Sicurezza Informatica
Deadglyph: nuova backdoor avanzata con tattiche di evasione
Tempo di lettura: 2 minuti. Deadglyph emerge come un nuovo backdoor avanzato, impiegato da stealth falcon, con tattiche di evasione uniche e capacità di esecuzione di comandi sofisticate, segnalando un aumento della complessità nelle minacce alla cybersecurity.
I ricercatori di cybersecurity hanno scoperto una backdoor avanzata precedentemente non documentato, denominato deadglyph, utilizzato da un attore minaccioso noto come stealth falcon in una campagna di cyber spionaggio.
Architettura inusuale di deadglyph
L’architettura di deadglyph è insolita in quanto è composta da componenti cooperanti – uno un binario nativo x64, l’altro un assembly .NET. Questa combinazione è inusuale perché il malware tipicamente usa solo un linguaggio di programmazione per i suoi componenti. Si sospetta che l’uso di linguaggi di programmazione diversi sia una tattica deliberata per ostacolare l’analisi, rendendola molto più difficile da navigare e debuggare.
Comandi e funzionalità
A differenza di altri backdoor tradizionali, i comandi sono ricevuti da un server controllato dall’attore sotto forma di moduli aggiuntivi che gli permettono di creare nuovi processi, leggere file e raccogliere informazioni dai sistemi compromessi.
Storia di stealth falcon
Stealth falcon, esposto per la prima volta nel 2016, è stato collegato a una serie di attacchi di spyware mirati in Medio Oriente, mirati a giornalisti, attivisti e dissidenti negli Emirati Arabi Uniti. Una successiva indagine del 2019 ha rivelato un’operazione clandestina chiamata project raven che coinvolgeva un gruppo di ex operatori di intelligence statunitensi reclutati da una società di cybersecurity chiamata Darkmatter per spiare obiettivi critici della monarchia araba.
Deadglyph: l’ultima aggiunta all’arsenale di stealth falcon
Deadglyph è l’ultima aggiunta all’arsenale di stealth falcon, secondo la società di cybersecurity slovacca eset, che ha analizzato un’intrusione in un’entità governativa non nominata in Medio Oriente. Il metodo esatto utilizzato per consegnare l’impianto è attualmente sconosciuto, ma il componente iniziale che attiva la sua esecuzione è un loader di shellcode che estrae e carica shellcode dal Registro di sistema di Windows, che successivamente lancia il modulo nativo x64 di deadglyph, noto come executor.
Funzionalità di evasione
Il malware si impegna anche in una serie di manovre elusive per passare inosservato, compresa la capacità di disinstallare se stesso. I comandi ricevuti dal server sono messi in coda per l’esecuzione e possono rientrare in una delle tre categorie: compiti dell’orchestrator, compiti dell’executor e compiti di upload.
Conclusione tecnica: cosa è deadglyph?
Deadglyph è un backdoor avanzato che utilizza tattiche di evasione e linguaggi di programmazione multipli per ostacolare l’analisi. È in grado di ricevere comandi da un server controllato dall’attore, creare nuovi processi, leggere file e raccogliere informazioni dai sistemi compromessi. Deadglyph è l’ultima aggiunta all’arsenale di stealth falcon, un attore di minaccia noto per le sue campagne di cyber spionaggio.
Sicurezza Informatica
Apple e Google lanciano piattaforma comune per rilevare dispositivi di tracciamento Bluetooth indesiderati
Tempo di lettura: 2 minuti. Apple e Google lanciano una funzionalità cross-platform per rilevare dispositivi di tracciamento Bluetooth indesiderati
Apple e Google hanno collaborato per lanciare una nuova funzionalità che notifica agli utenti, sia su iOS che su Android, se un dispositivo di tracciamento Bluetooth viene utilizzato per monitorarli segretamente. Questa innovazione mira a mitigare l’abuso di dispositivi progettati per tenere traccia degli oggetti personali, garantendo allo stesso tempo la privacy e la sicurezza degli utenti.
