{"id":44083,"date":"2019-10-01T13:30:53","date_gmt":"2019-10-01T11:30:53","guid":{"rendered":"https:\/\/www.area-press.eu\/comunicatistampa\/?p=44083"},"modified":"2019-10-01T13:30:53","modified_gmt":"2019-10-01T11:30:53","slug":"sednit-individuati-nuovi-componenti-della-famiglia-di-malware-zebrocy","status":"publish","type":"post","link":"https:\/\/www.area-press.eu\/comunicatistampa\/2019\/10\/01\/sednit-individuati-nuovi-componenti-della-famiglia-di-malware-zebrocy\/","title":{"rendered":"Sednit: individuati nuovi componenti della famiglia di malware Zebrocy"},"content":{"rendered":"<p>I ricercatori di ESET hanno individuato nuovi componenti di Zebrocy, la famiglia di malware utilizzata dal famigerato gruppo <strong>Sednit<\/strong>, noto anche come <strong>APT28<\/strong>, <strong>Fancy Bear<\/strong>, <strong>Sofacy<\/strong> o <strong>STRONTIUM. O<\/strong>perativo almeno dal 2004, negli ultimi anni questo gruppo \u00e8 spesso salito alla ribalta con attacchi di alto profilo come ad esempio nel 2016, quando il Dipartimento di Giustizia degli Stati Uniti ha accusato il gruppo di essere responsabile della violazione al <strong>Democratic National Committee<\/strong> (DNC) poco prima delle elezioni degli Stati Uniti. Si presume inoltre che il gruppo sia dietro l\u2019hacking della rete televisiva globale TV5Monde, la perdita di e-mail dell\u2019Agenzia mondiale antidoping (WADA) e a molti altri attacchi.<\/p>\n<p>A fine agosto, il gruppo ha lanciato una nuova campagna destinata ai loro classici obiettivi &#8211; ovvero ambasciate e ministeri degli affari esteri nei paesi dell\u2019Europa orientale e dell\u2019Asia centrale \u2013 attraverso nuovi componenti della famiglia di malware Zebrocy.<\/p>\n<p><strong>Un complicato sistema di infezione<\/strong><\/p>\n<p>Quando un dispositivo viene preso di mira dai componenti di Zebrocy, il processo \u00e8 di solito piuttosto evidente, poich\u00e9 la vittima ha almeno sei componenti dannosi rilasciati sul computer prima dell\u2019esecuzione del payload finale. Tali attivit\u00e0 possono facilmente innescare diversi campanelli di allarme per un prodotto di sicurezza.<\/p>\n<p>Il documento allegato all\u2019email di phishing \u00e8 vuoto ma fa riferimento a un modello remoto, wordData.dotm, ospitato su <strong>Dropbox<\/strong>. L\u2019apertura di questo documento in Word comporta il download di wordData.dotm e la sua integrazione nell\u2019ambiente di lavoro del documento associato, incluso qualsiasi contenuto attivo presente nel modello.<\/p>\n<p><strong>I downloader<\/strong><\/p>\n<p>Gli operatori di Sednit hanno utilizzato in passato numerosi downloader scritti in diverse linguaggi. Questa campagna ne impiega la versione pi\u00f9 recente, il Nim. SI tratta di un semplice binario predisposto per scaricare ed eseguire altri componenti, a cui per\u00f2 sono stati aggiunti due piccoli dettagli. Il primo \u00e8 probabilmente usato come trucco anti-sandbox e verifica che la prima lettera del file eseguito (lettera l qui o 0x6C in esadecimale) non sia stata cambiata. Il secondo \u00e8 un tipo di offuscamento in cui l\u2019operatore sostituisce le lettere \u201cplaceholder\u201d in una stringa con quelle corrette, a offset definiti.<\/p>\n<p><strong>La nuova backdoor<\/strong><\/p>\n<p>La nuova backdoor di Zebrocy non \u00e8 scritta come al solito in Delphi, ma in Golang. Si tratta della prima volta che viene rilevata questa backdoor, che risulta comunque molto simile a quella di Delphi. Questa nuova backdoor ha varie funzionalit\u00e0, tra cui la manipolazione dei file come creazione, modifica ed eliminazione, funzionalit\u00e0 di cattura screenshot e esecuzione di comandi tramite cmd.exe.<\/p>\n<p><strong>Conclusioni<\/strong><\/p>\n<p>Nuovi downloader, nuova backdoor: il gruppo Sednit \u00e8 sempre attivo e continua a migliorare i suoi componenti. Si tratta di effettive novit\u00e0? Non proprio. Osservandolo, sembra che il gruppo Sednit stia eseguendo il porting del codice originale o lo stia implementando in altri linguaggi nella speranza di eludere pi\u00f9 efficacemente i sistemi di rilevamento. Il sistema di compromissione iniziale rimane invariato, ma l\u2019utilizzo di un servizio come Dropbox per scaricare un modello remoto \u00e8 insolito per il gruppo.