Sicurezza Informatica
Attore minaccia cinese ha abusato di una zero-day di ESXi per rubare file dai guest VM
Tempo di lettura: 3 minuti. Mandiant ha scoperto che un gruppo di cyber-spionaggio cinese ha sfruttato silenziosamente una vulnerabilità zero-day di autenticazione bypass in VMware ESXi per eseguire comandi privilegiati su macchine virtuali guest. L’articolo fornisce dettagli sulle tattiche e i metodi dell’attore minaccia UNC3886.
Un gruppo di cyber-spionaggio cinese precedentemente individuato dagli esperti nel mirino degli host VMware ESXi ha segretamente sfruttato una vulnerabilità zero-day di bypass dell’autenticazione nella tecnologia di virtualizzazione per eseguire comandi privilegiati su macchine virtuali guest.
I ricercatori di Mandiant hanno scoperto la vulnerabilità durante le indagini in corso su UNC3886, un attore minaccia cinese che viene monitorato da tempo e di cui hanno riferito l’anno scorso. Hanno divulgato la vulnerabilità a VMware, che ha rilasciato una patch per affrontare la falla martedì.
Zero-Day di Bypass dell’Autenticazione
La vulnerabilità zero-day (CVE-2023-208670) è presente in VMware Tools, un insieme di servizi e moduli per la gestione avanzata dei sistemi operativi guest.
Il bug consente agli aggressori di utilizzare un host ESXi compromesso per trasferire file da e verso macchine virtuali guest Windows, Linux e vCenter senza la necessità di credenziali guest e senza alcun registro predefinito delle attività in corso. VMware ha valutato la falla come di gravità media perché per sfruttarla l’attaccante deve già avere accesso root su un host ESXi.
UNC3886 ha utilizzato CVE-2023-208670 come parte di una catena di attacchi più ampia e sofisticata, che i ricercatori di Mandiant hanno svelato nei mesi scorsi.
Nel settembre 2022, Mandiant ha riferito di aver scoperto UNC3886 che utilizzava pacchetti di installazione di vSphere avvelenati, noti come VIB, per installare più backdoor, collettivamente denominati VirtualPITA e VirtualPIE, sugli hypervisor ESXi. Le backdoor consentivano agli attaccanti di mantenere un accesso amministrativo persistente all’hypervisor, di instradare comandi attraverso l’hypervisor per l’esecuzione su guest VM e di trasferire file tra l’hypervisor e le macchine guest. Il pacchetto malware ha anche permesso all’attore UNC3886 di manipolare il servizio di registrazione dell’hypervisor ed eseguire comandi arbitrari tra le guest VM sullo stesso hypervisor.
L’analisi di Mandiant ha mostrato che l’attore minaccia aveva bisogno di privilegi di amministratore sull’hypervisor ESXi per distribuire le backdoor. Tuttavia, non sono state trovate prove che gli attori di UNC3886 abbiano sfruttato alcuna vulnerabilità zero-day per violare l’ambiente ESXi o per distribuire i pacchetti VIB manipolati.
Nuovi dettagli sulle tattiche e i metodi dell’Attore
L’indagine continua del fornitore di sicurezza sulla campagna di UNC3886 – riassunta in un rapporto tecnico questa settimana – ha rivelato nuovi dettagli sulle tattiche e i metodi dell’attore minaccia. Ad esempio, è emerso che l’attore minaccia ha raccolto credenziali per gli account di servizio ESXi collegati dall’appliance vCenter Server e ha sfruttato CVE-2023-20867 per eseguire comandi privilegiati su macchine virtuali guest. La ricerca di Mandiant ha mostrato anche che gli attori di UNC3886 hanno distribuito altre backdoor, tra cui VirtualGATE, utilizzando l’interfaccia di comunicazione delle macchine virtuali (VMCI) per il movimento laterale e la persistenza aggiuntiva. “Questo… ha permesso una riconnessione diretta da qualsiasi guest VM alla backdoor compromessa dell’hypervisor, indipendentemente dalla segmentazione di rete o dalle regole del firewall in atto”, ha dichiarato Mandiant.
