Suche
Mein Konto
Attacchi APT37: la nuova backdoor Rust mette in pericolo gli utenti sudcoreani!
APT37 utilizza la nuova backdoor “Rustonotto” basata su Rust per attacchi mirati ai sistemi Windows in Corea del Sud.
Attacchi APT37: la nuova backdoor Rust mette in pericolo gli utenti sudcoreani!
Una nuova ondata di attacchi suscita entusiasmo nel dinamico mondo della sicurezza informatica: il gruppo APT nordcoreano APT37, noto anche come LScarCruft, Ruby Sleet o Velvet Chollima, ha notevolmente ampliato il proprio arsenale di malware. Ciò che attira particolarmente l'attenzione è una nuova backdoor basata sul linguaggio di programmazione Rust chiamata “Rustonotto”, che attacca specificamente i sistemi Windows. Security Insider ha pubblicato queste informazioni.
I modelli di attacco di APT37 sono stati registrati principalmente in Corea del Sud. Questi attacchi utilizzano collegamenti dannosi di Windows o file CHM (Compiled HTML Help) come punto di ingresso. Tutte le attività vengono eseguite attraverso un unico server di comando e controllo, in modo che gli aggressori mantengano il controllo sui sistemi infiltrati. L’analisi delle minacce condotta dal ThreatLabz di Zscaler mostra chiaramente che Rustonotto è attivo da giugno 2025 ed è il primo malware basato su Rust conosciuto di questo gruppo.
Accesso singolare e tecniche sofisticate
Gli attacchi non sembrano essere diretti contro aziende o enti governativi, ma piuttosto contro individui con legami con il regime nordcoreano o questioni politiche delicate in Corea del Sud. APT37 utilizza una combinazione di diversi componenti malware, incluso lo strumento di monitoraggio “FadeStealer”, che non solo cattura le sequenze di tasti, ma acquisisce anche screenshot e registra dati audio. Questi dati vengono poi compressi in archivi RAR protetti da password e trasferiti al server C2. Le analisi di sicurezza mostrano che la compromissione avviene attraverso l'uso di misure anti-rilevamento come Transactional NTFS e Process Doppelganging, che rendono il rilevamento del malware ancora più difficile, come spiega Cyberpress.
Un'attività pianificata mascherata da “MicrosoftUpdate” esegue regolarmente il payload Rustonotto, garantendo così l'accesso permanente ai sistemi interessati. Il malware utilizza una combinazione di tecniche di codifica per coprire le sue tracce e influenzare la sorveglianza.
APT e i loro obiettivi
Il BSI (Ufficio federale per la sicurezza informatica) monitora da tempo l'attività di questi gruppi d'attacco. Nei loro rapporti documentano gli obiettivi strategici di questi gruppi, che possono cambiare nel tempo. L’attuale panorama delle minacce è caratterizzato da gruppi di aggressori a lungo termine che perseguono interessi specifici, con APT37 che gioca un ruolo importante, e che mirano a raccogliere informazioni, come in [BSI].
Gli aggressori operano spesso in una zona grigia dal punto di vista giuridico, il che rende le loro attività particolarmente esplosive. Grazie a tecnologie come i moderni linguaggi di programmazione e i sofisticati metodi di iniezione, APT37 ha dimostrato di essere non solo minaccioso ma anche estremamente adattabile. Le aziende e gli individui sono quindi incoraggiati a ripensare le proprie strategie di sicurezza informatica e a controllare regolarmente i sistemi esistenti per individuare eventuali segni di compromissione.
Il mondo delle minacce informatiche è sfuggente e in continua evoluzione, quindi tenere d'occhio la situazione di pericolo non può far male!