Dettagli della funzionalità
La funzione, denominata “Detecting Unwanted Location Trackers” (DULT), è ora disponibile sui dispositivi Android dalla versione 6.0 in poi e sui dispositivi iOS con iOS 17.5, che è stato rilasciato ufficialmente ieri. Questa soluzione cross-platform offre agli utenti la possibilità di ricevere un avviso “Tracker traveling with you” su Android o “Item Found Moving With You” su iOS se viene rilevato un dispositivo di tracciamento Bluetooth non identificato che si muove insieme a loro nel tempo.
Reazioni e impatto
Questa collaborazione tra Apple e Google rappresenta un primo esempio nell’industria di un’iniziativa che coinvolge input dalla comunità e dall’industria per affrontare il problema del tracciamento indesiderato. Gli utenti possono ora visualizzare l’identificativo del tracker, riprodurre un suono per localizzarlo e accedere a istruzioni per disabilitarlo.
Contesto e sviluppi futuri
Questa mossa arriva in risposta a segnalazioni che dispositivi come gli AirTags di Apple sono stati utilizzati per scopi maliziosi, spesso abusati come strumenti di stalking. Un gruppo di ricercatori ha persino sviluppato uno schema crittografico che offre un migliore compromesso tra privacy dell’utente e rilevamento dello stalker attraverso un meccanismo chiamato multi-dealer secret sharing (MDSS).
L’annuncio di questa funzionalità congiunta tra Apple e Google contro i dispositivi bluetooth indesiderata segna un significativo passo avanti nella lotta contro l’uso improprio dei dispositivi di tracciamento e rafforza la sicurezza e la privacy degli utenti in un ecosistema digitale sempre più connesso. Questa iniziativa dimostra l’impegno congiunto di giganti tecnologici per affrontare problemi di privacy e sicurezza in maniera collaborativa, stabilendo un nuovo standard per la protezione degli utenti nel panorama tecnologico moderno.
Sicurezza Informatica
DNS Tunneling: per tracciare vittime di Phishing
Tempo di lettura: 2 minuti. Gli hacker utilizzano il tunneling DNS per scandagliare le reti e tracciare le vittime, sfruttando questa tecnica per bypassare le misure di sicurezza.
Recentemente, è stato scoperto che gli attori di minacce stanno utilizzando il tunneling DNS per tracciare l’apertura di email di phishing e clic sui link malevoli, nonché per scandagliare le reti alla ricerca di potenziali vulnerabilità. Questa tecnica sofisticata utilizza il DNS, un componente essenziale della comunicazione di rete, come canale di comunicazione nascosto.
Dettagli tecnici del DNS Tunneling
Il tunneling DNS implica la codifica dei dati o dei comandi che vengono inviati e recuperati tramite query DNS. Gli attori della minaccia codificano i dati in vari modi, come Base16, Base64, o algoritmi di codifica testuale personalizzati, che possono essere restituiti durante l’interrogazione di record DNS, come TXT, MX, CNAME e record di indirizzi. Questa tecnica è comunemente utilizzata per eludere i firewall di rete e i filtri, adottando il metodo per operazioni di command and control (C2) e di Virtual Private Network (VPN).
Campagne malevole eseguite con il DNS Tunneling
Unit 42, il team di ricerca sulla sicurezza di Palo Alto Networks, ha scoperto un uso aggiuntivo del tunneling DNS in campagne malevole che coinvolgono il tracciamento delle vittime e la scansione della rete. Un esempio è la campagna “TrkCdn”, che si concentra sul tracciamento delle interazioni delle vittime con i contenuti delle email di phishing. Gli attaccanti incorporano contenuti in un’email che, quando aperta, esegue una query DNS a sottodomini controllati dall’attaccante, i cui FQDN contengono contenuti codificati.
Consigli per la Difesa
A causa delle sue capacità nascoste, il tunneling DNS può bypassare strumenti di sicurezza, evitare il rilevamento e mantenere la versatilità operativa. Di conseguenza, Unit 42 suggerisce che le organizzazioni implementino strumenti di monitoraggio e analisi DNS per monitorare e analizzare i log alla ricerca di modelli di traffico insoliti e anomalie, come richieste atipiche o ad alto volume. È anche consigliabile limitare i resolver DNS nella rete per gestire solo le query necessarie, riducendo il potenziale abuso del tunneling DNS.
