Connect with us

Multilingua

500.000 computers will attack the USA from the inside. Killnet and Legion say to us

Pubblicato

in data

Tempo di lettura: 4 minuti.

Italy has plunged into long-awaited cyber warfare with hacker attacks that have ravaged the government sites of the Defense Ministry, which has denied it, ACI, Iss and many others. Igniting the public debate has been the authorship of the attack. According to many, there is a difference between KillNet and Legion, but the editorial staff contacted them to better understand who are those who have destabilized the certainties about the cyber resilience of an advanced country like Italy.

The interview was conducted in Russian and we apologize for any smears in the translation and anticipate that it was not possible to counter their statements for technical reasons due to the Telegram platform.

Beyond the ideals expressed,

on which the editorial staff firmly distances itself because it condemns all warfare

let us find out who they are, how they are structured, whether they are linked to Russian intelligence, and whether they will continue to do damage in Italy or elsewhere.

Meanwhile, the indiscretion given by Digital Matrix about the attacks on the media was confirmed by Legion itself with an ironic comment on its Twitter profile “It’s Biden.”

Exclusive: Italian media under attack by Legion and KillNet “boys”

What is the difference between Killnet and Legion? You say you are different, but on Telegram you are connected.

I am the founder of Killnet, I am the founder of Legion. I created it, but I don’t want to control it. We are training thousands of people ready to fight NATO in the future. When Legion is formed and has its own management system, I will leave them without my supervision.

When was Killnet born and what is its purpose?

KILLNET was born in 2021. From the beginning, we provided DDOS services for competing companies. When the war broke out, we shut down the service and converted to actions related to the extension of the Russian national Internet.

When was Legion born and what is it for?

Legion’s purpose is the destruction of NATO.

Legion is an Indian collective known to be anti-Russian, do you have ties with them or are you a different group?

Legion is not a collective, but a special unit. We can call it a battalion that includes 5 special forces units. 4 of them have a DDoS attack specification. 1 Squad is the Hacking Squad. As I mentioned earlier, the Legion is a branch of the KILLNET.

The United States does not recognize you as an entity associated with Russian intelligence. Are you a financially motivated group, individual activists or guys who like to create “big” damage around here?

I am an ordinary person from Russia. In all the time we have been working, not one person from Russia has offered us financial help. As for government agencies, it’s silly to think we have anything to do with them. We are not children. We have a high age profile, but we are not looking for adventures for fun. We are creating damage to those countries that are motivating this war. We will fight the war as we know how to fight those who help the Nazis in Ukraine. If the United States thinks we are children, I tell you that I have sent the United States to that country. We are preparing a big surprise for them.

According to some research done, it seems that you are using a DDoS service similar to the Mirai botnet, according to some reports it is Mirai. What is true about these two reflections?

First of all, those who research our attacks are idiots and clowns. The Mirai botnet and the Mirai Squad are the same thing. But it is a Squad of 5, Killnet is not part of these squads. What kind of power supply does KILLNET use? This question will be answered by 500,000 computers in the United States.

Is DdoS the only thing you know how to do?

We are currently developing the IT infrastructure of our movement. Our expertise is not limited to ddos attacks. It is the simplest. My favorite action against enemies are cryptolockers, injections and more. We currently have over 30 types of specifications.

How difficult was it to get into Italy? What were the goals of the country you applied for and what were not?

There is no difficulty in entering any country. There is a difficulty only in understanding the state’s attitude toward Nazism. That is why we do research. If you mean “Does Italy have good protection for its servers?” no, it does not. Your network infrastructure has huge gaps. If we wanted to attack your ISPs, the Internet would simply cease to exist. But we are not vandals and we are not against ordinary people. We are against the Nazi government!

Do you support Russian propaganda? If yes, why?

I love my country! My country has no propaganda, my country has only one goal: to destroy the Nazis in Ukraine. Your countries are full of US propaganda. They are your real enemies, but not Russia. You will understand this soon!

How do you regard the choice of Anonymous in taking the field in favor of Ukraine?

