Gli hacker legati a Hezbollah colpiscono le aziende in un attacco malware globale

 

Buongiorno cari lettori, oggi parleremo degli hacker legati a Hezbollah colpiscono le aziende in un attacco malware globale

È un fatto che gli hacker di Hezbollah e Hamas hanno condotto con successo cyberattacchi contro Israele, compreso l'hacking delle telecamere di sicurezza installate negli edifici governativi o Hamas che ha violato gli smartphone dei soldati IDF utilizzando immagini seducenti. 

Nell'ultimo rapporto pubblicato dalla società israeliana di cybersicurezza ClearSky, è stato rivelato che un gruppo APT affiliato alla Hezbollah Cyber Unit, chiamato Volatile Cedar o Cedro libanese ha preso di mira i paesi di tutto il mondo tra cui Israele, Regno Unito e Arabia Saudita.

Volatile Cedar - La minaccia emergente

Secondo ClearSky, il gruppo APT ha sviluppato una nuova versione di Explosive malware RAT [PDF] (trojan di accesso remoto) e hackera furtivamente le aziende di tutto il mondo rubando dati sensibili come registri delle chiamate, informazioni di intelligence, ecc.

Il gruppo esegue anche spesso operazioni di spionaggio, mentre nel caso in cui il suo obiettivo è una società di telecomunicazioni, il loro scopo è quello di rubare dati privati, sostiene ClearSky.

"Nel caso delle società di telecomunicazione, si può presumere che anche i database contenenti i registri delle chiamate e i dati privati dei clienti siano stati accessibili", hanno dichiarato i ricercatori di ClearSky in un rapporto [PDF].

Cedro Volatile attivo dal 2012

Questo gruppo è attivo dal 2012, ma è stato rilevato dai ricercatori di cybersicurezza nel 2015. All'inizio del 2020, le loro operazioni dannose sono riemerse con un botto con una campagna globale soprannominata BeardStache dai ricercatori di sicurezza.

Il gruppo utilizza una varietà di tecniche di attacco, come un impianto malware su misura chiamato Explosive.

Gli hacker legati a Hezbollah colpiscono le aziende in un attacco malware globale

Nel 2015, il gruppo è stato coinvolto in una massiccia operazione di cyber-spionaggio che ha preso di mira aziende di telecomunicazioni, università, fornitori militari e media. Gli attacchi lanciati nel 2020 non sono stati diversi. Secondo ClearSky, le loro attività di hacking corrispondevano ai tratti delle operazioni di Hezbollah.

Oltre 250 server Oracle e Atlassian accessibili

Volatile Cedar ha finora avuto accesso a più di 250 server Oracle e Atlassian pubblici collegati a società che offrono servizi di comunicazione basati su Internet e mobili. Gli aggressori hanno utilizzato varianti di Explosive RAT che sono state distribuite sulle reti mirate sfruttando le vulnerabilità di 1 giorno già note in Atlassian e Oracle non patchate.

Inoltre, il gruppo utilizza le falle dei server, classificate come CVE-2019-3396, CVE-2019-11581 e CVE-2012-3152, come vettore di attacco per ottenere un punto di appoggio iniziale. Iniettano una shell web e un browser di file JSP per muoversi lateralmente attraverso la rete e installare ulteriore malware insieme al download di Explosive RAT.

Secondo i ricercatori, il malware può eseguire vari compiti come la registrazione delle sequenze di tasti, la cattura di screenshot e l'esecuzione di comandi arbitrari.

"Il cedro libanese ha spostato il suo obiettivo in modo significativo. Inizialmente, ha attaccato i computer come punto di accesso iniziale, poi ha progredito verso la rete della vittima, per poi progredire ulteriormente (sic) nel prendere di mira i server web vulnerabili, rivolti al pubblico", hanno osservato i ricercatori.

Inoltre, gli aggressori hanno aggiunto caratteristiche anti-debugging all'ultima iterazione dell'impianto, e la comunicazione tra il dispositivo infetto e il server C&C è ora criptata, ha concluso ClearSky.

Gli hacker legati a Hezbollah colpiscono le aziende in un attacco malware globale

Obiettivi chiave

Le aziende colpite si trovano nel:

Regno Unito

Stati Uniti

Giordania

Libano

Egitto

Arabia Saudita

Israele

L'Autorità Palestinese.

Le vittime includono operatori di telecomunicazioni come:

Vodafone Egypt, Mobily, ed Etisalat, fornitori di servizi internet come TE Data e SaudiNet, e fornitori di servizi di infrastruttura/hosting come Iomart Cloud Services Limited e Secured Servers LLC.

spero che questo articolo ti sia piaciuto, e ci vedremo ad un prossimo.