Connect with us
Draghi Asocial

segnalaci un sito truffa

Inchieste

Lyceum: l’APT iraniana con il pallino del settore energetico e degli ISP

Condividi questo contenuto

Tempo di lettura: 8 minuti. Attivi dal 2017, hanno concentrato la loro attività contro Israele, Africa appoggiandosi a server in Arabia Saudita.
Le backdoor Shark e Milan e dropper diversi: come lavorano

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 8 minuti.

Inizia il viaggio nel mondo degli attori statali iraniani, tra i più temuti al mondo ed abili spie quasi sempre concentrati nell’ottenere informazioni dal Medio Oriente e dal Sud Est Asiatico.  Oggi è il turno di Lyceum (definito anche Hexane e Siamesekitten) il cui primo attacco è stato rilevato nel maggio 2021 ad una azienda di Information Technology in Israele.

A tal fine, Siamesekitten ha creato un’ampia infrastruttura che gli ha permesso di impersonare l’azienda e il personale delle risorse umane con una infrastruttura costruita per adescare esperti IT e penetrare nei loro computer per ottenere l’accesso ai clienti dell’azienda.

Questa campagna è simile alla campagna nordcoreana “Job seekers” e utilizza quello che negli ultimi anni è diventato un vettore di attacco ampiamente utilizzato: l’impersonificazione. Molti gruppi di attacco come abbiamo già visto hanno eseguito questo tipo di campagne, come la campagna nordcoreana Lazarus (Dream Job) e la campagna iraniana OilRig (APT34) che ha preso di mira le vittime del Medio Oriente nel primo trimestre del 2021.

Lazarus 2020: l’interesse per Israele e gli attacchi a tema COVID19

Nel luglio 2021, è stata rilevata una seconda ondata di attacchi simili contro altre aziende in Israele. In questa ondata, Siamesekitten ha aggiornato il proprio malware backdoor a una nuova versione chiamata “Shark” e ha sostituito la vecchia versione del malware chiamata “Milan“.

Secondo i vecchi resoconti pubblici dell’attività del gruppo, Lyceum ha condotto operazioni mirate contro organizzazioni nei settori dell’energia e delle telecomunicazioni in tutto il Medio Oriente, durante le quali l’attore della minaccia ha utilizzato vari script PowerShell e uno strumento di amministrazione remota basato su .NET denominato “DanBot“. Quest’ultimo supportava la comunicazione con un server C&C tramite protocolli personalizzati su DNS o HTTP.

Il gruppo ha evoluto il suo arsenale nel corso degli anni ed ha spostato il suo utilizzo dal malware .NET precedentemente documentato a nuove versioni, scritte in C++. Sono stati raggruppati questi nuovi pezzi di malware sotto due diverse varianti, soprannominati “James” e “Kevin“, in base ai nomi ricorrenti che comparivano nei percorsi PDB dei campioni sottostanti.

Come per le vecchie istanze di DanBot, entrambe le varianti supportavano protocolli C&C personalizzati simili, collegati tramite tunnel DNS o HTTP. È stato anche identificato una variante insolita che non conteneva alcun meccanismo per la comunicazione di rete, ritenendo che sia stata utilizzata come mezzo per proxare il traffico tra due cluster di rete interni.

Oltre agli impianti rivelati, l’analisi approfondita ha permesso di dare uno sguardo al modus operandi dell’attore e sono stati osservati alcuni dei comandi utilizzati dagli aggressori negli ambienti compromessi, nonché le azioni intraprese per rubare le credenziali degli utenti: tra questi, l’uso di uno script PowerShell progettato per rubare le credenziali memorizzate nei browser e un keylogger personalizzato distribuito su alcuni dei computer presi di mira.

Sono state notate alcune somiglianze tra Lyceum e il famigerato gruppo DNSpionage, a sua volta associato al gruppo di attività OilRig. Oltre alla scelta di obiettivi geografici simili e all’uso di DNS o di siti Web falsi per il tunnel dei dati C&C come TTP, siamo stati in grado di rintracciare somiglianze significative tra i documenti di richiamo consegnati da Lyceum in passato e quelli utilizzati da DNSpionage. Queste sono state rese evidenti da una struttura di codice comune e dalla scelta dei nomi delle variabili.

Il gruppo Cyber Threat Intelligence (ACTI) di Accenture e l’Adversarial Counterintelligence Team (PACT) di Prevailion hanno scavato nelle campagne recentemente pubblicizzate del gruppo di spionaggio informatico Lyceum per analizzare ulteriormente l’infrastruttura operativa e la vittimologia di questo attore. I risultati del team confermano e rafforzano le precedenti ricerche di ClearSky e Kaspersky, che indicano un focus primario sugli eventi di intrusione nelle reti informatiche rivolti ai fornitori di telecomunicazioni in Medio Oriente. Inoltre, la ricerca amplia questo set di vittime identificando altri obiettivi tra i provider di servizi Internet (ISP) e le agenzie governative.

Tra luglio e ottobre 2021, le backdoor di Lyceum sembrano aver preso di mira ISP e operatori di telecomunicazioni in Israele, Marocco, Tunisia e Arabia Saudita, nonché un ministero degli Affari esteri (MAE) in Africa.

Il tunneling del sistema dei nomi di dominio (DNS) sembra essere utilizzato solo durante le prime fasi di implementazione della backdoor; successivamente, gli operatori di Lyceum utilizzano la funzionalità di comando e controllo (C2) HTTP(S) codificata nelle backdoor.

A partire da un’analisi completa di ClearSky e Kaspersky, ACTI e PACT hanno condotto una ricerca su queste campagne basandosi sulla telemetria di rete di Prevailion sovrapposta alla comprensione tecnica di ACTI della comunicazione della backdoor Lyceum.

Il team di ricerca congiunto ACTI/PACT è stato in grado di identificare un’ulteriore infrastruttura web utilizzata da Lyceum, che ha corroborato le segnalazioni precedenti e ha identificato sei domini con un collegamento precedentemente sconosciuto a Lyceum (cinque dei quali sono attualmente registrati). Questa ricerca ha infine alimentato la capacità di Prevailion di annettere oltre 20 domini Lyceum, che hanno fornito una telemetria di rete delle compromissioni in corso. L’analisi di questa telemetria, arricchita e corroborata da dati basati sull’host, ha permesso al team di identificare altre vittime e di fornire ulteriore visibilità sulla metodologia di targeting di Lyceum.