<\/p>\n<p><a href=\"http:\/\/www.eset.it\">ESET<\/a> consiglia a tutti gli utenti di prestare la massima attenzione prima di aprire gli allegati ad email sospette.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>I ricercatori di ESET hanno individuato nuovi componenti di Zebrocy, la famiglia di malware utilizzata dal famigerato gruppo Sednit, noto anche come APT28, Fancy Bear, Sofacy o STRONTIUM. Operativo almeno dal 2004, negli ultimi anni questo gruppo \u00e8 spesso salito alla ribalta con attacchi di alto profilo come ad esempio nel 2016, quando il Dipartimento [&hellip;]<\/p>\n","protected":false},"author":4630,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[29],"tags":[],"class_list":["post-44083","post","type-post","status-publish","format-standard","hentry","category-comunicati"],"acf":[],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v27.6 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>Sednit: individuati nuovi componenti della famiglia di malware Zebrocy - area-press.eu<\/title>\n<meta name=\"robots\" content=\"noindex, follow\" \/>\n<meta property=\"og:locale\" content=\"it_IT\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Sednit: individuati nuovi componenti della famiglia di malware Zebrocy - area-press.eu\" \/>\n<meta property=\"og:description\" content=\"I ricercatori di ESET hanno individuato nuovi componenti di Zebrocy, la famiglia di malware utilizzata dal famigerato gruppo Sednit, noto anche come APT28, Fancy Bear, Sofacy o STRONTIUM. Operativo almeno dal 2004, negli ultimi anni questo gruppo \u00e8 spesso salito alla ribalta con attacchi di alto profilo come ad esempio nel 2016, quando il Dipartimento [&hellip;]\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.area-press.eu\/comunicatistampa\/2019\/10\/01\/sednit-individuati-nuovi-componenti-della-famiglia-di-malware-zebrocy\/\" \/>\n<meta property=\"og:site_name\" content=\"area-press.eu\" \/>\n<meta property=\"article:published_time\" content=\"2019-10-01T11:30:53+00:00\" \/>\n<meta name=\"author\" content=\"Elisabetta Giuliano\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Scritto da\" \/>\n\t<meta name=\"twitter:data1\" content=\"Elisabetta Giuliano\" \/>\n\t<meta name=\"twitter:label2\" content=\"Tempo di lettura stimato\" \/>\n\t<meta name=\"twitter:data2\" content=\"3 minuti\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\\\/\\\/www.area-press.eu\\\/comunicatistampa\\\/2019\\\/10\\\/01\\\/sednit-individuati-nuovi-componenti-della-famiglia-di-malware-zebrocy\\\/#article\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/www.area-press.eu\\\/comunicatistampa\\\/2019\\\/10\\\/01\\\/sednit-individuati-nuovi-componenti-della-famiglia-di-malware-zebrocy\\\/\"},\"author\":{\"name\":\"Elisabetta Giuliano\",\"@id\":\"https:\\\/\\\/www.area-press.eu\\\/comunicatistampa\\\/#\\\/schema\\\/person\\\/57eccba1555a52997f93d98b03b8fa69\"},\"headline\":\"Sednit: individuati nuovi componenti della famiglia di malware Zebrocy\",\"datePublished\":\"2019-10-01T11:30:53+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\\\/\\\/www.area-press.eu\\\/comunicatistampa\\\/2019\\\/10\\\/01\\\/sednit-individuati-nuovi-componenti-della-famiglia-di-malware-zebrocy\\\/\"},\"wordCount\":522,\"commentCount\":0,\"articleSection\":[\"Comunicati\"],\"inLanguage\":\"it-IT\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\\\/\\\/www.area-press.eu\\\/comunicatistampa\\\/2019\\\/10\\\/01\\\/sednit-individuati-nuovi-componenti-della-famiglia-di-malware-zebrocy\\\/#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/www.area-press.eu\\\/comunicatistampa\\\/2019\\\/10\\\/01\\\/sednit-individuati-nuovi-componenti-della-famiglia-di-malware-zebrocy\\\/\",\"url\":\"https:\\\/\\\/www.area-press.eu\\\/comunicatistampa\\\/2019\\\/10\\\/01\\\/sednit-individuati-nuovi-componenti-della-famiglia-di-malware-zebrocy\\\/\",\"name\":\"Sednit: