Campagna di Spionaggio Economico da TA413

[post-views]
Settembre 07, 2020 · 2 min di lettura
Campagna di Spionaggio Economico da TA413

L’uso di esche legate al COVID19 è già percepito come pratica comune sia tra i gruppi motivati finanziariamente che tra le unità di cyber spionaggio sponsorizzate dallo stato. La scorsa settimana, i ricercatori hanno pubblicato un rapporto su un altro gruppo che ha utilizzato email di phishing a tema COVID19 per sei mesi per distribuire il loro nuovo strumento. Sì, stiamo parlando del gruppo APT cinese noto come TA413, che si specializza in campagne di spionaggio economico mirate a organizzazioni senza scopo di lucro di ricerca politica, organismi diplomatici e legislativi europei e organizzazioni globali che si occupano di questioni economiche.

Gli avversari usano un malware personalizzato chiamato Sepulcher e finora questo è l’unico attore minaccioso che lo utilizza, ma data la pratica diffusa tra i gruppi cinesi di condividere i loro strumenti, dopo la pubblicazione del rapporto, questo malware potrebbe apparire anche nell’arsenale di altri gruppi APT. Sepulcher è un Trojan di Accesso Remoto in grado di effettuare ricognizioni: ottenere informazioni sui drive, informazioni sui file, statistiche delle directory, percorsi delle directory, contenuti delle directory, processi e servizi in esecuzione. Può anche creare directory, eliminare directory e file, avviare una shell per eseguire comandi, terminare un processo e altro ancora.

La regola di caccia alla minaccia rilasciata da Osman Demir rileva le attività dannose di TA413 e il malware Sepulcher utilizzato dal gruppo in campagne di cyber spionaggio:

https://tdm.socprime.com/tdm/info/WE9tcCoWqy2c/NE07U3QBQAH5UgbBBk2p/?p=1

 

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Tattiche: Accesso Iniziale, Persistenza, Escalation dei Privilegi

Tecniche: Nuovo Servizio (Е1050), Allegato Spearphishing (T1193)


Pronto a provare SOC Prime TDM? Iscriviti gratuitamente. Oppure unisciti al Threat Bounty Program per creare i tuoi contenuti e condividerli con la comunità TDM.

 

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181 4 min di lettura Ultime Minacce Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181 by Veronika Telychko Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilità Zero-Day in 7-Zip per attaccare organizzazioni ucraine 6 min di lettura Ultime Minacce Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilità Zero-Day in 7-Zip per attaccare organizzazioni ucraine by Veronika Telychko Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware 4 min di lettura Ultime Minacce Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware by Veronika Telychko
Tutte le notizie