Recentemente, i ricercatori di Check Point hanno svelato che il gruppo di minacce Black Caracal è molto vivo e attivo.
Lo scoop
Si ritiene che il gruppo APT Dark Caracal sia collegato a un’agenzia di intelligence libanese. È stato scoperto sfruttando un nuovo ceppo del trojan Bandook di 13 anni nei suoi ultimi attacchi. Una varietà di settori e luoghi sono stati presi di mira nelle ultime campagne per accelerare le operazioni offensive di cyber-spionaggio.
Catena di infezioni
- Gli attori della minaccia utilizzano un documento Microsoft Word come esca. Il documento contiene uno script dannoso crittografato incorporato, insieme a un modello esterno con macro.
- La seconda fase rilascia un caricatore PowerShell che decodifica e implementa un PS con codifica base64.
- Il trojan Bandook arriva nella fase finale ed è scritto sia in C ++ che in Delphi.
Varianti di Bandook
- Un’intera versione non firmata con 120 comandi,
- Un’intera versione firmata con 120 comandi e
- Una versione attenuata firmata con 11 comandi.
La linea di fondo
Sebbene il gruppo Dark Caracal non sia sofisticato rispetto ad altri attori APT, ci sono stati miglioramenti significativi nelle sue tattiche di attacco nel corso degli anni.
La rinascita di Dark Caracalultima modifica: 2020-12-03T17:08:25+01:00da
Reposta per primo quest’articolo