
Recentemente, l’Italia è stata bersaglio di una serie di attacchi informatici mirati, condotti dal gruppo noto come APT17, legato alla Cina. Questi attacchi hanno utilizzato una variante del malware RAT 9002 per compromettere aziende italiane e entità governative.
Dettagli degli attacchi
Gli attacchi sono stati rilevati dalla società di sicurezza informatica italiana TG Soft e si sono verificati in due occasioni principali: il 24 giugno e il 2 luglio 2024.

In entrambi i casi, l’attore ha utilizzato tecniche di spear-phishing per indurre le vittime a scaricare un pacchetto di installazione MSI per Skype for Business dal dominio “meeting[.]equitaligaiustizia[.]it“.

Una volta eseguito, il pacchetto installava contestualmente il malware RAT 9002 in modalità diskless, rendendo più difficile la rilevazione, instaurando una comunicazione bidirezionale con il proprio server C2 “themicrosoftnow[.]com“.

Funzionalità del malware RAT 9002
RAT 9002 è un trojan modulare che consente agli attaccanti di monitorare il traffico di rete, catturare schermate, gestire processi, enumerare file ed eseguire comandi ricevuti da un server remoto. Il malware è costantemente aggiornato con varianti diskless, che riducono ulteriormente la possibilità di intercettazione.
Tecniche di attacco
APT17 ha utilizzato vari moduli del RAT 9002, attivati secondo necessità per minimizzare il rischio di rilevamento. Durante l’analisi del campione, sono stati identificati moduli aggiuntivi come ScreenSpyS.dll per la cattura di schermate e RemoteShellS.dll per l’esecuzione di programmi.
Implicazioni e misure di sicurezza
Questi attacchi evidenziano la necessità per le aziende italiane e le entità governative di rafforzare le proprie difese informatiche. È fondamentale implementare misure di sicurezza avanzate, come l’uso di software antivirus aggiornati, la formazione del personale sulla sicurezza informatica e l’adozione di pratiche di gestione delle vulnerabilità.
La minaccia rappresentata dal malware RAT 9002 e dagli attacchi di APT17 sottolinea l’importanza di una vigilanza costante e di una risposta rapida agli incidenti di sicurezza per proteggere le infrastrutture critiche e i dati sensibili.