Risolvere i problemi di sicurezza: Facciamo luce su Etumbot, una backdoor APT

bigwing style coprisedili auto per cani amaca coprisedile impermeabile per
bigwing style coprisedili auto per cani amaca coprisedile impermeabile per

GUADAGNA & RISPARMIA con i nostri Coupon & Referral Code: CLICCA QUI ORA!

L’ Arbor Security Engineering Response Team (ASERT) ha pubblicato la documentazione frutto della ricerca sul malware Etumbot.


USA IL CODICE MFL25BLCONS PER AVERE LO SCONTO DEL 20% SUL BIGLIETTO DI INGRESSO! ==> CLICCA QUI!

Etumbot è una backdoor utilizzata per attacchi mirati almeno dal marzo 2011. Alcuni indicatori suggeriscono che Etumbot abbia a che fare con il gruppo Numbered Panda (noto anche come IXEHSE, DynCalc e APT12). Anche se precedenti ricerche hanno studiato del malware correlato, poco è stato pubblicamente discusso circa le capacità di Etumbot.

Taluni elementi suggeriscono che il dropper di Etumbot venga diffuso mediante tecniche di spearphishing e che sia contenuto all’interno di un file compattato proposto in maniera tale da interessare la potenziale vittima. Gli attaccanti utilizzano la tecnica Unicode Right to Left Override e icone di documento per mascherare appunto come documento l’eseguibile pericoloso. Una volta lanciato il dropper viene attivata la backdoor e aperta la visualizzazione di un file che serve a distrarre la vittima. L’ASERT ha analizzato diversi campioni di Etumbot che per distrarre la vittima ricorrono a documenti inerenti vari argomenti di interesse per il pubblico taiwanese e giapponese, e ha osservato recenti sviluppi che indicano come le campagne di attacco siano tuttora in corso.

Una volta installata, la backdoor si collega al proprio server C&C (Comando e Controllo) ricevendone una chiave di cifratura. La tecnica crittografica RC4, insieme con transazioni HTTP studiate per confondersi con il normale traffico di rete, viene utilizzata per le comunicazioni della backdoor. Le funzionalità di base di Etumbot permettono di eseguire comandi oltre che di caricare e scaricare file.

Gli attaccanti cercano di mascherare il malware sfruttando una tecnica nota come “byte string” o “string stacking”. Grazie all’impiego dei tool ASERT, queste stringhe vengono ripristinate in modo intellegibile e quindi evidenziate agli occhi dei ricercatori.

Una timeline contenente i documenti usati per distrarre le vittime e gli indicatori di backdoor e dropper comprensivi di hash MD5, informazioni sul server di Comando e Controllo, ed elementi del file system e del processo sono disponibili su .
È stato osservato il ricorso al connection bouncer HTran, a indicare che i server C&C selezionati sono semplicemente siti compromessi impiegati per inoltrare il traffico altrove.

Per scaricare il report completo ASERT Threat Intelligence Brief 2014-07: Illuminating the Etumbot APT Backdoor, cliccare qui.

GUEST POST: eleonora.ballatori@seigradi.com

Sostieni Assodigitale.it nella sua opera di divulgazione

Grazie per avere selezionato e letto questo articolo che ti offriamo per sempre gratuitamente, senza invasivi banner pubblicitari o imbarazzanti paywall e se ritieni che questo articolo per te abbia rappresentato un arricchimento personale e culturale puoi finanziare il nostro lavoro con un piccolo sostegno di 1 chf semplicemente CLICCANDO QUI.

[amazon_link template=”ProductAd” asins=”0″ marketplace=”IT” link_id=”11111-11111-11111-111111″][/amazon_link]
[amazon_link template=”LINK-TESTUALE” asins=”0″ marketplace=”IT” link_id=”11111-11111-11111-111111″][/amazon_link]
[amazon_link template=”asso-link” asins=”0″ marketplace=”IT” link_id=”11111-11111-11111-111111″][/amazon_link]
[amazon_link template=”asso-box” asins=”0″ marketplace=”IT” link_id=”11111-11111-11111-111111″][/amazon_link]

Bitcoiner Evangelist, portatore sano di Ethereum e Miner di crypto da tempi non sospetti. Sono a dir poco un entusiasta della vita, e già questo non è poco. Intimamente illuminato dalla Cultura Life-Hacking, nonchè per sempre ed indissolubilmente Geek, giocosamente Runner e olisticamente golfista. #senzatimore è da decenni il mio hashtag e significa il coraggio di affrontare l'ignoto. Senza Timore. Appunto

DIRETTORE EDITORIALE

PUBBLICITA’ – COMUNICATI STAMPA – PROVE PRODOTTI

Per acquistare pubblicità CLICCA QUI

Per inviarci comunicati stampa e per proporci prodotti da testare prodotti CLICCA QUI

#ASSODIGITALE.

PUBBLICITA’ COMUNICATI STAMPA

Per acquistare pubblicità potete richiedere una offerta personalizzata scrivendo al reparto pubblicitario.

Per pubblicare un comunicato stampa potete richiedere una offerta commerciale scrivendo alla redazione.

Per inviarci prodotti per una recensione giornalistica potete scrivere QUI

Per informazioni & contatti generali potete scrivere alla segreteria.

Tutti i contenuti pubblicati all’interno del sito #ASSODIGITALE. “Copyright 2024” non sono duplicabili e/o riproducibili in nessuna forma, ma possono essere citati inserendo un link diretto e previa comunicazione via mail.

FONTE UFFICIALE GOOGLE NEWS

#ASSODIGITALE. da oltre 20 anni rappresenta una affidabile fonte giornalistica accreditata e certificata da Google News per la qualità dei suoi contenuti.

#ASSODIGITALE. è una testata editoriale storica che dal 2004 ha la missione di raccontare come la tecnologia può essere utile per migliorare la vita quotidiana approfondendo le tematiche relative a: TECH & FINTECH + AI + CRYPTO + BLOCKCHAIN + METAVERSE & LIFESTYLE + IOT + AUTOMOTIVE + EV + SMART CITIES + GAMING + STARTUP.