Attivo dal 2017, Lyceum prende di mira organizzazioni in settori di importanza strategica nazionale, tra cui organizzazioni di petrolio e gas e fornitori di telecomunicazioni. ACTI/PACT ha ritenuto che gli obiettivi di questa campagna siano congruenti con l’attività precedente di Lyceum; tuttavia, il gruppo ha ampliato il proprio target includendo ISP ed enti governativi.

ACTI/PACT ha identificato le vittime all’interno di società di telecomunicazioni e ISP in Israele, Marocco, Tunisia e Arabia Saudita, oltre a un AMF in Africa. Le società di telecomunicazioni e gli ISP sono obiettivi di alto livello per gli attori delle minacce di spionaggio informatico perché, una volta compromessi, forniscono l’accesso a varie organizzazioni e abbonati, oltre che a sistemi interni che possono essere utilizzati per sfruttare ulteriormente i comportamenti dannosi. Inoltre, le aziende di questi settori possono essere utilizzate dagli attori delle minacce o dai loro sponsor per sorvegliare individui di interesse. Le AMF sono anche obiettivi molto ambiti perché dispongono di preziose informazioni sullo stato attuale delle relazioni bilaterali e di intuizioni sulle trattative future.

Durante questa campagna, Lyceum ha utilizzato due famiglie di malware principali, denominate Shark e Milan (alias James). L’indagine di ACTI/PACT si è concentrata sugli aspetti di comunicazione C2 che gli analisti hanno osservato nella telemetria di Prevailion, dopo che ClearSky e Kasperksy hanno fornito descrizioni tecniche dettagliate delle backdoor. Entrambe le backdoor sono in grado di comunicare tramite DNS e HTTP(S) per la comunicazione C2 (per ulteriori informazioni, vedere la descrizione tecnica dettagliata di seguito).

Shark produce un file di configurazione che contiene almeno un dominio C2, utilizzato con un algoritmo di generazione dei domini (DGA) per il tunneling DNS o le comunicazioni C2 HTTP. Il server dei nomi autorevoli dei domini C2 è controllato da un attaccante che consente agli operatori Lyceum di fornire comandi attraverso gli indirizzi IP nei record A delle risposte DNS. Shark utilizza una sintassi specifica per l’invio di richieste HTTP che ha permesso ai ricercatori di ACTI/PACT di creare un’espressione regolare una combinazione di caratteri in stringhe che specificano un modello di ricerca per identificare ulteriori vittime della campagna. Utilizzando questa espressione regolare, i ricercatori sono stati in grado di passare da probabili host israeliani a indirizzi IP che si risolvono in telecomunicazioni e ISP in Israele e Arabia Saudita. La backdoor ha lanciato segnali costanti a queste vittime a partire da settembre fino a ottobre 2021.

Per le comunicazioni C2 tramite DNS, Milan utilizza domini hardcoded come input per un DGA personalizzato. Il DGA è documentato nel rapporto di Kaspersky, così come alcune delle sintassi utilizzate da Milan per le comunicazioni C2 su HTTP(S). Tuttavia, ACTI ha riscontrato che alcune delle backdoor legacy di Milan recuperano i dati generando richieste utilizzando il dominio codificato e richiedendo poi uno dei percorsi URL relativi ad Active Server Pages. Questi percorsi URL sono codificati in modo rigido in alcuni campioni di Milan. Quelli identificati da ACTI sono:

  • contact.aspx
  • default.aspx
  • anteprima.aspx
  • team.aspx

Quando il team ACTI/PACT ha interrogato il dataset Prevailion per i percorsi URL noti e hard-coded di cui sopra, osservati nei campioni di Milan, ha osservato un beaconing continuo nel mese di ottobre 2021 da un indirizzo IP che si risolveva in un operatore di telecomunicazioni in Marocco.

Seguendo questo filone di indagine, il team ACTI/PACT ha identificato il beaconing da una backdoor Lyceum riconfigurata o forse nuova alla fine di ottobre 2021. I beacon osservati sono stati visti uscire da una società di telecomunicazioni in Tunisia e da un MFA in Africa. La sintassi dell’URL della backdoor Shark è simile a quella generata dalla versione più recente di Milan; tuttavia, poiché la sintassi dell’URL è configurabile, è probabile che gli operatori di Lyceum abbiano riconfigurato la sintassi dell’URL utilizzata da Milan per eludere i sistemi di rilevamento delle intrusioni (IDS) e i sistemi di prevenzione delle intrusioni (IPS) codificati per rilevare la precedente sintassi dei beacon di Milan.

Nell’ambito della più ampia campagna Lyceum, abbiamo osservato anche diversi dropper eseguibili. Si tratta di eseguibili con icone PDF, ma non di documenti:

  • Tutti gli eseguibili sono scritti in modo leggermente diverso, ma l’idea principale è la stessa: in primo luogo, il dropper estrae un file PDF di richiamo incorporato come risorsa e lo apre, in background e senza essere notato dalla vittima, il dropper quindi scarica ed esegue il payload.

Sono stati identificate tre categorie di dropper:

  • Dropper .NET DNS – Utilizzato per rilasciare la backdoor .NET DNS
  • .NET TCP Dropper – Scarica la variante della backdoor HTTP .NET e aggiunge un’attività pianificata per eseguirla.
  • Golang Dropper – rilascia la backdoor Golang nella cartella di Avvio e nella cartella PublicDownloads. Inoltre, rilascia un file PDF (un rapporto sulla minaccia informatica iraniana, simile agli altri dropper) nella cartella Public\Downloads e lo esegue. Dopo aver aperto il rapporto PDF, il dropper esegue infine la backdoor Golang dalla cartella Public\Downloads.

I file possono essere scaricati da Internet o estratti dal dropper stesso, a seconda del campione. Ogni dropper porta il proprio tipo di payload e sono state osservate le seguenti backdoor distribuite:

  • Backdoor DNS .NET
  • La backdoor .NET DNS è una versione modificata di uno strumento chiamato DnsDig, con l’aggiunta di codice per formare frm1 che utilizza le funzionalità di HeijdenDNS e DnsDig.
  • La backdoor utilizza il tunneling DNS per comunicare con il server C&C ed è in grado di scaricare/caricare file ed eseguire comandi.