Il rapporto di Mandiant questa settimana fornisce dettagli tecnici sull’intera catena di attacco a partire dall’accesso privilegiato del threat actor al server vCenter dell’organizzazione e dal recupero delle credenziali degli account di servizio per tutti gli hypervisor ESXi collegati. Il rapporto descrive come gli attori di UNC3886 abbiano utilizzato queste credenziali per connettersi agli hypervisor ESXi, distribuire le backdoor VirtualPITA e VirtualPIE utilizzando i VIB e poi sfruttare CVE-2023-208670 per eseguire comandi di trasferimento file da e verso le macchine virtuali guest.
L’attore minaccia ha preso di mira gli hypervisor ESXi appartenenti a aziende di difesa, tecnologia e telecomunicazioni, ha affermato Mandiant.
“Per consentire connessioni a molti host ESXi contemporaneamente, UNC3886 ha preso di mira i server vCenter, ciascuno dei quali amministra più host ESXi”, afferma Alex Marvi, consulente presso Mandiant di Google Cloud. “Ogni host ESXi crea un account di servizio chiamato ‘vpxuser’ quando viene inizialmente connesso a un server vCenter. UNC3886 è stato visto raccogliere questo account vpxuser su server vCenter per poter connettersi con diritti amministrativi a tutti gli host ESXi collegati”. Una volta connesso agli host ESXi, l’attore minaccia ha sfruttato CVE-2023-20867 per eseguire comandi e trasferire file sulle macchine virtuali in esecuzione senza la necessità delle credenziali degli ospiti, afferma.
Tecniche inedite
La raccolta di credenziali degli account di servizio ESXi collegati sui server vCenter e le capacità della backdoor del socket VMCI sono due nuove tecniche che Mandiant non ha visto utilizzare da altri attaccanti in passato, afferma Marvi. “Questo dovrebbe aiutare le organizzazioni a rilevare e rispondere a questo percorso di attacco, indipendentemente dal malware esatto in uso o dai comandi utilizzati”.
Mandiant ha valutato UNC3886 come un attore minaccia particolarmente abile nel mirare e sfruttare bug zero-day nelle tecnologie di firewall e virtualizzazione che non supportano le tecnologie di rilevamento e risposta agli endpoint. I suoi obiettivi principali sono negli Stati Uniti e nelle organizzazioni della regione Asia-Pacifico e del Giappone. Secondo Marvi, UNC3886 ha dimostrato la capacità di adattare i percorsi e le tattiche degli attaccanti quando necessario. Egli fa riferimento a un nuovo set di strumenti malware che l’attore minaccia ha utilizzato su dispositivi Fortinet come prova delle sue capacità e dell’accesso alle risorse necessarie per effettuare attacchi altamente sofisticati.
“UNC3886 si è dimostrato un attore minaccia flessibile ma altamente capace, che modifica progetti open source per completare la loro missione”, afferma. “Sostengo che le TTP (tattiche, tecniche e procedure) di questo gruppo sono più dinamiche che uniche, costruite attorno alle esatte necessità per riacquistare l’accesso o persistere in un ambiente con cui vengono forniti accesso”
Sicurezza Informatica
Esplosione di malware JavaScript nei Siti con plugin LiteSpeed Cache
Tempo di lettura: 2 minuti. Scopri l’impennata di malware JavaScript che colpisce i siti con versioni vulnerabili del plugin LiteSpeed Cache e come proteggere il tuo sito.
Un’ondata di infezioni di malware JavaScript sta colpendo i siti WordPress che utilizzano versioni vulnerabili del plugin LiteSpeed Cache. Questo malware inietta codice in file critici di WordPress e nelle basi dati, compromettendo gravemente la sicurezza del sito.
Segnali di Contaminazione
Se noti l’utente amministratore wpsupp-user sul tuo sito, è probabile che sia stato infettato. Altri segni includono codice malevolo nei file del sito e stringhe sospette nel database, specialmente associati con la versione vulnerabile di LiteSpeed Cache.
Procedure di pulizia
- Revisione dei Plugin: Controlla i plugin installati, applica gli aggiornamenti disponibili e elimina le cartelle associate ai plugin sospetti.
- Utenti Maliziosi: Stai attento agli utenti con privilegi di amministratore, come wpsupp-user e wp-configuser.
- Ricerca nel Database: Cerca stringhe sospette come “eval(atob(Strings.fromCharCode” nell’opzione litespeed.admin_display.messages.