I do not consider it an enemy. Those who claim to be Anonymous and speak against the Russian people are not real hacks. They are clearly propagandists from Ukraine. Anonymous will never in its life support the U.S. government. Anonymous will never threaten people.

Multilingua

DarkGate e l’iniezione di Template Remoti: nuove tattiche di attacco

Tempo di lettura: 2 minuti. Nuove tattiche di DarkGate: iniezione di template remoti per aggirare le difese e infettare con malware tramite documenti Excel.

Pubblicato

in data

Tempo di lettura: 2 minuti.

Recentemente, Cisco Talos ha rilevato un aumento significativo di campagne email malevole contenenti allegati sospetti di Microsoft Excel che, una volta aperti, infettano il sistema della vittima con il malware DarkGate. Queste campagne, attive dalla seconda settimana di marzo, utilizzano tecniche, tattiche e procedure (TTP) mai osservate prima negli attacchi DarkGate.

Tecnica dell’Iniezione di Template Remoti

Le recenti campagne di DarkGate sfruttano una tecnica chiamata “Remote Template Injection” per bypassare i controlli di sicurezza delle email e ingannare l’utente a scaricare ed eseguire codice malevolo quando viene aperto il documento Excel. Questa tecnica consente di importare template da fonti esterne per espandere le funzionalità di un documento, eludendo i protocolli di sicurezza che potrebbero non essere stringenti per i template rispetto ai file eseguibili.

Dettagli Tecnici dell’Attacco

Le email malevole individuate da Cisco Talos contenevano allegati di Excel con nomi distintivi, principalmente riguardanti questioni finanziarie o ufficiali, per convincere il destinatario ad aprire il documento. L’infezione inizia quando il documento Excel viene aperto, scaricando ed eseguendo un file VBS da un server controllato dall’attaccante. Il file VBS contiene un comando che esegue uno script PowerShell dal server di comando e controllo (C2) di DarkGate.

Cambiamenti nei Payload e nei Linguaggi di Scripting

Dal 12 marzo 2024, le campagne di DarkGate hanno iniziato a utilizzare script AutoHotKey invece di AutoIT. AutoHotKey offre funzionalità avanzate di manipolazione del testo, supporto per hotkey e una vasta libreria di script user-contributed. Gli script AutoHotKey scaricano e decodificano dati binari direttamente in memoria, eseguendo il payload di DarkGate senza mai salvarlo su disco.

Meccanismi di Persistenza

I componenti utilizzati durante l’ultima fase dell’infezione vengono memorizzati nella directory C:\\ProgramData\\cccddcb\\. La persistenza attraverso i riavvii viene stabilita creando un file di collegamento nella directory di avvio del sistema infetto. Cisco Talos ha sviluppato meccanismi di rilevamento e blocco per queste campagne su prodotti Cisco Secure.

Prosegui la lettura

Multilingua

LightSpy: la nuova minaccia per macOS

Tempo di lettura: 3 minuti. Il malware LightSpy che prende di mira i dispositivi macOS, i metodi di infezione e le funzionalità dei plugin per l’esfiltrazione di dati.

Pubblicato

in data

Tempo di lettura: 3 minuti.

Recentemente, è stata scoperta una variante del malware LightSpy che prende di mira i dispositivi macOS. Questo malware, originariamente noto per attaccare dispositivi iOS e Android, ha ora dimostrato di poter compromettere anche i sistemi macOS. Le indagini condotte da ThreatFabric e Huntress hanno rivelato dettagli tecnici significativi sulle capacità di questo malware e sui metodi utilizzati per infettare i dispositivi.

Contesto e Scoperta

Il framework di spyware LightSpy è noto per la sua versatilità e capacità di compromettere vari sistemi operativi. Originariamente, il malware ha preso di mira dispositivi iOS e Android, ma ora ha esteso il suo raggio d’azione a macOS. La variante per macOS è stata identificata tramite campioni caricati su VirusTotal e analizzati da Huntress e ThreatFabric.