Backdoor .NET TCP

La backdoor comunica con il C&C utilizzando socket TCP grezzi e implementando il proprio protocollo di comunicazione. Ogni campione contiene una configurazione che definisce come deve comunicare con il C&C, compresi i caratteri di separazione, le porte TCP e la mappatura dei tipi di comando in numeri.

Sebbene il malware contenga una configurazione per la comunicazione con C&C, utilizza ancora valori codificati nel codice stesso, invece delle costanti di configurazione. Ciò indica che il malware potrebbe essere ancora in fase di sviluppo attivo.

Le capacità di questa backdoor includono:

  • Esecuzione di comandi.
  • Effettuare screenshot.
  • Elencare file/directory.
  • Elencare le applicazioni installate.
  • Caricare/scaricare/eseguire file.
  • Backdoor HTTP Golang

L’esecuzione della backdoor HTTP, scritta in Golang, consiste in 3 fasi, che si svolgono in un ciclo:

  • Fase 1 – Controllo della connettività. Il malware genera un ID univoco per la vittima, basato sull’hash MD5 del nome utente. Quindi invia una richiesta HTTP POST vuota all’URI /GO/1.php del server C&C. Se il server risponde con OK, il server viene controllato. Se il server risponde con OK, la backdoor passa alla fase successiva.
  • Fase 2 – Registrazione della vittima. In questa fase, il malware invia i dati di base della vittima in una richiesta POST all’URI /GO/2.php, per registrare la vittima nel server C&C dell’aggressore.
  • Fase 3 – Recupero ed esecuzione dei comandi. In primo luogo, il malware invia richieste HTTP POST all’URI /GO/3.php per ottenere comandi da eseguire. Come le altre backdoor descritte, la backdoor supporta comandi che le consentono di scaricare/caricare file ed eseguire comandi di shell.

Attribuzione e vittimologia

Oltre agli obiettivi del settore energetico israeliano, durante la ricerca dei file e dell’infrastruttura relativi a questo attacco, il CPR ha osservato alcuni artefatti caricati su VirusTotal (VT) dall’Arabia Saudita. Sebbene questi artefatti contengano trappole relative all’Iran, gli altri documenti trovati sull’infrastruttura pertinente suggeriscono che il gruppo potrebbe aver utilizzato le esche relative alla guerra Russia-Ucraina anche in Arabia Saudita, e probabilmente in altri Paesi della regione, che è l’obiettivo principale delle attività del gruppo.

Oltre alla chiara vittimologia, altri indicatori che suggeriscono che questa attività proviene dal gruppo Lyceum APT includono:

  • L’uso della libreria open-source Heijden.DNS, utilizzata da Lyceum nei suoi precedenti attacchi. Questa volta, gli attori non hanno offuscato il nome della libreria, ma hanno modificato uno strumento chiamato DnsDig che utilizza Heijden.DNS.
  • Tecnica di tunneling DNS nella comunicazione C&C ampiamente utilizzata nelle precedenti campagne di Lyceum.
  • Sovrapposizioni nell’infrastruttura, come i server C&C Lyceum noti ospitati sullo stesso ASN nelle stesse reti con i C&C di questa campagna e l’uso delle stesse società di registrazione di domini come Namecheap.
  • Utilizzo di indirizzi e-mail Protonmail per inviare le e-mail dannose agli obiettivi o per registrare i domini.

A giudicare dagli artefatti dei timestamp trovati e dalla registrazione dei domini dannosi, questa campagna specifica è in corso da alcuni mesi. L’adozione di esche più rilevanti e la costante rielaborazione del malware suggeriscono che il gruppo Lyceum continuerà a condurre e adattare le proprie operazioni di spionaggio in Medio Oriente, nonostante le rivelazioni pubbliche.

APT di mezzo mondo scatenate con la scusa della guerra Ucraina

Commenti da Facebook

Inchieste

Five Eyes: ecco i malware in uso nel mondo

Condividi questo contenuto

Tempo di lettura: 6 minuti. Usa e Australia diffondono la lista dei malware più utilizzati

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 6 minuti.

Questo avviso congiunto di sicurezza informatica (CSA) è stato redatto in collaborazione dall’Agenzia per la sicurezza informatica e delle infrastrutture (CISA) e dal Centro australiano per la sicurezza informatica (ACSC). Questo avviso fornisce dettagli sui principali ceppi di malware osservati nel 2021. Il malware, abbreviazione di “software maligno”, può compromettere un sistema eseguendo una funzione o un processo non autorizzato. Gli attori informatici malintenzionati spesso utilizzano il malware per compromettere in modo occulto e poi ottenere l’accesso a un computer o a un dispositivo mobile. Alcuni esempi di malware sono virus, worm, trojan, ransomware, spyware e rootkit.[1]

Nel 2021, i principali ceppi di malware includevano trojan per l’accesso remoto (RAT), trojan bancari, ruba-informazioni e ransomware. La maggior parte dei principali ceppi di malware è in uso da più di cinque anni e le rispettive basi di codice si sono evolute in molteplici varianti. Gli utenti di malware più prolifici sono i criminali informatici, che utilizzano il malware per distribuire ransomware o facilitare il furto di informazioni personali e finanziarie.

CISA e ACSC incoraggiano le organizzazioni ad applicare le raccomandazioni contenute nelle sezioni “Mitigazioni” di questo CSA congiunto. Tali mitigazioni includono l’applicazione di patch tempestive ai sistemi, l’implementazione della formazione degli utenti, la messa in sicurezza del Remote Desktop Protocol (RDP), l’applicazione di patch a tutti i sistemi, in particolare per le vulnerabilità note e sfruttate, l’esecuzione di backup offline dei dati e l’applicazione dell’autenticazione a più fattori (MFA).

I principali ceppi di malware del 2021 sono: Agent Tesla, AZORult, Formbook, Ursnif, LokiBot, MOUSEISLAND, NanoCore, Qakbot, Remcos, TrickBot e GootLoader.

I criminali informatici utilizzano Agent Tesla, AZORult, Formbook, LokiBot, NanoCore, Remcos e TrickBot da almeno cinque anni.

