• BitMAT
  • BitMATv
  • Top Trade
  • Linea EDP
  • Itis Magazine
  • Industry 5.0
  • Sanità Digitale
  • ReStart in Green
  • Contattaci
Close Menu
LineaEDPLineaEDP
    Facebook X (Twitter) Vimeo Instagram LinkedIn RSS
    Trending
    • Lo streaming dei dati abilita l’innovazione dei prodotti AI
    • StarWind Software acquisita da DataCore
    • Dell Technologies per progettare data center più moderni
    • OVHcloud lancia il nuovo data center a Milano, con il Public Cloud disponibile nella multizona 3-AZ
    • Portworx e Red Hat per promuovere risparmi e semplicità operativa
    • Cyber attacchi: l’Italia è maglia nera mondiale
    • Navigare in rete in modo sicuro: consigli pratici ed accorgimenti per non correre rischi
    • Attacchi informatici: Russia, UE e Asia nel mirino
    Facebook X (Twitter) Vimeo Instagram LinkedIn RSS
    LineaEDPLineaEDP
    • Cio
    • Cloud
    • Mercato
    • News
    • Tecnologia
    • Case History
    • Report
    • Sicurezza
    • IOT
    LineaEDPLineaEDP
    Sei qui:Home»Categorie Funzionali»Posizione Home-Page»Posizione Primo Piano»EyePyramid: Trend Micro tenta una prima analisi

    EyePyramid: Trend Micro tenta una prima analisi

    By Redazione LineaEDP11/01/20174 Mins Read
    Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email

    Il Senior Threat Research della società analizza le questioni tecnicamente rilevanti dell’operazione di cyberspionaggio portata alla luce dalla Polizia Postale

    A cura di Federico Maggi, Senior Threat Researcher Trend Micro

    Federico Maggi, Senior Threat Research di Trend Micro ha elaborato una prima analisi a caldo sull’operazione EyePyramid.

    L’analisi si basa sull’Ordinanza di Custodia Cautelare del GIP dott. M. P. Tomaselli (PDF) oltre a una serie di analisi condotte dal ricercatore su fonti pubbliche e cerca di limitarsi alle questioni tecnicamente rilevanti, tralasciando informazioni personali come nomi e cognomi di facile reperibilità.

    Cosa è successo?

    Furto di informazioni riservate quali, ad esempio:

    • 18.327 username
    • 1.793 password
    • dati digitati via tastiera (rubati attraverso un keylogger)
    Si stimano circa di 87GB di dati, che ovviamente vanno oltre quanto elencato qui sopra. Sull’Ordinanza altri dettagli.

    Quando?

    Dal 2012 ad oggi.
    Precedenti versioni del malware impiegato (di origini sconosciute, salvo speculazioni) sembrano essere state impiegate nel 2008, 2010, 2011 e 2014 in diverse campagne di spear-phishing.

    Contro chi?

    Le informazioni riservate oggetto di furto sono riferite, prodotte o in altro modo appartenenti a: professionisti, privati e pubblici, operanti in settori chiave dello Stato.

    I domini degli indirizzi email sono:

    • enav.it
    • istruzione.it
    • gdf.it
    • bancaditalia.it
    • camera.it
    • senato.it
    • esteri.it
    • tesoro.it
    • finanze.it
    • interno.it
    • istut.it
    • matteorenzi.it
    • partitodemocratico.it
    • pdl.it
    • cisl.it
    • comune.roma.it
    • regione.campania.it
    • regione.lombardia.it
    • unibocconi.it

    Come?

    L’aggressore (o gli aggressori) ha seguito questi passi:
    1. Preparano (meglio, riutilizzano una versione modificata di) un malware che sembra fare hooking delle API di MailBee.NET.dll (una libreria .NET usata per creare applicazioni di posta elettronica) per intercettare i dati gestiti dai programmi di posta elettronica. In particolare, la chiave di licenza del componente MailBee sarebbe (? = illeggibile) MN600-D8102?501003102110C5114F1?18–0E8CI
    2. Compromette (non si sa bene come) alcune caselle email (sono almeno 15 quelle note), in particolare caselle appartenenti a vari studi legali
    3. Si collega alla rete Tor (per quanto informazione poco utile, l’unico exit node noto è 37.49.226[.]236)
    4. Attraverso un mail server (tra quelli noti c’è il mail server di Aruba 62.149.158[.]90) invia delle mail alle vittime usando come mittente un indirizzo email delle caselle compromesse, contenenti un allegato malevolo (c’è chi sostiene che si tratti di un PDF: fonte non certa)
    5. Attende che le vittime aprano gli allegati, avviando quindi il malware
    6. Il malware invia i dati sottratti verso diverse caselle di posta gestite dall’aggressore

    Dettagli

    Indirizzi email

    Usati attualmente per raccogliere le informazioni riservate

    • gpool@hostpenta[.]com
    • hanger@hostpenta[.]com
    • hostpenta@hostpenta[.]com
    • ulpi715@gmx[.]com — incerto

    Usati nel 2010 allo stesso scopo

    • purge626@gmail[.]com
    • tip848@gmail[.]com
    • dude626@gmail[.]com
    • octo424@gmail[.]com

    Usati come mittenti delle mail di spear-phishing

    • antoniaf@poste[.]it
    • mmarcucci@virgilio[.]it
    • i.julia@blu[.]it
    • g.simeoni@inwind[.]it
    • g.latagliata@live[.]com
    • rita.p@blu[.]it
    • b.gaetani@live[.]com
    • gpierpaolo@tin[.]it
    • e.barbara@poste[.]it
    • stoccod@libero[.]it
    • g.capezzone@virgilio[.]it
    • baldarim@blu[.]it
    • ?.elsajuliette@blu[.]it
    • dipriamoj@alice[.]it
    • izabelle.d@blu[.]it

