Sicurezza Informatica
COLDRIVER espande il targeting verso Funzionari Occidentali con l’Uso di Malware
Il Gruppo di Analisi delle Minacce di Google (TAG) ha recentemente pubblicato un articolo che getta luce sull’uso di malware da parte di COLDRIVER, un gruppo di minacce russe noto anche come UNC4057, Star Blizzard e Callisto. Questo gruppo si concentra sull’attività di phishing per ottenere credenziali di individui di alto profilo in ONG, ex ufficiali di intelligence e militari, e governi della NATO. Per anni, TAG ha contrastato e riportato gli sforzi di questo gruppo per condurre spionaggio allineato agli interessi del governo russo. Ora, TAG sta mettendo in luce le capacità estese di COLDRIVER, che includono l’uso di malware.
Evoluzione delle Tattiche di COLDRIVER
Oltre al phishing per le credenziali, COLDRIVER sta ora distribuendo malware attraverso campagne che utilizzano documenti PDF come esche. TAG ha osservato questa evoluzione da quando COLDRIVER ha iniziato ad andare oltre il phishing per le credenziali, consegnando malware tramite campagne che utilizzano PDF come documenti esca. TAG ha interrotto questa campagna aggiungendo tutti i domini e gli hash noti alle liste di blocco di Safe Browsing.
“Encrypted” Lure-Based Malware Delivery
Da novembre 2022, TAG ha osservato COLDRIVER inviare ai bersagli documenti PDF benigni da account di impersonificazione. Questi documenti vengono presentati come nuove op-ed o altri tipi di articoli che l’account di impersonificazione sta cercando di pubblicare, chiedendo feedback al bersaglio. Quando l’utente apre il PDF benigno, il testo appare criptato.
Se il bersaglio risponde che non può leggere il documento criptato, l’account di impersonificazione di COLDRIVER risponde con un link, di solito ospitato su un sito di archiviazione cloud, a un’utilità di “decrittazione” per l’utente da utilizzare. Questa utilità di decrittazione, pur visualizzando un documento esca, è in realtà un backdoor, tracciato come SPICA, che dà a COLDRIVER l’accesso alla macchina della vittima.
Backdoor SPICA
SPICA è scritto in Rust e utilizza JSON su websockets per il comando e controllo (C2). Supporta numerosi comandi, tra cui l’esecuzione di comandi shell arbitrari, il furto di cookie da Chrome, Firefox, Opera e Edge, il caricamento e lo scaricamento di file, la navigazione nel filesystem e l’enumerazione e l’esfiltrazione di documenti in un archivio.
Una volta eseguito, SPICA decodifica un PDF incorporato, lo scrive su disco e lo apre come esca per l’utente. Nel frattempo, stabilisce la persistenza e avvia il ciclo principale di C2, in attesa di eseguire i comandi.
Protezione della Comunità
Come parte degli sforzi per combattere seri attori di minacce, TAG utilizza i risultati delle sue ricerche per migliorare la sicurezza e la sicurezza dei prodotti di Google. Alla scoperta, tutti i siti web, domini e file identificati vengono aggiunti a Safe Browsing per proteggere gli utenti da ulteriori sfruttamenti. TAG invia anche a tutti gli utenti di Gmail e Workspace mirati avvisi di attaccanti supportati dal governo, informandoli dell’attività e incoraggiando i bersagli potenziali a abilitare Enhanced Safe Browsing per Chrome e assicurarsi che tutti i dispositivi siano aggiornati.
L’UE si impegna a condividere le sue scoperte con la comunità della sicurezza per sensibilizzare e con aziende e individui che potrebbero essere stati presi di mira da queste attività. Si spera che una migliore comprensione delle tattiche e delle tecniche migliori capacità di caccia alle minacce e porti a protezioni utente più forti in tutta l’industria.
Sicurezza Informatica
Iran ripropone la controversa legge sull’Internet: a rischio le VPN
Tempo di lettura: 2 minuti. L’Iran ripropone la Cyberspace Protection Bill, mettendo a rischio l’uso dei VPN e aumentando le restrizioni sull’Internet.
L’Iran ha riproposto una controversa legge sull’Internet mirata a rafforzare il controllo delle autorità sul web. La Cyberspace Protection Bill, precedentemente sospesa nel 2022, intende limitare significativamente i contenuti accessibili online per gli iraniani, rendendo più difficile l’uso dei servizi VPN per bypassare le restrizioni.
