell’attacco che consente all’attaccante di amministrare il sistema da remoto e di muoversi lateralmente all’interno della rete compromessa. Questo malware si distingue perché fa ampio uso della tecnica di “control-flow flattening”, ovvero manipola il flusso del programma attraverso diverse strutture di controllo e condizioni per passare da un’istruzione all’altra, rendendo difficile tracciare l’ordine delle azioni del codice. Inoltre, viene utilizzato per lanciare un altro nuovo malware, denominato Ninja Trojan, un complesso strumento di collaborazione che consente a più operatori di lavorare contemporaneamente sulla stessa macchina.

Ninja Trojan fornisce anche un ampio set di comandi che consente agli attaccanti di controllare i sistemi da remoto evitando il rilevamento. Di solito viene caricato nella memoria di un dispositivo e viene attivato da vari loader. Ninja Trojan inizia l’operazione recuperando i parametri di configurazione del payload crittografato, per poi infiltrarsi all’interno di una rete compromessa. Le capacità del malware includono la gestione dei file system, l’avvio di reverse shell, l’inoltro di pacchetti TCP e persino l’attivazione delle funzionalità dannose solo in specifici archi temporali, che possono essere configurati dinamicamente utilizzando un comando preciso.

Il malware assomiglia anche ad altri framework di post-exploitation ben noti, come CobaltStrike, con le caratteristiche di Ninja che gli permettono di limitare il numero di connessioni dirette dalla rete presa di mira ai sistemi di comando e controllo remoti senza accesso a Internet. Inoltre, può controllare gli indicatori HTTP e camuffare il traffico dannoso all’interno di richieste HTTP, facendole apparire legittime modificando l’intestazione HTTP e i percorsi URL. Si tratta, quindi, di capacità che rendono Ninja Trojan particolarmente furtivo.

“ToddyCat è un threat actor sofisticato con elevate competenze tecniche in grado di passare inosservato e farsi strada nelle organizzazioni di alto livello. Nonostante il numero di loader e di attacchi scoperti nell’ultimo anno, non abbiamo ancora una visibilità completa delle loro operazioni e delle loro tattiche. Un’altra caratteristica degna di nota di ToddyCat è la sua attenzione alle capacità avanzate del malware, Ninja Trojan deve il suo nome al fatto che sia difficile da rilevare e, quindi, da fermare. Il modo migliore per affrontare questo tipo di minaccia è utilizzare difese multistrato, che forniscano informazioni sugli asset interni e rimangano aggiornate con le ultime informazioni di threat intelligence” ha commentato Giampaolo Dedola, security expert di Kaspersky.

Per saperne di più su ToddyCat, le sue tecniche e i modi per proteggere la rete da attacchi informatici è disponibile il report su Securelist.

Per evitare di essere vittima di un attacco mirato i ricercatori di Kaspersky consigliano di:
⦁ Fornire al team SOC l’accesso alla threat intelligence più aggiornata (TI). Kaspersky Threat Intelligence Portal offre un unico punto di accesso per la threat intelligence dell’azienda, che fornisce dati e approfondimenti sui cyberattacchi raccolti da Kaspersky in quasi 25 anni di esperienza. L’accesso alle sue funzioni è gratuito e consente agli utenti di controllare file, URL e indirizzi IP. È disponibile al seguente ⦁ link.

⦁ Aggiornare il team di cybersecurity per prepararlo ad affrontare le minacce mirate più recenti con la ⦁ formazione online di Kaspersky, sviluppata dagli esperti del GReAT.
⦁ Per il rilevamento a livello di endpoint, l’indagine e la risoluzione tempestiva degli incidenti, è importante implementare soluzioni EDR come ⦁ Kaspersky Endpoint ⦁ Detection⦁ and ⦁ Response.
⦁ Oltre ad adottare una protezione di base per gli endpoint, è importante implementare una soluzione di sicurezza di livello aziendale che rilevi sin dalla loro fase iniziale le minacce avanzate a livello di rete, come ⦁ Kaspersky Anti ⦁ Targeted⦁ Attack Platform.
⦁ Molti attacchi mirati iniziano con il phishing o altre tecniche di social engineering, pertanto è opportuno introdurre una formazione sulla security awareness per dare indicazioni pratiche in ambito di cybersecurity al team, ad esempio attraverso la ⦁ Kaspersky ⦁ Automated⦁ Security ⦁ Awareness⦁ Platform.