Gli attori informatici malintenzionati utilizzano Qakbot e Ursnif da oltre un decennio.
Gli aggiornamenti apportati dagli sviluppatori di malware e il riutilizzo del codice di questi ceppi di malware contribuiscono alla longevità del malware e alla sua evoluzione in molteplici varianti. L’uso da parte degli attori maligni di ceppi di malware noti offre alle organizzazioni l’opportunità di prepararsi meglio, identificare e mitigare gli attacchi provenienti da questi ceppi di malware noti.

Gli utenti più prolifici dei principali ceppi di malware sono i criminali informatici, che utilizzano il malware per distribuire ransomware o facilitare il furto di informazioni personali e finanziarie.

Qakbot e TrickBot sono utilizzati per formare botnet e sono sviluppati e gestiti da criminali informatici eurasiatici noti per l’utilizzo o l’intermediazione di accessi abilitati a botnet per facilitare attacchi ransomware altamente redditizi. I criminali informatici eurasiatici godono di ambienti operativi permissivi in Russia e in altre repubbliche ex sovietiche.

Secondo i rapporti del governo statunitense, il malware TrickBot spesso consente l’accesso iniziale al ransomware Conti, che è stato utilizzato in quasi 450 attacchi ransomware globali nella prima metà del 2021. A partire dal 2020, i criminali informatici hanno acquistato l’accesso ai sistemi compromessi dal malware TrickBot in diverse occasioni per condurre operazioni di criminalità informatica.
Nel 2021, i criminali informatici hanno condotto campagne di phishing di massa con i malware Formbook, Agent Tesla e Remcos che incorporavano i temi della pandemia COVID-19 per rubare dati personali e credenziali ad aziende e privati.

Nell’industria criminale del malware, compreso il malware come servizio (MaaS), gli sviluppatori creano malware che i distributori di malware spesso intermediano agli utenti finali del malware. Gli sviluppatori di questi ceppi di malware top 2021 continuano a supportare, migliorare e distribuire il loro malware per diversi anni. Gli sviluppatori di malware beneficiano di operazioni informatiche lucrative con un basso rischio di conseguenze negative. Molti sviluppatori di malware spesso operano da luoghi con poche proibizioni legali contro lo sviluppo e la distribuzione di malware. Alcuni sviluppatori commercializzano addirittura i loro prodotti malware come strumenti legittimi di sicurezza informatica. Ad esempio, gli sviluppatori di Remcos e Agent Tesla hanno commercializzato i software come strumenti legittimi per la gestione remota e i test di penetrazione. Gli attori informatici malintenzionati possono acquistare Remcos e Agent Tesla online a basso costo e sono stati osservati mentre utilizzavano entrambi gli strumenti per scopi malevoli.

Top Malware

Agent Tesla

Panoramica: Agent Tesla è in grado di rubare dati da client di posta, browser Web e server FTP (File Transfer Protocol). Questo malware può anche catturare schermate, video e dati degli appunti di Windows. Agent Tesla è disponibile online per l’acquisto con il pretesto di essere uno strumento legittimo per la gestione del computer personale. I suoi sviluppatori continuano ad aggiungere nuove funzionalità, tra cui le capacità di offuscamento e l’individuazione di ulteriori applicazioni per il furto di credenziali.
Attivo dal: 2014
Tipo di malware: RAT
Metodo di consegna: Spesso consegnato come allegato dannoso nelle e-mail di phishing.

AZORult

Panoramica: AZORult viene utilizzato per rubare informazioni da sistemi compromessi. È stato venduto su forum di hacker clandestini per rubare dati del browser, credenziali utente e informazioni sulle criptovalute. Gli sviluppatori di AZORult ne aggiornano costantemente le capacità.
Attivo dal: 2016
Tipo di malware: Trojan
Metodo di consegna: Phishing, siti web infetti, exploit kit (toolkit automatizzati che sfruttano vulnerabilità software note) o tramite malware dropper che scarica e installa AZORult.

FormBook

Panoramica: FormBook è un ruba-informazioni pubblicizzato nei forum di hacking. FormBook è in grado di registrare le chiavi e catturare le password dei browser o dei client di posta elettronica, ma i suoi sviluppatori continuano ad aggiornare il malware per sfruttare le più recenti Vulnerabilità ed esposizioni comuni (CVS), come la vulnerabilità CVE-2021-40444 Microsoft MSHTML Remote Code Execution.
Attivo almeno dal 2016
Tipo di malware: Trojan
Metodo di consegna: Solitamente consegnato come allegato nelle e-mail di phishing.

Ursnif

Panoramica: Ursnif è un Trojan bancario che ruba informazioni finanziarie. Conosciuto anche come Gozi, Ursnif si è evoluto nel corso degli anni per includere un meccanismo di persistenza, metodi per evitare sandbox e macchine virtuali e capacità di ricerca di software di crittografia del disco per tentare di estrarre la chiave per decodificare i file. Sulla base di informazioni provenienti da terze parti fidate, l’infrastruttura di Ursnif è ancora attiva a luglio 2022.
Attivo dal: 2007
Tipo di malware: Trojan
Metodo di consegna: Solitamente viene consegnato come allegato dannoso alle e-mail di phishing.

LokiBot

Panoramica: LokiBot è un malware Trojan per il furto di informazioni sensibili, tra cui credenziali utente, portafogli di criptovalute e altre credenziali. Una variante di LokiBot del 2020 è stata camuffata da launcher per il videogioco multiplayer Fortnite.
Attivo dal: 2015
Tipo di malware: Trojan
Metodo di consegna: Solitamente consegnato come allegato di e-mail dannose.

MOUSEISLAND

Panoramica: MOUSEISLAND si trova solitamente all’interno delle macro incorporate di un documento Microsoft Word e può scaricare altri payload. MOUSEISLAND può essere la fase iniziale di un attacco ransomware.
Attivo da: almeno dal 2019
Tipo di malware: Scaricatore di macro
Metodo di consegna: Solitamente distribuito come allegato di posta elettronica.
Risorse: Vedere il blog di Mandiant che parla di MOUSEISLAND.


NanoCore

Panoramica: NanoCore viene utilizzato per rubare le informazioni delle vittime, tra cui password ed e-mail. NanoCore può anche consentire agli utenti malintenzionati di attivare le webcam dei computer per spiare le vittime. Gli sviluppatori di malware continuano a sviluppare funzionalità aggiuntive come plug-in disponibili per l’acquisto o come kit di malware o condivisi tra i cyber-attori malintenzionati.
Attivo dal: 2013
Tipo di malware: RAT
Metodo di consegna: È stato consegnato in un’e-mail come immagine ISO del disco all’interno di file ZIP dannosi; è stato trovato anche in documenti PDF dannosi ospitati su servizi di cloud storage.