Impatto sulla popolazione iraniana
La ripresa della legge, segnalata da Iran International, giunge come un tentativo dell’ultimo minuto per intensificare le restrizioni prima dell’inizio del mandato del nuovo Parlamento, previsto per il 27 maggio 2024. Azam Jangravi, analista di sicurezza informatica presso Citizen Lab, ha spiegato che se la legge dovesse diventare effettiva, estenderebbe notevolmente la capacità del governo di restringere lo spazio digitale nazionale, minacciando la neutralità della rete e permettendo alle autorità di controllare i contenuti online.
Uso dei VPN e nuove restrizioni
L’uso di VPN in Iran è stato a lungo un obiettivo delle autorità. I VPN, abbreviazione di virtual private network, sono software di sicurezza che falsificano l’indirizzo IP e criptano le connessioni internet, permettendo agli utenti di accedere ai servizi globali bypassando le restrizioni online e migliorando la privacy. Tuttavia, nel 2023, l’Iran ha ufficialmente vietato l’uso di VPN “non autorizzati”. Nonostante il divieto, alcuni cittadini continuano a utilizzare questi strumenti per aggirare le limitazioni.
Secondo Jangravi, la legge potrebbe rendere ancora più difficile l’uso dei VPN, allineandosi perfettamente con gli sforzi del governo di stringere il controllo sull’Internet. In passato, le autorità iraniane hanno interrotto la connettività durante le proteste, dimostrando la loro volontà di limitare l’accesso.
Conseguenze economiche e sui diritti dei cittadini
Le misure di blocco dell’Internet e dei servizi VPN hanno inflitto un duro colpo all’economia iraniana. Secondo una stima della Internet Society, il blocco dell’Internet e dei servizi VPN costa all’Iran oltre un milione di dollari al giorno in termini di PIL. Tuttavia, il prezzo più preoccupante è quello pagato dai diritti dei cittadini, con la legge che potrebbe peggiorare una situazione già critica.
Nel 2023, l’Iran è stato uno dei maggiori perpetratori di blackout internet a livello mondiale, con 34 incidenti rispetto ai 19 del 2022. Le autorità hanno mantenuto i blocchi su app e servizi specifici come Signal, WhatsApp, Instagram, Skype, LinkedIn e Viber, limitando ulteriormente la libertà online.
Salvaguardia della privacy e diritti digitali
Jangravi consiglia agli iraniani di prendere misure per proteggere la loro privacy. L’uso di servizi VPN affidabili è vitale per affrontare le nuove restrizioni. Raccomanda inoltre di crittografare le comunicazioni per prevenire la sorveglianza, suggerendo Signal come una delle app di messaggistica più sicure grazie alla sua crittografia end-to-end.
Infine, Jangravi sottolinea l’importanza di rimanere informati sui diritti digitali e di sostenere un Internet aperto. La lotta per la libertà online continua, e la consapevolezza e l’azione collettiva sono cruciali per resistere a queste restrizioni oppressive.
Sicurezza Informatica
Kimsuky lancia Gomir: backdoor Linux tramite installer trojanizzati
Tempo di lettura: 2 minuti. Kimsuky distribuisce un nuovo malware Linux chiamato Gomir tramite installer trojanizzati, mirato a organizzazioni governative sudcoreane.
Il gruppo di hacker nordcoreano Kimsuky ha iniziato a distribuire un nuovo malware Linux chiamato Gomir, una variante del backdoor GoBear, tramite installer di software trojanizzati. Questo attacco è mirato a organizzazioni governative sudcoreane, utilizzando software apparentemente legittimi per infettare i sistemi target.
Dettagli della backdoor Gomir
Gomir condivide molte somiglianze con il backdoor GoBear, offrendo comunicazione diretta con il server di comando e controllo (C2), meccanismi di persistenza e supporto per una vasta gamma di comandi. Dopo l’installazione, il malware verifica il valore del gruppo ID per determinare se viene eseguito con privilegi di root. Si copia poi in /var/log/syslogd
per garantire la persistenza.
Meccanismi di persistenza
Per mantenere la sua esecuzione, Gomir crea un servizio systemd
chiamato “syslogd” e configura un comando crontab
per l’esecuzione al riavvio del sistema. Queste azioni garantiscono che il malware continui a funzionare anche dopo il riavvio del sistema.
Funzionalità di Gomir
Gomir supporta 17 operazioni diverse, attivate quando il comando corrispondente viene ricevuto dal server C2 tramite richieste HTTP POST. Queste operazioni includono:
- Esecuzione di comandi shell arbitrari.
- Raccolta di informazioni sul sistema, come hostname, nome utente, CPU, RAM e interfacce di rete.