individuati nuovi componenti della famiglia di malware Zebrocy - area-press.eu\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/www.area-press.eu\\\/comunicatistampa\\\/#website\"},\"datePublished\":\"2019-10-01T11:30:53+00:00\",\"author\":{\"@id\":\"https:\\\/\\\/www.area-press.eu\\\/comunicatistampa\\\/#\\\/schema\\\/person\\\/57eccba1555a52997f93d98b03b8fa69\"},\"breadcrumb\":{\"@id\":\"https:\\\/\\\/www.area-press.eu\\\/comunicatistampa\\\/2019\\\/10\\\/01\\\/sednit-individuati-nuovi-componenti-della-famiglia-di-malware-zebrocy\\\/#breadcrumb\"},\"inLanguage\":\"it-IT\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/www.area-press.eu\\\/comunicatistampa\\\/2019\\\/10\\\/01\\\/sednit-individuati-nuovi-componenti-della-famiglia-di-malware-zebrocy\\\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/www.area-press.eu\\\/comunicatistampa\\\/2019\\\/10\\\/01\\\/sednit-individuati-nuovi-componenti-della-famiglia-di-malware-zebrocy\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\\\/\\\/www.area-press.eu\\\/comunicatistampa\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Sednit: individuati nuovi componenti della famiglia di malware Zebrocy\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/www.area-press.eu\\\/comunicatistampa\\\/#website\",\"url\":\"https:\\\/\\\/www.area-press.eu\\\/comunicatistampa\\\/\",\"name\":\"area-press.eu\",\"description\":\"comunicati stampa &amp; press release\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/www.area-press.eu\\\/comunicatistampa\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"it-IT\"},{\"@type\":\"Person\",\"@id\":\"https:\\\/\\\/www.area-press.eu\\\/comunicatistampa\\\/#\\\/schema\\\/person\\\/57eccba1555a52997f93d98b03b8fa69\",\"name\":\"Elisabetta Giuliano\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"it-IT\",\"@id\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/9f2da407b906209a5c89e9f7c418e1cb6bafebf78ca0cf9c9884b8068e0718f4?s=96&d=mm&r=g\",\"url\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/9f2da407b906209a5c89e9f7c418e1cb6bafebf78ca0cf9c9884b8068e0718f4?s=96&d=mm&r=g\",\"contentUrl\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/9f2da407b906209a5c89e9f7c418e1cb6bafebf78ca0cf9c9884b8068e0718f4?s=96&d=mm&r=g\",\"caption\":\"Elisabetta Giuliano\"},\"url\":\"https:\\\/\\\/www.area-press.eu\\\/comunicatistampa\\\/author\\\/elisabetta-giuliano\\\/\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Sednit: individuati nuovi componenti della famiglia di malware Zebrocy - area-press.eu","robots":{"index":"noindex","follow":"follow"},"og_locale":"it_IT","og_type":"article","og_title":"Sednit: individuati nuovi componenti della famiglia di malware Zebrocy - area-press.eu","og_description":"I ricercatori di ESET hanno individuato nuovi componenti di Zebrocy, la famiglia di malware utilizzata dal famigerato gruppo Sednit, noto anche come APT28, Fancy Bear, Sofacy o STRONTIUM. Operativo almeno dal 2004, negli ultimi anni questo gruppo \u00e8 spesso salito alla ribalta con attacchi di alto profilo come ad esempio nel 2016, quando il Dipartimento [&hellip;]","og_url":"https:\/\/www.area-press.eu\/comunicatistampa\/2019\/10\/01\/sednit-individuati-nuovi-componenti-della-famiglia-di-malware-zebrocy\/","og_site_name":"area-press.eu","article_published_time":"2019-10-01T11:30:53+00:00","author":"Elisabetta Giuliano","twitter_card":"summary_large_image","twitter_misc":{"Scritto da":"Elisabetta Giuliano","Tempo di lettura stimato":"3 minuti"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/www.area-press.eu\/comunicatistampa\/2019\/10\/01\/sednit-individuati-nuovi-componenti-della-famiglia-di-malware-zebrocy\/#article","isPartOf":{"@id":"https:\/\/www.area-press.eu\/comunicatistampa\/2019\/10\/01\/sednit-individuati-nuovi-componenti-della-famiglia-di-malware-zebrocy\/"},"author":{"name":"Elisabetta