Qakbot

Panoramica: originariamente osservato come trojan bancario, Qakbot ha evoluto le sue capacità includendo l’esecuzione di ricognizioni, lo spostamento laterale, la raccolta e l’esfiltrazione di dati e la consegna di payload. Conosciuto anche come QBot o Pinksliplot, Qakbot è di natura modulare e consente ai criminali informatici di configurarlo in base alle proprie esigenze. Qakbot può anche essere utilizzato per formare botnet.
Attivo dal: 2007
Tipo di malware: Trojan
Metodo di consegna: Può essere consegnato via e-mail sotto forma di allegati dannosi, collegamenti ipertestuali o immagini incorporate.

Remcos

Panoramica: Remcos è commercializzato come uno strumento software legittimo per la gestione remota e i test di penetrazione. Remcos, acronimo di Remote Control and Surveillance (controllo e sorveglianza remoti), è stato sfruttato da cyber-attori malintenzionati che hanno condotto campagne di phishing di massa durante la pandemia COVID-19 per rubare dati personali e credenziali. Remcos installa una backdoor in un sistema bersaglio. I cyber-attori malintenzionati utilizzano quindi la backdoor Remcos per impartire comandi e ottenere privilegi di amministratore, aggirando i prodotti antivirus, mantenendo la persistenza ed eseguendo processi legittimi iniettandosi nei processi di Windows.
Attivo dal: 2016
Tipo di malware: RAT
Metodo di consegna: Solitamente viene consegnato nelle e-mail di phishing come allegato dannoso.


TrickBot

Panoramica: Il malware TrickBot è spesso utilizzato per formare botnet o per consentire l’accesso iniziale al ransomware Conti o al trojan bancario Ryuk. TrickBot è sviluppato e gestito da un gruppo sofisticato di criminali informatici e si è evoluto in un malware altamente modulare e multi-stadio. Nel 2020, i criminali informatici hanno utilizzato TrickBot per colpire il settore sanitario e della salute pubblica (HPH) e quindi lanciare attacchi ransomware, esfiltrare dati o interrompere i servizi sanitari. Sulla base di informazioni provenienti da terze parti fidate, l’infrastruttura di TrickBot è ancora attiva nel luglio 2022.
Attivo dal: 2016
Tipo di malware: Trojan
Metodo di consegna: Solitamente consegnato via e-mail come collegamento ipertestuale.

GootLoader

Panoramica: GootLoader è un payload di malware storicamente associato al malware GootKit. Con l’aggiornamento delle sue capacità da parte degli sviluppatori, GootLoader si è evoluto da caricatore che scarica un payload dannoso a piattaforma malware multi-payload. Come malware loader, GootLoader è solitamente il primo stadio di una compromissione del sistema. Sfruttando l’avvelenamento dei motori di ricerca, gli sviluppatori di GootLoader possono compromettere o creare siti web che si posizionano in alto nei risultati dei motori di ricerca, come quelli di Google.
Attivo da: almeno dal 2020
Tipo di malware: Payload
Metodo di consegna: File dannosi disponibili per il download su siti web compromessi che si posizionano in alto nei risultati dei motori di ricerca.


Commenti da Facebook
Prosegui la lettura

Inchieste

Zero Day cosa sapere, come difendersi e chi li usa

Condividi questo contenuto

Tempo di lettura: 6 minuti. Analisi del mercato e le differenze di interpretazioni tra Google e Flashpoint nello studio del fenomeno

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 6 minuti.

Per molti anni, il termine “zero-day” è stato abusato dalle testate giornalistiche e da alcuni fornitori di sicurezza, mitologizzandolo fino a farlo diventare il “grande lupo cattivo” del mondo della sicurezza che rende inutilizzabili i sistemi di qualsiasi organizzazione con un semplice clic del mouse. Sebbene ciò possa essere tecnicamente vero, c’è molto di più.

Le vulnerabilità zero-day sono davvero impossibili da difendere?

Dipende da come si definisce una vulnerabilità zero-day. A seconda del tipo di vulnerabilità, le aziende potrebbero avere più opzioni per rimediare o mitigarle di quanto si pensasse in precedenza.

Cosa sono le vulnerabilità zero-day?

In poche parole, gli zero-day sono vulnerabilità sfruttabili di cui il pubblico non è a conoscenza, spesso conosciute solo da una o poche persone. Tuttavia, le vulnerabilità zero-day possono derivare da scenari diversi a seconda di chi è a conoscenza dell’exploit. E a seconda di chi ne è a conoscenza, l’impatto e il rimedio o la mitigazione di uno zero-day possono cambiare drasticamente.

Ecco gli scenari di come si verifica uno zero-day:

  • L’exploit è noto, ma non viene segnalato al CVE, per cui il pubblico in generale non ne è a conoscenza.
  • Il fornitore interessato è a conoscenza dell’exploit, ma sceglie di non divulgarlo pubblicamente.
  • Solo il ricercatore di vulnerabilità è a conoscenza dell’exploit.
  • Solo gli attori delle minacce sono a conoscenza dell’exploit.
  • Proteggersi dai difetti intrinseci di CVE


Conoscere le differenze tra gli scenari zero-day è fondamentale perché non tutti presentano lo stesso rischio. Ma se la vostra unica fonte di informazioni sugli exploit zero-day proviene dai titoli dei media, sarà molto difficile fare questa distinzione, poiché ogni articolo suggerisce che ogni violazione di alto profilo è il risultato di uno zero-day o di un qualche tipo di attacco APT (Advanced Persistent Threat). Tuttavia, non tutti gli attacchi zero-day sono attribuiti alle APT.

Inoltre, i media affermano che gli zero-day sono “rari” e che sono in aumento, alimentando ulteriormente la convinzione che le organizzazioni possano fare poco per proteggersi dalle APT. Questo non è vero per tutti gli zero-day, soprattutto per i problemi non segnalati a CVE e NVD.

