Campagna di Spionaggio Economico da TA413

Ultime Minacce

Settembre 07, 2020

2 min di lettura

Campagna di Spionaggio Economico da TA413

Eugene Tkachenko
Eugene Tkachenko Responsabile Programma Comunitario linkedin icon Segui

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

Iscriviti al Riepilogo Settimanale

Esclusivo per gli utenti di SOC Prime

Newsletter Icon

L’uso di esche legate al COVID19 è già percepito come pratica comune sia tra i gruppi motivati finanziariamente che tra le unità di cyber spionaggio sponsorizzate dallo stato. La scorsa settimana, i ricercatori hanno pubblicato un rapporto su un altro gruppo che ha utilizzato email di phishing a tema COVID19 per sei mesi per distribuire il loro nuovo strumento. Sì, stiamo parlando del gruppo APT cinese noto come TA413, che si specializza in campagne di spionaggio economico mirate a organizzazioni senza scopo di lucro di ricerca politica, organismi diplomatici e legislativi europei e organizzazioni globali che si occupano di questioni economiche.

Gli avversari usano un malware personalizzato chiamato Sepulcher e finora questo è l’unico attore minaccioso che lo utilizza, ma data la pratica diffusa tra i gruppi cinesi di condividere i loro strumenti, dopo la pubblicazione del rapporto, questo malware potrebbe apparire anche nell’arsenale di altri gruppi APT. Sepulcher è un Trojan di Accesso Remoto in grado di effettuare ricognizioni: ottenere informazioni sui drive, informazioni sui file, statistiche delle directory, percorsi delle directory, contenuti delle directory, processi e servizi in esecuzione. Può anche creare directory, eliminare directory e file, avviare una shell per eseguire comandi, terminare un processo e altro ancora.

La regola di caccia alla minaccia rilasciata da Osman Demir rileva le attività dannose di TA413 e il malware Sepulcher utilizzato dal gruppo in campagne di cyber spionaggio:

https://tdm.socprime.com/tdm/info/WE9tcCoWqy2c/NE07U3QBQAH5UgbBBk2p/?p=1

 

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Tattiche: Accesso Iniziale, Persistenza, Escalation dei Privilegi

Tecniche: Nuovo Servizio (Е1050), Allegato Spearphishing (T1193)


Pronto a provare SOC Prime TDM? Iscriviti gratuitamente. Oppure unisciti al Threat Bounty Program per creare i tuoi contenuti e condividerli con la comunità TDM.

 

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

More Ultime Minacce Articles

Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181 4 min di lettura Ultime Minacce Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181 by Veronika Zahorulko Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilità Zero-Day in 7-Zip per attaccare organizzazioni ucraine 6 min di lettura Ultime Minacce Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilità Zero-Day in 7-Zip per attaccare organizzazioni ucraine by Veronika Zahorulko Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware 4 min di lettura Ultime Minacce Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware by Veronika Zahorulko