Giuliano","@id":"https:\/\/www.area-press.eu\/comunicatistampa\/#\/schema\/person\/57eccba1555a52997f93d98b03b8fa69"},"headline":"Sednit: individuati nuovi componenti della famiglia di malware Zebrocy","datePublished":"2019-10-01T11:30:53+00:00","mainEntityOfPage":{"@id":"https:\/\/www.area-press.eu\/comunicatistampa\/2019\/10\/01\/sednit-individuati-nuovi-componenti-della-famiglia-di-malware-zebrocy\/"},"wordCount":522,"commentCount":0,"articleSection":["Comunicati"],"inLanguage":"it-IT","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/www.area-press.eu\/comunicatistampa\/2019\/10\/01\/sednit-individuati-nuovi-componenti-della-famiglia-di-malware-zebrocy\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/www.area-press.eu\/comunicatistampa\/2019\/10\/01\/sednit-individuati-nuovi-componenti-della-famiglia-di-malware-zebrocy\/","url":"https:\/\/www.area-press.eu\/comunicatistampa\/2019\/10\/01\/sednit-individuati-nuovi-componenti-della-famiglia-di-malware-zebrocy\/","name":"Sednit: individuati nuovi componenti della famiglia di malware Zebrocy - area-press.eu","isPartOf":{"@id":"https:\/\/www.area-press.eu\/comunicatistampa\/#website"},"datePublished":"2019-10-01T11:30:53+00:00","author":{"@id":"https:\/\/www.area-press.eu\/comunicatistampa\/#\/schema\/person\/57eccba1555a52997f93d98b03b8fa69"},"breadcrumb":{"@id":"https:\/\/www.area-press.eu\/comunicatistampa\/2019\/10\/01\/sednit-individuati-nuovi-componenti-della-famiglia-di-malware-zebrocy\/#breadcrumb"},"inLanguage":"it-IT","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.area-press.eu\/comunicatistampa\/2019\/10\/01\/sednit-individuati-nuovi-componenti-della-famiglia-di-malware-zebrocy\/"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/www.area-press.eu\/comunicatistampa\/2019\/10\/01\/sednit-individuati-nuovi-componenti-della-famiglia-di-malware-zebrocy\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/www.area-press.eu\/comunicatistampa\/"},{"@type":"ListItem","position":2,"name":"Sednit: individuati nuovi componenti della famiglia di malware Zebrocy"}]},{"@type":"WebSite","@id":"https:\/\/www.area-press.eu\/comunicatistampa\/#website","url":"https:\/\/www.area-press.eu\/comunicatistampa\/","name":"area-press.eu","description":"comunicati stampa &amp; press release","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.area-press.eu\/comunicatistampa\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"it-IT"},{"@type":"Person","@id":"https:\/\/www.area-press.eu\/comunicatistampa\/#\/schema\/person\/57eccba1555a52997f93d98b03b8fa69","name":"Elisabetta Giuliano","image":{"@type":"ImageObject","inLanguage":"it-IT","@id":"https:\/\/secure.gravatar.com\/avatar\/9f2da407b906209a5c89e9f7c418e1cb6bafebf78ca0cf9c9884b8068e0718f4?s=96&d=mm&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/9f2da407b906209a5c89e9f7c418e1cb6bafebf78ca0cf9c9884b8068e0718f4?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/9f2da407b906209a5c89e9f7c418e1cb6bafebf78ca0cf9c9884b8068e0718f4?s=96&d=mm&r=g","caption":"Elisabetta Giuliano"},"url":"https:\/\/www.area-press.eu\/comunicatistampa\/author\/elisabetta-giuliano\/"}]}},"_links":{"self":[{"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/posts\/44083","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/users\/4630"}],"replies":[{"embeddable":true,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/comments?post=44083"}],"version-history":[{"count":1,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/posts\/44083\/revisions"}],"predecessor-version":[{"id":44084,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/posts\/44083\/revisions\/44084"}],"wp:attachment":[{"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/media?parent=44083"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/categories?post=44083"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/tags?post=44083"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}