AI DevwWrld CyberDSA Chatbot Summit Cyber Revolution Summit CYSEC Global Cyber Security & Cloud Expo World Series Digital Identity & Authentication Summit Asian Integrated Resort Expo Middle East Low Code No Code Summit TimeAI Summit

Identificata la backdoor KeyPlug: allarme per le Industrie Italiane

Tinexta Cyber svela i dettagli tecnici della pericolosa backdoor KeyPlug e le sue implicazioni per la sicurezza delle imprese italiane

Tinexta Cyber ha scoperto la backdoor KeyPlug, attribuita al gruppo APT41 della Cina, che ha infettato aziende italiane. KeyPlug colpisce sia Windows che Linux. Si sospetta una connessione con il leak di dati di I-Soon. È cruciale rafforzare la sicurezza industriale contro queste minacce.

This pill is also available in English language

In un'investigazione approfondita, Tinexta Cyber ha scoperto la presenza di una backdoor denominata KeyPlug che ha infettato diverse aziende italiane per mesi. Attribuita al gruppo APT41 della Cina, noto per le sue complesse operazioni cibernetiche, questa minaccia mira sia a raccogliere informazioni sensibili sia a raggiungere guadagni economici. Il gruppo APT41, conosciuto anche con numerosi alias come WICKED PANDA e HOODOO, è rinomato nella comunità della cybersecurity per la sua capacità di attacco trasversale su vari settori industriali. Le analisi hanno rivelato dettagli tecnici preoccupanti riguardanti la resilienza di KeyPlug contro sistemi di difesa avanzati come Firewall, NIDS ed EDR, dimostrando la sofisticazione degli attacchi portati avanti da questo gruppo.

Dettagli tecnici della backdoor su Windows e Linux

Il team di Tinexta Cyber ha analizzato varianti di KeyPlug sia per Microsoft Windows che per Linux. Per Windows, l'infezione inizia con un componente loader scritto in .NET che decifra un file criptato con AES. Il payload risultante, identificato con l'hash SHA256 399bf858d435e26b1487fe5554ff10d85191d81c7ac004d4d9e268c9e042f7bf, mostra una somiglianza diretta con alcune strutture maligne documentate da Mandiant. La variante Linux utilizza VMProtect, complicando ulteriormente l'analisi. Durante l'analisi statica, sono stati trovati riferimenti a UPX, ma le routine di decompressione automatica non hanno avuto successo, costringendo gli analisti a decodificare il payload manualmente attraverso un'analisi più complessa della configurazione del malware.

Possibili connessioni con il leak di I-Soon

Un altro punto di interesse emerso dall'indagine è una possibile connessione tra APT41 e la società cinese I-Soon, coinvolta in un massiccio leak di dati del Ministero della Sicurezza Pubblica cinese. Informazioni riservate, tra cui piani governativi e dati personali degli impiegati, sono state pubblicate su GitHub e Twitter, suscitando grande preoccupazione. Questo incidente ha rivelato potenziali nuove armi nel repertorio di APT41, come Hector, un possibile Remote Administration Tool o una variante della stessa KeyPlug. Hector utilizza il protocollo WSS per comunicare, una scelta insolita tra i malware ma che rafforza le ipotesi di coinvolgimento di APT41, come suggerito anche da Recorded Future.

Conclusioni e implicazioni per la sicurezza industriale

In conclusione, l'ipotesi di un collegamento tra APT41 e gli eventi riguardanti ISOON appare plausibile, sottolineando i gravi rischi dello spionaggio industriale. Luigi Martire, CERT Technical Leader di Tinexta Cyber, afferma che APT41 si distingue per la sofisticazione delle sue operazioni di spionaggio cibernetico globale, con strumenti come KeyPlug, che permette un’intrusione prolungata nei sistemi bersaglio. Le aziende operanti in settori strategici sono particolarmente vulnerabili a tali attacchi, con possibili gravi conseguenze economiche e di reputazione. Analizzare più a fondo la fuga di dati ISOON potrebbe fornire ulteriore chiarezza sul coinvolgimento del gruppo APT41, confermando la necessità di rafforzare le nostre difese cibernetiche per proteggere informazioni critiche.

Seguici su Instagram per altre pillole come questa

03/06/2024 16:28

Marco Verro

Ultime pillole

Le previsioni di sicurezza di Google Cloud per il 2024: come l'AI ridisegnerà il panorama della c...Scopri come l'intelligenza artificiale trasformerà la sicurezza informatica e affronterà le minacce geopolitiche nel 2024 secondo il report di Google Cloud

AT&T: scoperta vǖolazione di dati che espone le comunicazioni di milioni di utentiSicurezza digitale compromessa: scopri come un recente data breach di AT&T ha colpito milioni di utenti

Nuova vulnerabilità critica scoperta in OpenSSH: rischio di esecuzione di codice remotoScopri come una race condition nelle versioni recenti di OpenSSH mette a rischio la sicurezza dei sistemi: dettagli, impatti e soluzioni da implementare subito

Scoperta di una campagna di attacchi AiTM su Microsoft 365Un'esplorazione dettagliata delle tecniche di attacco AiTM e delle strategie di mitigazione per proteggere Microsoft 365 da compromissioni avanzate