- Creazione di file arbitrari sul sistema.
- Esfiltrazione di file dal sistema.
- Configurazione di un proxy inverso per connessioni remote.
Metodo di attacco
Gli attacchi di Kimsuky sfruttano versioni trojanizzate di vari software, come TrustPKI e NX_PRNMAN di SGA Solutions, e Wizvera VeraPort, per infettare i target con Troll Stealer e il malware GoBear per Windows. Symantec ha rilevato che gli attacchi di Kimsuky sembrano preferire metodi di supply-chain, utilizzando installer compromessi per massimizzare le possibilità di infezione.
Obiettivi e indicatori di compromissione
Gli attacchi sono stati progettati con cura per colpire specificamente obiettivi sudcoreani, scegliendo software comunemente utilizzati in Corea del Sud. Il rapporto di Symantec fornisce un elenco di indicatori di compromissione per diversi strumenti malevoli osservati nella campagna, inclusi Gomir, Troll Stealer e il dropper GoBear.
La scoperta di Gomir evidenzia l’evoluzione continua delle tecniche di attacco del gruppo Kimsuky, che continua a rappresentare una minaccia significativa per la sicurezza informatica, in particolare per le organizzazioni governative. La comunità della sicurezza deve rimanere vigile e adottare misure preventive per proteggere i propri sistemi da questi attacchi sofisticati.
Sicurezza Informatica
Vulnerabilità privilegi in Cisco Crosswork Network Services Orchestrator
Tempo di lettura: < 1 minuto. Cisco rilascia aggiornamenti software per correggere una vulnerabilità di escalation dei privilegi nel Cisco Crosswork Network Services Orchestrator
Cisco ha rilasciato aggiornamenti software gratuiti che affrontano una vulnerabilità di escalation dei privilegi nel Cisco Crosswork Network Services Orchestrator (NSO). Questa vulnerabilità potrebbe consentire a un attaccante autenticato di eseguire comandi arbitrari con privilegi elevati su un sistema interessato.
Descrizione della Vulnerabilità
La vulnerabilità si trova nel modulo Tail-f HCC Function Pack di Cisco Crosswork NSO e riguarda versioni specifiche del software. Gli aggiornamenti software rilasciati correggono questa falla, prevenendo l’uso non autorizzato di comandi con privilegi elevati.
Versioni interessate e correzioni disponibili
Cisco consiglia agli utenti di aggiornare il software alle seguenti versioni fisse:
Release Cisco Crosswork NSO | Prima Release Fissa Tail-f HCC Function Pack |
---|---|
5.0 e versioni successive | 5.0.5 |
6.0 e versioni successive | 6.0.2 |
Aggiornamenti e Supporto
I clienti con contratti di servizio che includono aggiornamenti software regolari possono ottenere le correzioni di sicurezza attraverso i canali di aggiornamento consueti. I clienti devono assicurarsi che i dispositivi da aggiornare abbiano memoria sufficiente e che le configurazioni hardware e software attuali siano supportate dalla nuova release.
Clienti senza Contratti di Servizio
I clienti che acquistano direttamente da Cisco ma non dispongono di un contratto di servizio e quelli che acquistano tramite venditori terzi ma non riescono a ottenere il software corretto attraverso il loro punto vendita, devono contattare il Cisco TAC. È consigliato avere a disposizione il numero di serie del prodotto e fornire l’URL di questo avviso come prova del diritto a un aggiornamento gratuito.
Informazioni aggiuntive
Per ulteriori informazioni sulla vulnerabilità e le soluzioni di aggiornamento, è possibile consultare la pagina degli avvisi di sicurezza di Cisco.
- Inchieste1 settimana fa
Perchè il motore di ricerca OpenAI fa paura ai giornalisti?
- L'Altra Bolla1 settimana fa
Meta arriva l’intelligenza artificiale per la Pubblicità
- L'Altra Bolla1 settimana fa
TikTok: azione legale contro Stati Uniti per bloccare il divieto
- L'Altra Bolla1 settimana fa
Meta testa la condivisione incrociata da Instagram a Threads
- L'Altra Bolla1 settimana fa
X sotto indagine dell’Unione Europea
- Robotica5 giorni fa
Come controllare dei Robot morbidi ? MIT ha un’idea geniale
- Smartphone1 settimana fa
Xiaomi 14 e 14 Ultra, problemi di condensa nelle fotocamere
- Smartphone1 settimana fa
Google Pixel 8a vs Pixel 8: quale scegliere?