Identificazione di URL e IP malevoli
- Gli URL maliziosi spesso includono https[:]//dns[.]startservicefounds.com/service/f[.]php, https[:]//api.startservicefounds.com, e https[:]//cache[.]cloudswiftcdn[.]com.
- Presta attenzione agli IP associati al malware, come 45.150.67.235.
Vettore d’Attacco – LiteSpeed Cache < 5.7.0.1
Gli aggressori possono iniettare questo script nelle versioni vulnerabili del plugin LiteSpeed, rappresentando un rischio per la sicurezza. I log del WAF dell’ultimo mese hanno mostrato un picco insolito di accessi a questa URL il 2 aprile e poi nuovamente il 27 aprile. Gli IP più comuni che probabilmente cercavano siti vulnerabili erano 94.102.51.144, con 1,232,810 richieste, e 31.43.191.220 con 70,472 richieste. Questa situazione sottolinea l’importanza di mantenere aggiornati i plugin come Litespeed e monitorare attivamente la sicurezza dei siti web per prevenire infezioni malware da Javascript e mitigare rischi.
Cos’è LightSpeed Cache?
LiteSpeed Cache è un plugin di accelerazione del sito tutto-in-uno per WordPress, che offre una cache a livello di server esclusiva e una serie di funzionalità di ottimizzazione. Questo plugin è particolarmente efficace quando è utilizzato in combinazione con il server web LiteSpeed, permettendo di sfruttare appieno le funzionalità del server per migliorare drasticamente la velocità di caricamento delle pagine web.
Il plugin LiteSpeed Cache include strumenti per l’ottimizzazione del sito web per contenuti dinamici su siti WordPress, come immagini e pagine web, tramite la cache delle pagine, la minimizzazione dei CSS, JavaScript e HTML, l’ottimizzazione delle immagini e il caricamento pigro. Queste funzionalità aiutano a ridurre i tempi di caricamento, migliorare il punteggio di PageSpeed e aumentare l’usabilità complessiva del sito.
Per maggiori dettagli e per il download, puoi visitare la pagina ufficiale del plugin LiteSpeed Cache su WordPress.org o il sito di LiteSpeed Technologies.
Sicurezza Informatica
Sicurezza Informatica: protocollo tra Polizia di Stato e Engineering
Tempo di lettura: 2 minuti. Scopri il nuovo accordo di sicurezza informatica tra la Polizia di Stato e il Gruppo Engineering per potenziare la lotta contro il cybercrime.
Un importante accordo di sicurezza informatica è stato firmato a Roma tra la Polizia di Stato e il Gruppo Engineering. L’accordo è stato ratificato dal capo della Polizia, Vittorio Pisani, e Maximo Ibarra, amministratore delegato del Gruppo Engineering.
Obiettivi del protocollo
L’obiettivo principale di questa convenzione è sviluppare e potenziare le strategie di prevenzione e contrasto al cybercrime. Si prevede una collaborazione continua per adottare misure sempre più efficaci nel campo della sicurezza informatica.
Contributo del Gruppo Engineering
Il Gruppo Engineering, che conta oltre 70 aziende distribuite in 14 paesi tra Europa, Stati Uniti e Sud America, ha una storia quarantennale nel supporto alla digitalizzazione della Pubblica Amministrazione e delle imprese di vari settori. Il gruppo offre servizi informatici avanzati, sfruttando tecnologie all’avanguardia come Intelligenza Artificiale, Blockchain, Realtà Virtuale e Digital Twin. Con una forte competenza in cybersecurity, il gruppo garantisce alti livelli di sicurezza sia per sé stesso che per i suoi partner.
Ruolo della Polizia di Stato
La Polizia di Stato, attraverso la Polizia Postale, è deputata alla protezione delle infrastrutture critiche informatizzate di istituzioni e aziende che erogano servizi essenziali. Questa funzione è svolta principalmente dal Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (Cnaipic), che opera una sala operativa disponibile 24 ore su 24 e rappresenta il punto di contatto nazionale e internazionale per la gestione di eventi critici legati alle infrastrutture di rilievo nazionale.
Presenze notevoli
Alla firma della convenzione erano presenti importanti figure sia della Polizia di Stato, come Renato Cortese, direttore centrale per la Polizia Stradale, Ferroviaria, delle Comunicazioni e per i Reparti Speciali, e Ivano Gabrielli, direttore del servizio Polizia Postale, che del Gruppo Engineering S.p.A., inclusi il chief public affairs, Roberto Scrivo, e il Group chief information security officer, Pierluigi Carbone.