Informazioni su Kaspersky
Kaspersky è un’azienda di sicurezza informatica e digital privacy che opera a livello globale fondata nel 1997. La profonda competenza di Kaspersky in materia di threat intelligence e sicurezza si trasforma costantemente in soluzioni e servizi innovativi per proteggere le aziende, le infrastrutture critiche, i governi e gli utenti di tutto il mondo. L’ampio portfolio di soluzioni di sicurezza dell’azienda include la protezione degli Endpoint leader di settore e una serie di soluzioni e servizi specializzati per combattere le minacce digitali sofisticate e in continua evoluzione. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky e aiutiamo 240.000 clienti aziendali a proteggere ciò che è per loro più importante. Per ulteriori informazioni: https://www.kaspersky.it/

Seguici su:
Tweets by KasperskyLabIT
http://www.facebook.com/kasperskylabitalia
https://www.linkedin.com/company/kaspersky-lab-italia
https://www.instagram.com/kasperskylabitalia/
https://t.me/KasperskyItalia

Potrebbe piacerti anche

Empire of the Ants pubblica il suo primo aggiornamento gratuito: Swarm Together!

Incarna il feroce spirito di Sagat in Street Fighter 6 quando il primo personaggio dell’Year 3 del gioco arriverà il 5 agosto!

I CINQUE GIOCHI INDIMENTICABILI DI LIFE IS STRANGE PIÙ I LORO DLC USCIRANNO IN UN PACCHETTO UNICO SU PLAYSTATION 5

Acea sigla un accordo di ricerca con l’IIT per la robotica

Infobip introduce le chiamate vocali per gli utenti di WhatsApp Business

Danilo Battista Giu 21, 2022
Share this Article
Facebook TwitterEmail Stampa
Pubblicato da Danilo Battista
Follow:
Appassionato sin da piccolo della cultura giapponese, è stato rapito tanti anni fa da Goldrake e portato su Vega. Tornato sulla Terra la sua viscerale passione per l'universo nipponico l'ha portato nel corso degli anni a conoscere ed amare ogni sfumatura della cultura del Sol Levante. Su Senzalinea ha cominciato a scrivere di tecnologia e di cosplay. Da diverso tempo gestisce la sezione "Nerdangolo" ma ha promesso che un giorno, neanche tanto lontano, tornerà su Vega...
Previous Article Il 2 e 3 luglio c’è il NerdCamp!
Next Article LA GEVI NAPOLI PRESENTA LA CAMPAGNA ABBONAMENTI ED IL PROGETTO CON LA GEKO-PSA SANT’ANTIMO

Ultime notizie

VOLTURARA IRPINA, AL VIA LA FESTA DEL CASARO 2025.
8 ore fa Redazione
UN WEEKEND IMPERDIBILE ATTENDE GRANDI E PICCINI A CITTÀ DELLA SCIENZA
8 ore fa Redazione
Mucuna Pruriens, tutti i benefici del legume tropicale utilizzato anche per il Parkinson
11 ore fa Redazione
Dock Startup Lab DemoDay premia Incognito AI, Beats,Niuus e Next Render
11 ore fa Redazione
Costruzioni, intesa tra Ance e consulenti del lavoro per certificazione Asse.Co. Edilizia
12 ore fa Redazione
Formazione, Amazon premia studentesse Stem meritevoli con borse di studio ‘Women in Innovation’
13 ore fa Redazione
Formazione, a studentessa Università Tor Vergata Aurora Litardi borsa ‘Amazon Women in Innovation’
13 ore fa Redazione
“PIA” DI JACQUES & LISE. RECENSIONE UNDER 12
18 ore fa Cristiana Abbate
Sapore d’Estate: Ricette che Profumano di Mare e Semplicità
18 ore fa Carmelita de Santis
A Capri la mostra “Insula” di Antonio Biasiucci
18 ore fa Redazione

You Might Also Like

NerdangoloVideogiochi

Empire of the Ants pubblica il suo primo aggiornamento gratuito: Swarm Together!

1 giorno fa
NerdangoloVideogiochi

Incarna il feroce spirito di Sagat in Street Fighter 6 quando il primo personaggio dell’Year 3 del gioco arriverà il 5 agosto!

1 giorno fa
NerdangoloVideogiochi

I CINQUE GIOCHI INDIMENTICABILI DI LIFE IS STRANGE PIÙ I LORO DLC USCIRANNO IN UN PACCHETTO UNICO SU PLAYSTATION 5

1 giorno fa

Acea sigla un accordo di ricerca con l’IIT per la robotica

1 giorno fa
Senza LineaSenza Linea

© Senzalinea testata giornalistica registrata presso il Tribunale di Napoli n. 57 del 11/11/2015.Direttore Responsabile Enrico Pentonieri

Questo sito utilizza cookie. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie clicca qui. Chiudendo questo banner, scorrendo questa pagina, cliccando su un link o proseguendo la navigazione in altra maniera, acconsenti all'uso dei cookie Accept Reject Read More
Privacy & Cookies Policy

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are as essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Necessary
Sempre abilitato
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
ACCETTA E SALVA
Welcome Back!

Sign in to your account

Lost your password?