Metodi di Infezione

Il gruppo di attori malevoli dietro LightSpy utilizza exploit pubblicamente disponibili per distribuire gli impianti su macOS. Due exploit noti, CVE-2018-4233 e CVE-2018-4404, sono stati utilizzati per colpire versioni di macOS 10.13.3 e iOS precedenti alla 11.4.

Il malware inizia con l’esecuzione arbitraria di codice tramite una vulnerabilità di WebKit all’interno di Safari, seguita da un’escalation di privilegi specifica del sistema operativo.

Analisi Tecnica

Fase Iniziale

Il punto di partenza dell’attacco è un exploit di WebKit che consente l’esecuzione di codice arbitrario non privilegiato. Una volta attivato, l’exploit distribuisce un payload denominato “20004312341.png”, che è in realtà un file eseguibile MachO x86_64 contenente una funzione di iniezione.

Downloader Intermedio

Il file “20004312341.png” decifra un blocco di 0x400 byte incorporato nel file eseguibile e lancia il risultato utilizzando launchd. Questo script scarica tre ulteriori file utilizzando l’utilità curl, inclusi “ssudo” (un exploit di escalation dei privilegi), “ddss” (un file di cifratura/decifratura) e un archivio ZIP contenente “update” e “update.plist”.

Loader e Persistenza

Il file “update” è progettato per configurare e avviare il Core di LightSpy, fornendo le informazioni necessarie per la comunicazione con il server di comando e controllo (C2). Una volta eseguito, “update” assicura la persistenza nel sistema utilizzando launchctl, avviandosi ad ogni riavvio del sistema.

Funzionalità del Core e Plugin

Il Core di LightSpy è responsabile della raccolta delle informazioni sul dispositivo e della gestione dei comandi dal server C2. Utilizza un database SQLite per memorizzare dati di configurazione, comandi e piani di controllo. Durante l’indagine, è stata scoperta una versione del Core denominata “C40F0D27”, che funge da orchestratore del framework di sorveglianza.

Plugin Specifici

LightSpy per macOS supporta 10 plugin principali per l’esfiltrazione di informazioni private:

  • SoundRecord: Registra l’audio dal microfono del dispositivo.
  • Browser: Esfiltra la cronologia dei browser Safari e Chrome.
  • CameraModule: Scatta foto utilizzando la fotocamera del dispositivo.
  • FileManage: Esfiltra e manipola file e directory, compresi dati da messaggistica come WeChat, Telegram e QQ.
  • Keychain: Esfiltra password, certificati e chiavi dalla Keychain di Apple.
  • LanDevices: Scansiona la rete locale per trovare dispositivi connessi.
  • Softlist: Esfiltra l’elenco delle applicazioni installate e dei processi in esecuzione.
  • ScreenRecorder: Registra video dello schermo del dispositivo.
  • ShellCommand: Fornisce una shell remota per l’operatore.
  • WiFi: Esfiltra dati sulle reti Wi-Fi vicine e la cronologia delle connessioni Wi-Fi.

Implicazioni e Conclusioni

La scoperta della variante macOS di LightSpy dimostra che il malware è in continua evoluzione e in grado di prendere di mira una gamma più ampia di dispositivi. Gli utenti di macOS devono essere consapevoli delle potenziali minacce e adottare misure per proteggere i loro sistemi, inclusi aggiornamenti regolari e l’uso di strumenti di sicurezza avanzati. La collaborazione tra ricercatori di sicurezza e aziende come Huntress e ThreatFabric è cruciale per identificare e mitigare queste minacce.

Prosegui la lettura

Multilingua

Commando Cat: Cryptojacking innovativo che sfrutta i Server API Remoti di Docker

Tempo di lettura: 2 minuti. Commando Cat, un attacco di cryptojacking che sfrutta i server API remoti di Docker esposti, mette in luce la necessità di pratiche di sicurezza robuste per i contenitori.

Pubblicato

in data

Tempo di lettura: 2 minuti.