Molti problemi non vengono segnalati ai fornitori o a CVE e, di conseguenza, il pubblico in generale non è a conoscenza dell’esistenza della vulnerabilità o dell’exploit, a causa della forte dipendenza dalla fonte pubblica. Nel rapporto State of Vulnerability Intelligence, abbiamo descritto in dettaglio l’ampiezza del divario tra VulnDB e CVE: finora, CVE / NVD non ha segnalato oltre 94.000 vulnerabilità.

Per proteggersi da questi tipi di zero-day, è fondamentale disporre di un feed di vulnerability intelligence di qualità. Nonostante l’inconsapevolezza di CVE / NVD, i dettagli per le vulnerabilità non CVE ID possono essere trovati in tutto il web, su mezzi come forum illeciti, GitHub e altro ancora. Con le informazioni di Flashpoint, i team di sicurezza possono identificare e correggere i problemi non identificati CVE non appena vengono scoperti.

Gli zero-day scoperti in natura rappresentano il rischio maggiore

Gli zero-day che rappresentano il rischio maggiore per le organizzazioni sono quelli scoperti in natura. Si tratta di problemi che vengono utilizzati attivamente dagli attori delle minacce senza che sia disponibile una patch.

Per questi tipi di zero-days, è vero che le organizzazioni hanno poche opzioni difensive e dovrebbero invece concentrarsi sull’implementazione o sul miglioramento dei controlli di sicurezza sia umani che tecnici. La segregazione della rete, i controlli degli accessi, le patch reattive e la consapevolezza degli utenti dovrebbero essere la pietra miliare dei programmi di sicurezza.

Nonostante le difficoltà, il team Project Zero (P0) di Google aiuta le organizzazioni a tenere traccia di questo tipo di problemi dal maggio 2019 e ha reso pubbliche le proprie ricerche. Tuttavia, ci sono alcune avvertenze che gli utenti potrebbero voler prendere in considerazione.

Lo sfruttamento avviene più spesso al di fuori degli attacchi APT

La preoccupazione principale è che P0 tiene traccia delle vulnerabilità zero-day di alto livello e di alto profilo utilizzate principalmente negli attacchi APT, come è stato confermato da Ben Hawkes del team di Project Zero.

Ciò significa che l’elenco di Project Zero non comprenderà le vulnerabilità di tipo “in-the-wild” che non rientrano nell’ambito di applicazione di P0.

Detto questo, qual è il divario tra P0 e la raccolta di Flashpoint?

Nel 2022 H1, Flashpoint ha aggregato 37 vulnerabilità in-the-wild, rispetto alle 20 di P0: una discrepanza dell’85%. Considerando il totale noto, i team di ricerca di Flashpoint hanno trovato 311 vulnerabilità contro le 222 di P0. Queste affermazioni non intendono sminuire l’efficacia o gli sforzi del Progetto Zero. Al contrario, è per dimostrare che lo sfruttamento avviene più spesso al di fuori degli attacchi APT osservati, in quanto ogni vulnerabilità scoperta nella natura è indice di un’organizzazione compromessa.

Per molti anni, il termine “zero-day” è stato abusato dalle testate giornalistiche e da alcuni fornitori di sicurezza, mitologizzandolo fino a farlo diventare il “grande lupo cattivo” del mondo della sicurezza che rende inutilizzabili i sistemi di qualsiasi organizzazione con un semplice clic del mouse. Sebbene ciò possa essere tecnicamente vero, c’è molto di più.

Le vulnerabilità zero-day sono davvero impossibili da difendere?

Dipende da come si definisce una vulnerabilità zero-day. A seconda del tipo di vulnerabilità, le aziende potrebbero avere più opzioni per rimediare o mitigarle di quanto si pensasse in precedenza.

Cosa sono le vulnerabilità zero-day?

In poche parole, gli zero-day sono vulnerabilità sfruttabili di cui il pubblico non è a conoscenza, spesso conosciute solo da una o poche persone. Tuttavia, le vulnerabilità zero-day possono derivare da scenari diversi a seconda di chi è a conoscenza dell’exploit. E a seconda di chi ne è a conoscenza, l’impatto e il rimedio o la mitigazione di uno zero-day possono cambiare drasticamente.

Ecco gli scenari di come si verifica uno zero-day:

  • L’exploit è noto, ma non viene segnalato al CVE, per cui il pubblico in generale non ne è a conoscenza.
  • Il fornitore interessato è a conoscenza dell’exploit, ma sceglie di non divulgarlo pubblicamente.
  • Solo il ricercatore di vulnerabilità è a conoscenza dell’exploit.
  • Solo gli attori delle minacce sono a conoscenza dell’exploit.
  • Proteggersi dai difetti intrinseci di CVE


Conoscere le differenze tra gli scenari zero-day è fondamentale perché non tutti presentano lo stesso rischio. Ma se la vostra unica fonte di informazioni sugli exploit zero-day proviene dai titoli dei media, sarà molto difficile fare questa distinzione, poiché ogni articolo suggerisce che ogni violazione di alto profilo è il risultato di uno zero-day o di un qualche tipo di attacco APT (Advanced Persistent Threat). Tuttavia, non tutti gli attacchi zero-day sono attribuiti alle APT.

Inoltre, i media affermano che gli zero-day sono “rari” e che sono in aumento, alimentando ulteriormente la convinzione che le organizzazioni possano fare poco per proteggersi dalle APT. Questo non è vero per tutti gli zero-day, soprattutto per i problemi non segnalati a CVE e NVD.

Molti problemi non vengono segnalati ai fornitori o a CVE e, di conseguenza, il pubblico in generale non è a conoscenza dell’esistenza della vulnerabilità o dell’exploit, a causa della forte dipendenza dalla fonte pubblica. Nel rapporto State of Vulnerability Intelligence, abbiamo descritto in dettaglio l’ampiezza del divario tra VulnDB e CVE: finora, CVE / NVD non ha segnalato oltre 94.000 vulnerabilità.

Per proteggersi da questi tipi di zero-day, è fondamentale disporre di un feed di vulnerability intelligence di qualità. Nonostante l’inconsapevolezza di CVE / NVD, i dettagli per le vulnerabilità non CVE ID possono essere trovati in tutto il web, su mezzi come forum illeciti, GitHub e altro ancora. Con le informazioni di Flashpoint, i team di sicurezza possono identificare e correggere i problemi non identificati CVE non appena vengono scoperti.

