Il gruppo APT sponsorizzato dallo stato iraniano Charming Kitten sta attivamente cercando di colpire più vittime negli Stati Uniti, in Europa, nel Medio Oriente e in India con un nuovo malware soprannominato BellaCiao. Scoperto da Bitdefender Labs, il “dropper personalizzato” è in grado di consegnare altri payload malware su una macchina vittima in base ai comandi ricevuti da un server controllato da un attore. Microsoft ha attribuito gli attacchi di rappresaglia contro le entità infrastrutturali critiche negli Stati Uniti al minacciatore. Check Point ha anche rivelato l’uso del gruppo di una versione aggiornata dell’impianto PowerLess per colpire organizzazioni situate in Israele.
BellaCiao è notevole per eseguire una richiesta DNS ogni 24 ore per risolvere un sottodominio in un indirizzo IP che viene quindi analizzato per estrarre i comandi da eseguire sul sistema compromesso. A seconda dell’indirizzo IP risolto, la catena di attacco porta all’implementazione di una shell web o di uno strumento Plink che supporta la capacità di caricare e scaricare file arbitrari e di eseguire comandi. Gli attacchi sono valutati in fase di secondo stadio dopo gli attacchi opportunistici, in cui BellaCiao è personalizzato e distribuito contro vittime di interesse accuratamente selezionate. Per proteggersi dagli attacchi moderni, Bitdefender raccomanda di implementare un’architettura a difesa profonda, a partire dalla riduzione della superficie di attacco e dal pronto patching delle vulnerabilità appena scoperte.
Per mitigare queste potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.
Source: Hackernews