PILLOLE DI #MALWAREANALYSIS
APC injection
Una delle tecniche utilizzate dai malware per infettare un device in ambiente windows è la #APCinjection.
APC è l’acronimo di Asyncronous Procedure Call e si riferisce ad una funzione che viene eseguita asincronamente nel contesto di uno specifico thread.
Quando una APC viene inserita nella coda di attesa di un thread viene inviata una interrupt da parte del sistema.
Quando il thread passa da uno stato alertable allo stato running, la APC viene eseguita.
Affinchè un #malware possa eseguire una APC injection per prima cosa deve individuare il thread target ed aprirlo con la funzione OpenThread().
Parlando di una APC injection in user mode, una volta ottenuto l’id del thread viene chiamata la funzione QueueUserAPC().
Questa ha 3 differenti parametri:
1) L’handle del thread target
2) Un puntatore alla funzione da iniettare
3) Una struttura contenente i parametri da passare alla funzione
Tipicamente un malware che esegue questa azione utilizza le seguenti funzioni:
1) Ottiene lo snapshot della memoria (CreatToolHelp32Snapshot)
2) cerca il processo target (Process32First e Process32Next
3) Lo apre (OpenProcess)
4) inietta la routine malevola con WriteProcessMemory
5) cerca il thread target (Thread32First e Thread32Next)
6) Lo apre con OpenThread
7) Inserisce la funzione nella coda APC con QueueUserAPC
8) Infine fa entrare il processo in uno stato alertable con Sleep (o funzioni simili).
Questa tecnica viene identificata con l’id T1055.004 all’interno della #Mitre Att&ck.
Il conflitto in Ucraina continua a rappresentare una grave crisi con profonde implicazioni geopolitiche. Iniziato nel 2014 con l'annessione della Crimea da parte della Russia e l'escalation nel Donbass, questo conflitto ha esacerbato le tensioni tra Est e Ovest, influenzando significativamente la sicurezza in Europa e nel mondo. L'escalation della situazione con la piena invasione da parte della Russia nel febbraio 2022 ha aggravato ulteriormente la crisi, scatenando una vasta crisi umanitaria e costringendo numerosi paesi a rivedere le loro politiche di difesa e sicurezza.
Questa rinnovata tensione ha stimolato una profonda riflessione sulle alleanze e strategie di sicurezza, specialmente in Europa, dove NATO e Unione Europea hanno amplificato il loro supporto all'Ucraina, sia in termini militari che economici. Questo ha modificato radicalmente le dinamiche geopolitiche, accentuando la polarizzazione tra la Russia e un Occidente sempre più coeso.
Parallelamente alla guerra fisica, la guerra cibernetica ha assunto un ruolo critico. Il gruppo di cyber warfare russo, Sandworm, legato all'intelligence militare russa, si è distinto per la sua attività intensa. Notoriamente riconosciuto come una delle minacce cibernetiche più gravi a livello globale, Sandworm ha preso di mira diverse aziende nei settori dell'energia, dell'acqua e del riscaldamento in Ucraina a marzo, come riferito dal Computer Emergency Response Team (CERT) ucraino.
Questi attacchi hanno coinciso con le dichiarazioni del presidente ucraino Volodymyr Zelenskyy sulla preparazione del paese per una potenziale grande offensiva russa prevista per maggio. Oltre agli attacchi cibernetici, la Russia ha colpito fisicamente il settore energetico e la rete elettrica ucraina, incluso un tentativo fallito di eliminare tutti i dati di numerose sottostazioni energetiche nell'aprile 2022.
Sandworm ha guadagnato notorietà per le sue capacità avanzate di hacking e per il bersaglio dei settori dell'infrastruttura critica, non solo in Ucraina ma globalmente. Un rapporto recente di Mandiant ha descritto Sandworm come uno strumento flessibile al servizio degli ampi interessi nazionali della Russia, incluso il tentativo di minare i processi democratici a livello mondiale.
In risposta, il CERT ucraino ha emesso avvertimenti urgenti e rafforzato le misure di sicurezza, sottolineando l'importanza della vigilanza e della cooperazione internazionale per contrastare queste minacce. Hanno identificato e segnalato l'uso di una nuova backdoor denominata "Kapeka", usata per infiltrarsi nelle reti e facilitare ulteriori attacchi. Questo evidenzia non solo la pericolosità delle capacità offensive di Sandworm, ma anche l'evoluzione continua delle strategie di guerra cibernetica da parte degli attori statali.
La situazione attuale del conflitto mostra quindi una crisi continua sia a livello fisico che cibernetico, con le infrastrutture informatiche che diventano obiettivi primari. L'impegno del CERT ucraino nel rafforzare le difese nazionali è essenziale per la resilienza del paese contro questi attacchi, che mirano a indebolire sia la sicurezza nazionale che il morale civile. La risposta dell'Ucraina e della comunità internazionale rimane un fattore cruciale nel determinare l'andamento e l'esito del conflitto.