Gli zero-day scoperti in natura rappresentano il rischio maggiore

Gli zero-day che rappresentano il rischio maggiore per le organizzazioni sono quelli scoperti in natura. Si tratta di problemi che vengono utilizzati attivamente dagli attori delle minacce senza che sia disponibile una patch.

Per questi tipi di zero-days, è vero che le organizzazioni hanno poche opzioni difensive e dovrebbero invece concentrarsi sull’implementazione o sul miglioramento dei controlli di sicurezza sia umani che tecnici. La segregazione della rete, i controlli degli accessi, le patch reattive e la consapevolezza degli utenti dovrebbero essere la pietra miliare dei programmi di sicurezza.

Nonostante le difficoltà, il team Project Zero (P0) di Google aiuta le organizzazioni a tenere traccia di questo tipo di problemi dal maggio 2019 e ha reso pubbliche le proprie ricerche. Tuttavia, ci sono alcune avvertenze che gli utenti potrebbero voler prendere in considerazione.

Lo sfruttamento avviene più spesso al di fuori degli attacchi APT

La preoccupazione principale è che P0 tiene traccia delle vulnerabilità zero-day di alto livello e di alto profilo utilizzate principalmente negli attacchi APT, come è stato confermato da Ben Hawkes del team di Project Zero.

Ciò significa che l’elenco di Project Zero non comprenderà le vulnerabilità di tipo “in-the-wild” che non rientrano nell’ambito di applicazione di P0.

Detto questo, qual è il divario tra P0 e la raccolta di Flashpoint?

Nel 2022 H1, Flashpoint ha aggregato 37 vulnerabilità in-the-wild, rispetto alle 20 di P0: una discrepanza dell’85%. Considerando il totale noto, i team di ricerca di Flashpoint hanno trovato 311 vulnerabilità contro le 222 di P0. Queste affermazioni non intendono sminuire l’efficacia o gli sforzi del Project Zero. Al contrario, è per dimostrare che lo sfruttamento avviene più spesso al di fuori degli attacchi APT osservati, in quanto ogni vulnerabilità scoperta nella natura è indice di un’organizzazione compromessa.

Commenti da Facebook
Prosegui la lettura

Inchieste

L’informazione è veicolata dalla intelligence americana? Forse sì

Condividi questo contenuto

Tempo di lettura: 3 minuti. Dietro il bollino di qualità, i social e società private collegate all’intelligence vogliono insegnare a editori e giornalisti come fare il loro mestiere e cosa non scrivere.

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 3 minuti.

Sembrerebbe la classica teoria del complotto ed in effetti lo è perchè non ci sono prove, ma è singolare comprendere che il social più visitato al mondo, Facebook, ha al suo interno menti eccelse che per anni si sono formate nell’intelligence americana. Sì, parliamo di CIA, l’ente che gestisce la sicurezza americana ed i suoi servizi segreti e che ha visto una emorragia di suoi impiegati e fornitori passare con il metodo delle porte girevoli alla società Meta.

Gli incarichi sono di tutto rilievo, se consideriamo che la disinformazione è uno dei campi dove questi sono stati impiegati e con ruoli di primissimo piano. Che Facebook sia una società statale, lo abbiamo sempre sostenuto e motivato dal fatto che un componente così importante nel commercio globale di dati di tre miliardi di utenti che comprano, condividono la loro vita e si informano ogni giorno è un fattore appetibilissimo non solo per il controllo, ma anche per la manipolazione delle tendenze delle persone che affollano il social.

Più volte abbiamo trattato la questione dell’algoritmo, tanto da definire Facebook come una società fascista, che non prende in considerazione l’autonomia di espressione dei giornalisti e non fa in modo di tutelare tutti gli ambiti del pensiero libero.

Il fatto che sia una società intoccabile anche dal punto di vista internazionale, vedi l’esempio del data breach che non è stato perseguito dal Garante della Privacy, rende Meta sempre più oscura nella sua finta trasparenza.

Il Ministero della Verità passa proprio da qui ed è singolare che a garantire questo bollino verde alle informazioni siano ex dipendenti dell’intelligence statunitense e lo sdoganamento di società composte sempre da persone vicine agli ambienti spioni e sodali con la Central Intelligence Agency del mondo intero come nel caso di NewsGuard che viene presentato come modello di sdoganamento delle fake news, indipendente e mostrato come se fosse una OnLus, ma che in realtà nasconde un asset di delegittimazione anche preventiva delle informazioni che hanno bisogno di tempo per essere dimostrate perchè presentate sotto forma di indiscrezioni a tutela delle fonti che le riferiscono ai giornalisti.

Non è un caso che, al convegno sulla disinformazione per i 25 anni del Garante della Privacy, gli ospiti di eccezioni siano stati il giornalista filoatlantico democratico dichiarato de La Stampa, Gianni Riotta, ed il debunker David Puente in redazione al primo giornale online, Open di Mentana, con il bollino verde secondo NewsGuard dove lo stesso Riotta figura nel board della società americana di analisi della disinformazione.

L’inchiesta del giornale statunitense Mint press ha pubblicato una lista di nomi di ex dipendenti CIA ed FBI che hanno usufruito delle porte girevoli per entrare in Meta

Coincidenze?

Assolutamente no, così come gli accordi presi dall’Unione Europea per il contrasto alla disinformazione nell’ultimo periodo, che risalgono già al periodo Covid ed il Codice di condotta rafforzato sulla disinformazione risale al 2018, dimostrano che anche la collaborazione tra l’agenzia statunitense e quella europea si avvale di una fitta rete di soggetti coinvolti che hanno finalità simili.

Da chi è composto il Ministero della Verità dell’informazione globale?

I firmatari del Codice di condotta rafforzato sulla disinformazione coinvolgono le principali piattaforme online attive nell’UE, nonché le associazioni di categoria e gli attori rilevanti dell’ecosistema online e pubblicitario, che hanno già partecipato al precedente Codice. Si tratta di: Google, Meta, Twitter, Microsoft, TikTok, DOT Europe, World Federation of Advertisers (WFA), European Association of Communications Agencies (EACA), Interactive Advertising Bureau (IAB Europe) e Kreativitet & Kommunikation.

