Possibile attacco cyber a compagnie di telecomunicazioni in Medio Oriente

 

 

Il team Threat Intelligence di Telsy ha identificato un possibile attacco Grunt Covenant multi-stage rivolto a una delle principali società di telecomunicazioni in Iran.

Introduzione

In questo articolo esamineremo i diversi passaggi che l’attaccante ha intrapreso per distribuire un Grunt Covenant alle sue vittime. Telsy non dispone di molte informazioni sull’esatta intenzione di questo attacco, infatti non ci sono elementi per attribuirlo ad una specifica operazione di cyber espionage e ad uno specifico threat actor o ad una semplice operazione di Red Team.

Covenant è un framework di comando e controllo basato su C# che consente a un utente malintenzionato di creare payload basati su diversi vettori di infezione. Il framework Covenant ha il proprio set di payload per la fase di post-exploitation chiamati Grunts.

I Grunts consentono le comunicazioni con i server C2 mentre i task vengono inviati al sistema infettato in un formato di assembly C# e sono caricati ed eseguiti dai Grunts. L’attacco è iniziato inviando un’e-mail con il seguente oggetto “The License Resource Overs the Threshold on TA_eSight” e con un allegato denominato “TA_eSight.docx”.

L’oggetto della mail sembra simulare un possibile problema con la licenza della piattaforma eSight. eSight è la suite software di Huawei utile alla pianificazione, alla gestione e alla manutenzione di complesse infrastrutture ICT aziendali.

Inoltre, offre una varietà di funzioni, tra cui il supporto per il monitoraggio e la manutenzione remota di CPE (Customer-Premises Equipment), eNodeB e dispositivi di rete core, aiutando gli utenti a implementare rapidamente reti eLTE e individuare guasti a costi inferiori con maggiore efficienza e maggiore stabilità.

Sia il destinatario che il mittente dell’email individuate sono due ingegneri dell’area PS Core della mobile telecom network area. Infatti, il mittente è un “Evolved Packet Core Planning Engineer” di Irancell, società in parte di proprietà del gruppo sudafricano MTN, il quale sembra essere un legittimo account ma compromesso.

Leggi l’intero rapporto a questo link

Leggi gli altri report cyber sul blog di Telsy.

 

Telsy Cyber Threat Intelligence TeamVedi tutti gli articoli

Il team "Cyber Threat Intelligence" di Telsy è formato da professionisti con oltre dieci anni di esperienza nel campo della sicurezza informatica. Al suo interno ci sono figure professionali con diverse capacità, acquisite in contesti come Red Team, Cyber Threat Intelligence, Incident Response, Malware Analysis, Threat Hunting. Il principale obiettivo del Team è la raccolta e l'analisi di informazioni al fine di caratterizzare possibili minacce cyber, in relazione a contesti operativi specifici. Tale attività consente di avere una knowledgebase degli avversari comprensiva delle loro Tecniche Tattiche e Procedure (TTP), dei loro principali target nonché l'impatto che potrebbero avere sul business dei clienti Telsy.

Login

Benvenuto! Accedi al tuo account

Ricordami Hai perso la password?

Lost Password

My Agile Privacy
Questo sito utilizza cookie tecnici e di profilazione. Cliccando su accetta si autorizzano tutti i cookie di profilazione. Cliccando su rifiuta o la X si rifiutano tutti i cookie di profilazione. Cliccando su personalizza è possibile selezionare quali cookie di profilazione attivare. Inoltre, questo sito installa Google Analytics nella versione 4 (GA4) con trasmissione di dati anonimi tramite proxy. Prestando il consenso, l'invio dei dati sarà effettuato in maniera anonima, tutelando così la tua privacy.
Attenzione: alcune funzionalità di questa pagina potrebbero essere bloccate a seguito delle tue scelte privacy: