Analisi Dettagliata delle Tattiche di Infiltrazione Utilizzate da UNC2970
Gli hacker nordcoreani di UNC2970 sono noti per le loro tattiche sofisticate di infiltrazione nei sistemi informatici. Questo gruppo, associato alla Reconnaissance General Bureau (RGB) del governo nordcoreano, ha utilizzato varie strategie per raggiungere i loro obiettivi, tra cui la creazione di profili di lavoro falsi e l’impiego di malware avanzato. In questo articolo, esploreremo le tattiche di recrutamento utilizzate da UNC2970 e forniremo suggerimenti per proteggersi da questi attacchi.
Tattiche di Recrutamento
Gli hacker di UNC2970 hanno sviluppato una strategia di reclutamento molto sofisticata per infiltrare i sistemi delle organizzazioni. Questa strategia include:
- Profili di Lavoro Falsi: Gli attaccanti creano profili di lavoro falsi su piattaforme di lavoro come LinkedIn e GitHub. Questi profili sono spesso curati in modo professionale e possono sembrare autentici, specialmente per i candidati disperati o poco esperti.
- Contatti via Messaggi: Dopo aver contattato i candidati, gli attaccanti li invitano a partecipare a interviste online. Queste interviste sono spesso condotte tramite strumenti di collaborazione online come video conferencing.
- Download di Malware: Durante l’intervista, gli attaccanti convincono i candidati a scaricare e installare pacchetti JavaScript pubblicati su GitHub. Questi pacchetti contengono malware come BeaverTail, che può infettare il sistema del candidato.
Malware Utilizzato
Gli attaccanti di UNC2970 utilizzano una varietà di malware avanzato per infiltrare i sistemi delle vittime. Alcuni dei malware più comuni includono:
- BeaverTail: Un malware JavaScript nascosto all’interno dei pacchetti Node Package Manager (NPM) che può infettare il sistema del candidato.
- LIDSHIFT: Un dropper in memoria solo che facilita la distribuzione di altro malware codenominato LIGHTSHOW. Questo malware prende misure per ostacolare l’analisi dinamica e statica, e utilizza un driver legittimo con vulnerabilità note per eseguire operazioni di lettura e scrittura nella memoria del kernel.
- TOUCHSHIFT: Un malware dropper che carica seguenti malware, tra cui keyloggers e strumenti per screenshot, fino a backdoor completi.
Suggerimenti per la Protezione
Per proteggersi da questi attacchi, è importante adottare alcune misure di sicurezza:
- Verifica dei Profili di Lavoro: Prima di rispondere a un annuncio di lavoro, verificare il profilo dell’azienda e del recrutatore. Assicurarsi che il profilo sia completo e abbia una buona reputazione online.
- Interviste Online: Durante le interviste online, assicurarsi di utilizzare strumenti di collaborazione sicuri e di non scaricare file da fonti sconosciute.
- Software di Sicurezza: Utilizzare software di sicurezza aggiornato per proteggere il sistema da malware e virus.
- Formazione Continua: Partecipare a corsi di formazione continua per migliorare le abilità di sicurezza informatica.
- Backup Regolari: Eseguire backup regolari dei dati importanti e conservarli offline o su un network separato.
Gli attacchi di UNC2970 rappresentano una minaccia significativa per le organizzazioni e gli individui. La loro strategia di recrutamento sofisticata e l’uso di malware avanzato rendono difficile riconoscere e prevenire questi attacchi. Tuttavia, adottando le misure di sicurezza appropriate e mantenendo una mentalità vigile, è possibile ridurre il rischio di essere vittima di questi attacchi. Continuare a monitorare le tattiche evolutive di UNC2970 e aggiornare le strategie di sicurezza è fondamentale per proteggere i sistemi informatici.
Fonte: https://gbhackers.com/unc2970-hackers-job-pdf-attack/