Tra i nuovi firmatari, che hanno preso parte al processo di revisione, figurano: le piattaforme di streaming video online Twitch e Vimeo; i social network Clubhouse e The Bright App; il portale web ceco Seznam e il motore di ricerca Neeva; i fact-checkers Maldita, PagellaPolitica, Demagog e Faktograf; i fornitori di tecnologia pubblicitaria MediaMath e DoubleVerify, nonché l’iniziativa del settore pubblicitario GARM; le organizzazioni della società civile e di ricerca Avaaz, Globsec, Reporter senza frontiere e VOST Europe; e le organizzazioni che forniscono competenze specifiche e soluzioni tecniche per combattere la disinformazione, Adobe, Crisp Thinking, Kinzen, Logically, Newsback, NewsGuard e WhoTargetsMe.

Leggi qui approfondimenti

Conseguenze

Le conseguenze di una attività simile sono stati devastanti sul fronte dei vaccini, della guerra e di tante altre attività messe in dubbio dalla macchina della censura della disinformazione in territorio atlantico. Più volte sono state inserite nel marasma generale delle fake news, notizie o indiscrezioni che non erano assolutamente da classificare come “false” o strumentali, ma che hanno invece alla lunga ricevuto un riscontro di verità e questo ha fatto in modo che tra i giusti si configurasse un apparato che ha delegittimato dei media, come se ci fosse stata una narrazione da salvaguardare al momento. Soprattutto guai a leggere dei ravvedimenti su delle posizioni espresse.

La strategia della delegittimazione del nemico, l’ha adottata per anni la CIA, ma è sempre stata una contromisura di autotutela dei poteri di regime.

Sarà un caso?

Intanto è davvero singolare che il Ministero della Verità si rafforzi dopo che l’Europa ha preso seri provvedimenti di censura contro l’informazione russa, rafforzando le notizie provenienti dall’intelligence Ucraina in accordo con quella americana ed inglese.

Commenti da Facebook
Prosegui la lettura

Facebook

CYBERWARFARE

Notizie11 ore fa

Il dark web riprende forma ed alza il livello di contenuti: prendono piede le armi informatiche

Tempo di lettura: 4 minuti. Il capo dell'Interpol ha avvertito che in pochi anni le armi informatiche sviluppate dagli Stati...

DeFi1 giorno fa

La finanza decentralizzata deve affrontare molteplici barriere per l’adozione mainstream

Tempo di lettura: 5 minuti. Pur essendo uno dei settori più popolari del mercato delle criptovalute, la finanza decentralizzata ha...

Notizie2 giorni fa

Facebook respinge minaccia di APT36

Tempo di lettura: 2 minuti. Meta dichiara che il gruppo criminale è collegato ad attori statali del Pakistan

Notizie4 giorni fa

Chi di malware ferisce, di attacchi apt perisce: enti russi colpiti da Woody Rat

Tempo di lettura: 2 minuti. Molti sospetti, nessuna certezza. Sono stati i cinesi oppure nordcoreani?

Notizie5 giorni fa

Guerra Cibernetica: la lezione che Trend Micro ha imparato dai russi.

Tempo di lettura: 4 minuti. Non solo si spiega come si è strutturata la battaglia, ma anche come fare in...

Notizie6 giorni fa

Pelosi accolta con un attacco DDOS a Taiwan

Tempo di lettura: 2 minuti. Una coincidenza? Secondo molti esperti si tratta di un attacco coordinato

Notizie6 giorni fa

Polonia sotto attacco hacker. Colpa della Russia

Tempo di lettura: < 1 minuto. Gli attacchi sono collegati ai tentativi di destabilizzare la situazione in Polonia e in...

Notizie1 settimana fa

Microsoft: L’azienda austriaca DSIRF vende il malware Subzero

Tempo di lettura: 2 minuti. Microsoft ha dichiarato che la società austriaca di penetration testing DSIRF ha sfruttato diverse vulnerabilità...

Notizie2 settimane fa

Ecco come l’Ucraina si è difesa dagli attacchi cibernetici e dalla propaganda russa

Tempo di lettura: 2 minuti. Sono 1200 gli incidenti informatici sventati dagli invasi sul campo non solo militare, ma anche...

Notizie2 settimane fa

Malware utilizzati nella guerra cibernetica: il comunicato del CNMF

Tempo di lettura: < 1 minuto. Ogni giorno quasi, c'è una nuova strategia messa in piedi dai russi per spiare...

Truffe recenti

scam scam
Notizie2 settimane fa

Spagna e Romania: sventata banda di truffatori online

Tempo di lettura: 2 minuti. Condividi questo contenutoLe autorità spagnole, insieme alla polizia rumena ed Europol, hanno chiuso lunedì un’operazione...

Truffe online3 settimane fa

Il phishing sbarca anche su Twitter e Discord

Tempo di lettura: 3 minuti. Anche i "social minori" sono attenzionati dai criminali informatici

Inchieste1 mese fa

Tinder e la doppia truffa: criptovalute e assistenza legale che non c’è

Tempo di lettura: 6 minuti. Una donna conosciuta su Tinder gli consiglia di investire in criptovalute. Viene truffato e si...

Truffe online1 mese fa

Truffe WhatsApp, quali sono e come evitarle

Tempo di lettura: 4 minuti. Ecco le otto truffe più comuni su WhatsApp, secondo ESET

Truffe online1 mese fa

Truffa Vinted: colpiti anche i venditori

Tempo di lettura: 2 minuti. Continuano le segnalazioni degli utenti

Truffe online1 mese fa

Attenzione alla truffa LGBTQ+

Tempo di lettura: 3 minuti. I più esposti? Chi non ha fatto "coming out"

Pesca mirata Pesca mirata
Truffe online1 mese fa

Attenzione alla truffa online di InBank

Tempo di lettura: < 1 minuto. La segnalazione arriva dalla società italiana di sicurezza informatica TgSoft

Truffe online2 mesi fa

Truffa WhatsApp: attenzione ai messaggi che ci spiano

Tempo di lettura: < 1 minuto. L'allarme proviene dall'Inghilterra

DeFi2 mesi fa

Criptovalute e truffa: Telegram e Meta piattaforme perfette

Tempo di lettura: 5 minuti. Meta non risponde alle richieste dei giornalisti, continua ad avallare truffe e soprusi in silenzio.

Truffe online2 mesi fa

Truffa Axel Arigato: la società risponde a Matrice Digitale

Tempo di lettura: < 1 minuto. "Ci scusiamo con i nostri utenti e provvederemo a risolvere il problema"

Tendenza