Questo accordo segna un passo significativo verso un rafforzamento della sicurezza informatica in Italia, mostrando l’importanza della collaborazione tra il settore pubblico e quello privato nel contrasto al cybercrime. Questo protocollo rappresenta un modello di cooperazione interistituzionale che potrebbe fornire un framework replicabile per altre iniziative simili, sia in Italia che a livello internazionale.
Sicurezza Informatica
Caccia a LockBit: ecco il leader della ransomware gang
Tempo di lettura: 2 minuti. Scopri come l’indagine internazionale ha portato all’arresto del capo del gruppo ransomware LockBit, segnando un importante successo nella lotta globale contro il cybercrime.
Le autorità degli Stati Uniti, insieme a quelle del Regno Unito e dell’Australia, hanno recentemente fatto importanti progressi nel contrasto del gruppo di ransomware LockBit, con l’incriminazione e la sanzione di Dmitry Yuryevich Khoroshev, un cittadino russo di 31 anni, accusato di essere il leader di questo infame gruppo. Khoroshev, assieme ad altri membri del gruppo, è ritenuto responsabile di attacchi su oltre 2,500 vittime in più di 120 paesi, causando danni miliardari e estorcendo pagamenti per un totale di almeno $500 milioni.
Le operazioni di LockBit
LockBit, attivo dal settembre 2019, è diventato noto per la sua abilità nel penetrare una vasta gamma di target, inclusi individui, piccole imprese, grandi corporazioni, istituzioni educative, ospedali e infrastrutture critiche. Il modello operativo del gruppo prevedeva il “doppio estorsione”, che comportava il pagamento di un riscatto per la chiave di decifratura dei sistemi colpiti e un ulteriore pagamento per evitare la pubblicazione di dati rubati.
L’Indagine e le sanzioni
La recente incriminazione di Khoroshev è il risultato di una collaborazione internazionale che ha visto un’azione coordinata per smantellare le infrastrutture online di LockBit. Gli Stati Uniti hanno giocato un ruolo chiave in questa operazione, con il Dipartimento di Giustizia che ha formalizzato le accuse e lanciato appelli alle vittime di LockBit per assistere nell’indagine. Inoltre, sono state poste in essere sanzioni finanziarie contro Khoroshev e altri membri del gruppo, congelando i loro beni e limitando ulteriormente la loro capacità operativa.
Le Implicazioni per la Sicurezza Globale
Questo caso sottolinea l’importanza della collaborazione internazionale nella lotta contro il cybercrime, specialmente per quanto riguarda i ransomware che possono colpire indiscriminatamente su scala globale. L’efficacia di tali operazioni non solo aiuta a neutralizzare minacce immediate, ma serve anche da deterrente per altri cybercriminali.
L’indagine su LockBit e l’incriminazione dei suoi leader è un esempio significativo di come la cooperazione transnazionale possa portare a risultati concreti nella lotta contro il cybercrime. Mentre la minaccia dei ransomware continua a evolversi, la determinazione e le risorse combinate di più nazioni rimangono strumenti cruciali per contrastare efficacemente questi attori malintenzionati. Questo episodio sottolinea la complessità e la pericolosità del panorama delle minacce cyber e l’importanza di un’azione coordinata per la sicurezza digitale globale.
- Cyber Security2 settimane fa
Vulnerabilità critiche nel software Cisco: dettagli e soluzioni
- Inchieste2 settimane fa
Papa Francesco sarà al G7 e l’Italia festeggia il DDL AI
- Cyber Security1 settimana fa
ACN: tutto quello che c’è da sapere sulla relazione annuale 2023
- Robotica2 settimane fa
Perché i Robot non riescono a superare gli animali in corsa?
- L'Altra Bolla2 settimane fa
Reddit rivoluziona l’E-Commerce con Dynamic Product Ads
- Economia1 settimana fa
Apple, Regno Unito vuole più sicurezza informatica e l’Europa indica iPadOS Gatekeeper
- L'Altra Bolla2 settimane fa
ByteDance “chiuderà TikTok negli USA piuttosto che venderlo”
- Editoriali6 giorni fa
Chip e smartphone cinesi ci avvisano del declino Occidentale