L’uso del tunneling DNS come tecnica per la conduzione di attacchi informatici rappresenta una sfida significativa per la sicurezza informatica. La capacità di mascherare le comunicazioni malevoli come traffico DNS legittimo richiede un livello elevato di vigilanza e misure di sicurezza avanzate per rilevare e mitigare tali minacce. Queste rivelazioni sottolineano l’importanza di strategie di difesa sofisticate e proattive per proteggere le reti aziendali e personali dagli attacchi sempre più ingegnosi e difficili da rilevare.
Sicurezza Informatica
Attacco ransomware LockBit Black: Botnet invia milioni di Email
Tempo di lettura: 2 minuti. La campagna di phishing usando LockBit Black, veicolata da un botnet, ha inviato milioni di email malevoli, criptando dati di innumerevoli vittime.
Una campagna massiva di ransomware LockBit Black ha imperversato attraverso il web, con milioni di email di phishing inviate da aprile 2024, sfruttando il botnet Phorpiex. Questo attacco si concentra su allegati ZIP malevoli che, una volta aperti, criptano i sistemi delle vittime.
Dettagli dell’attacco
Il New Jersey’s Cybersecurity and Communications Integration Cell (NJCCIC) ha emesso un avviso riguardo questa vasta campagna di phishing che utilizza il ransomware LockBit Black, un malware che cripta i sistemi delle vittime. Gli attacchi sfruttano allegati ZIP che contengono un eseguibile, il quale, una volta lanciato, installa il payload di LockBit Black. Gli attaccanti, non affiliati con l’operazione originale di LockBit, hanno utilizzato nomi come “Jenny Brown” o “Jenny Green” e hanno operato da oltre 1.500 indirizzi IP in paesi come Kazakhstan, Uzbekistan, Iran, Russia e Cina.
Le funzionalità di LockBit Black
Il payload ransomware impiegato in questi attacchi è probabilmente costruito utilizzando un builder di LockBit 3.0, che è stato divulgato online da uno sviluppatore insoddisfatto nel settembre 2022. Questo ransomware è particolarmente pericoloso perché oltre a criptare i dati, tenta di rubare informazioni sensibili, termina servizi essenziali e impedisce l’accesso ai file crittografati.
Conseguenze e difesa
Gli attacchi di phishing e ransomware come questi hanno implicazioni gravi per la sicurezza delle informazioni aziendali e personali. Il NJCCIC consiglia l’implementazione di strategie di mitigazione del rischio ransomware e l’uso di soluzioni di sicurezza per i terminali e filtri di posta elettronica per bloccare i messaggi potenzialmente dannosi.
L’uso del botnet Phorpiex per facilitare questi attacchi di LockBit Black segnala un’escalation nell’uso di infrastrutture botnet esistenti per condurre campagne di ransomware di vasta portata. La consapevolezza e la preparazione sono essenziali per difendersi da queste minacce sempre più sofisticate. Questa ondata di attacchi sottolinea l’importanza di robuste misure di sicurezza e della vigilanza costante nel monitorare e difendere le reti aziendali e personali dai sofisticati schemi di attacco cyber.
- Editoriali2 settimane fa
Chip e smartphone cinesi ci avvisano del declino Occidentale
- Inchieste1 settimana fa
Ransomware in Italia: come cambia la percezione del fenomeno nell’IT
- Economia2 settimane fa
Internet via satellite: progetto europeo IRIS² in grande difficoltà
- Editoriali1 settimana fa
Anche su Giovanna Pedretti avevamo ragione
- L'Altra Bolla1 settimana fa
Jack Dorsey getta la spugna e lascia Bluesky
- Inchieste7 giorni fa
Perchè il motore di ricerca OpenAI fa paura ai giornalisti?
- Smartphone1 settimana fa
Richiesta di Class Action contro Samsung per il Galaxy S24 Ultra
- Economia1 settimana fa
Culture di lavoro a confronto: Meta vs Google