    Altri:

    • lu_1974@hotmail[.]com

    Host (C&C)

    • eyepyramid[.]com
    • hostpenta[.]com
    • ayexisfitness[.]com
    • enasrl[.]com
    • eurecoove[.]com
    • marashen[.]com
    • millertaylor[.]com
    • occhionero[.]com
    • occhionero[.]info
    • wallserv[.]com
    • westlands[.]com

    URL

    • hostpenta[.]com/contacts
    • westlands[.]com/Web/Sites/hostpenta[.]com

    IP (C&C)

    • 217.115.113[.]181 (Irlanda)
    • 216.176.180[.]188 (Seattle, Washington, Stati Uniti)
    • 65.98.88[.]29 (Clifton, New York, Stati Uniti)
    • 199.15.251[.]75 (Baltimore, Maryland, Stati Uniti)
    • 216.176.180[.]181 (Seattle, Washington, Stati Uniti)

    Nomi di file

    • InfoPyramid.accdb — database trovato su hostpenda[.]com contenenente i dati esfiltrati
    • hiwater.mrk
    • smtps.xml
    • graph.bak
    • tasks.xml
    • alerts.txt

    Compilazione e stralci di informazioni relative al codice sorgente

    • Visual Studio (software usato per compilare “Eye Manager,” questo sarebbe il nome del software di gestione)
    • Hangeron (modulo)
    • Mailfaker (modulo)
    • fHangeron.Menu.Web.vb (file)
    • m.Core.vb (file)
    • cEmailJob.vb (file)
    • mWakeUP.vb
    • ds1 (variabile)
    • ms1 (variabile)
    • dc1 (variabile)
    • ds2 (variabile)
    • ms2 (variabile)
    • dc2 (variabile)

    Altre stringhe

    • MDaemon
    • MailDemon (interessante: un tecnico avrebbe usato “MailDaemon”, salvo che non si tratti di un errore di trascrizione)
    • InfoPyramid
    • MN600–849590C695DFD9BF69481597241E-668C (chiave di licenza del componente .NET MailBee)
    • MN600–841597241E8D9BF6949590C695DF-774D (chiave di licenza del componente .NET MailBee)
    • MN600–3E3A3C593AD5BAF50F55A4ED60F0–385D (chiave di licenza del componente .NET MailBee)
    • MN600-AD58AF50F55A60E043E3A3C593ED-874A (chiave di licenza del componente .NET MailBee)
    • PCMDPWD (tiro a indovinare: PC Mail Daemon Password?)
    • WEBDECCERTPWDNFW

    analisi EyePyramid Italia spionaggio trend micro
    Share. Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email
    Redazione LineaEDP
    • Facebook
    • X (Twitter)

    LineaEDP è parte di BitMAT Edizioni, una casa editrice che ha sede a Milano con copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.

    Correlati

    Dell Technologies per progettare data center più moderni

    22/05/2025

    Portworx e Red Hat per promuovere risparmi e semplicità operativa

    22/05/2025

    Cyber attacchi: l’Italia è maglia nera mondiale

    22/05/2025
    Newsletter

    Iscriviti alla Newsletter per ricevere gli aggiornamenti dai portali di BitMAT Edizioni.

    Security Words

    INFRASTRUTTURA APPLICATIVA: PROTEGGIAMOLA

    29/01/2024

    PASSWORD E STRATEGIA

    29/01/2024
    BitMATv – I video di BitMAT
    Transizione 5.0: vuoi il 45% sui software?
    Stormshield: Zero Trust pilastro della security aziendale
    RENTRI: regole pratiche per uscirne vivi
    Vertiv: come evolve il mondo dei data center
    2VS1 incontra GCI: focus sulle competenze
    Defence Tech

    Cyber attacchi: l’Italia è maglia nera mondiale

    22/05/2025

    Attacchi informatici: Russia, UE e Asia nel mirino

    21/05/2025

    Sicurezza: AI sempre più sfidante

    21/05/2025

    Computer ICS sempre sotto minaccia cyber: l’analisi di Kaspersky

    20/05/2025
    Report

    Lo streaming dei dati abilita l’innovazione dei prodotti AI

    22/05/2025

    Aziende italiane e Intelligenza Artificiale: a che punto siamo?

    12/05/2025

    L’AI irrompe nel manufacturing

    02/05/2025

    L’AI è il futuro, ma senza dati rimane solo una promessa

    02/05/2025
    Rete BitMAT
    • Bitmat
    • BitMATv
    • Top Trade
    • LineaEdp
    • ItisMagazine
    • Speciale Sicurezza
    • Industry 4.0
    • Sanità Digitale
    • Redazione
    • Contattaci
    NAVIGAZIONE
    • Cio
    • Cloud
    • Mercato
    • News
    • Tecnologia
    • Case History
    • Report
    • Sicurezza
    • IOT
    Chi Siamo
    Chi Siamo

    BitMAT Edizioni è una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione online ed offline rivolta agli specialisti dell'lnformation & Communication Technology.

    Facebook X (Twitter) Instagram Vimeo LinkedIn RSS
    • Contattaci
    • Cookies Policy
    • Privacy Policy
    • Redazione
    © 2012 - 2025 BitMAT Edizioni - P.Iva 09091900960 - tutti i diritti riservati - Iscrizione al tribunale di Milano n° 293 del 28-11-2018 - Testata giornalistica iscritta al ROC

    Type above and press Enter to search. Press Esc to cancel.