Il malware RAT 9002 prende di mira aziende e enti governativi Italiani

Recentemente, l’Italia è stata bersaglio di una serie di attacchi informatici mirati, condotti dal gruppo noto come APT17, legato alla Cina. Questi attacchi hanno utilizzato una variante del malware RAT 9002 per compromettere aziende italiane e entità governative.

Dettagli degli attacchi

Gli attacchi sono stati rilevati dalla società di sicurezza informatica italiana TG Soft e si sono verificati in due occasioni principali: il 24 giugno e il 2 luglio 2024.

Fonte TG Soft

In entrambi i casi, l’attore ha utilizzato tecniche di spear-phishing per indurre le vittime a scaricare un pacchetto di installazione MSI per Skype for Business dal dominio “meeting[.]equitaligaiustizia[.]it“.

Fonte TG Soft

Una volta eseguito, il pacchetto installava contestualmente il malware RAT 9002 in modalità diskless, rendendo più difficile la rilevazione, instaurando una comunicazione bidirezionale con il proprio server C2 “themicrosoftnow[.]com“.

Fonte TG Soft

Funzionalità del malware RAT 9002

RAT 9002 è un trojan modulare che consente agli attaccanti di monitorare il traffico di rete, catturare schermate, gestire processi, enumerare file ed eseguire comandi ricevuti da un server remoto. Il malware è costantemente aggiornato con varianti diskless, che riducono ulteriormente la possibilità di intercettazione.

Tecniche di attacco

APT17 ha utilizzato vari moduli del RAT 9002, attivati secondo necessità per minimizzare il rischio di rilevamento. Durante l’analisi del campione, sono stati identificati moduli aggiuntivi come ScreenSpyS.dll per la cattura di schermate e RemoteShellS.dll per l’esecuzione di programmi.

Implicazioni e misure di sicurezza

Questi attacchi evidenziano la necessità per le aziende italiane e le entità governative di rafforzare le proprie difese informatiche. È fondamentale implementare misure di sicurezza avanzate, come l’uso di software antivirus aggiornati, la formazione del personale sulla sicurezza informatica e l’adozione di pratiche di gestione delle vulnerabilità.

La minaccia rappresentata dal malware RAT 9002 e dagli attacchi di APT17 sottolinea l’importanza di una vigilanza costante e di una risposta rapida agli incidenti di sicurezza per proteggere le infrastrutture critiche e i dati sensibili.

Su Salvatore Lombardo 359 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.