Un nuovo attacco di cryptojacking, denominato Commando Cat, sta prendendo di mira i server API remoti di Docker esposti per distribuire miner di criptovalute. Gli attaccanti utilizzano immagini Docker del progetto open-source Commando per eseguire questa campagna.

Dettagli dell’Attacco Commando Cat

Il team di ricercatori ha analizzato una campagna di attacco che sfrutta i server API remoti di Docker esposti per distribuire miner di criptovalute. Gli attaccanti impiegano l’immagine Docker cmd.cat/chattr per ottenere l’accesso iniziale, utilizzando tecniche come chroot e il binding dei volumi per uscire dal contenitore ed accedere al sistema host.

Accesso Iniziale

Per ottenere l’accesso iniziale, l’attaccante distribuisce un’immagine Docker denominata cmd.cat/chattr. Una volta distribuita, l’attaccante crea un contenitore Docker basato su questa immagine e utilizza chroot per uscire dal contenitore e ottenere l’accesso al sistema operativo host. Successivamente, utilizza curl o wget per scaricare il binario malevolo sul sistema host.

Sequenza dell’Attacco

  1. Probing del Server API Remoto di Docker: L’attacco inizia con una richiesta di ping al server API remoto di Docker per verificare lo stato del server.
  2. Creazione del Contenitore con l’Immagine cmd.cat/chattr: Una volta confermato che il server è operativo, l’attaccante procede a creare un contenitore utilizzando l’immagine cmd.cat/chattr.
  3. Escape dal Contenitore: L’attaccante utilizza chroot e il binding dei volumi per sfuggire al contenitore. Il binding /:/hs monta la directory root dell’host nella directory /hs del contenitore, garantendo all’attaccante l’accesso illimitato al file system dell’host.
  4. Creazione dell’Immagine Docker in Caso di Assenza: Se la richiesta di creazione del contenitore restituisce un errore di “immagine non trovata”, l’attaccante scarica l’immagine chattr dal repository cmd.cat.
  5. Distribuzione del Contenitore: Con l’immagine pronta, l’attaccante crea un contenitore Docker ed esegue un payload codificato in base64, che tradotto risulta essere uno script shell malevolo che scarica ed esegue un binario malevolo dal server di comando e controllo.

Raccomandazioni per la Sicurezza

Per proteggere gli ambienti di sviluppo dagli attacchi che prendono di mira i contenitori e gli host, Trend Micro raccomanda di adottare le seguenti best practices:

  • Configurare correttamente i contenitori e le API per minimizzare il rischio di attacchi.
  • Utilizzare solo immagini Docker ufficiali o certificate.
  • Eseguire i contenitori senza privilegi di root.
  • Configurare i contenitori in modo che l’accesso sia garantito solo a fonti attendibili, come la rete interna.
  • Eseguire audit di sicurezza a intervalli regolari per rilevare eventuali contenitori e immagini sospetti.

La campagna di attacco Commando Cat mette in luce la minaccia rappresentata dall’abuso dei server API remoti di Docker esposti. Sfruttando le configurazioni Docker e utilizzando strumenti open-source come cmd.cat, gli attaccanti possono ottenere l’accesso iniziale e distribuire binari malevoli, eludendo le misure di sicurezza convenzionali. Questo evidenzia l’importanza di implementare robuste pratiche di sicurezza per i contenitori.

Prosegui la lettura

Facebook

CYBERSECURITY

Sicurezza Informatica1 giorno fa

Modelli di machine learning con attacchi Sleepy a file Pickle

Tempo di lettura: 3 minuti. La tecnica Sleepy Pickle sfrutta i file Pickle per compromettere i modelli di machine learning,...

CISA logo CISA logo
Sicurezza Informatica1 giorno fa

CISA: vulnerabilità sfruttate e truffatori telefonici

Tempo di lettura: 2 minuti. La CISA avverte di una vulnerabilità di Windows sfruttata in attacchi ransomware e segnala truffe...

Sicurezza Informatica2 giorni fa

OpenAI nomina ex capo NSA nel Consiglio di Amministrazione

Tempo di lettura: 2 minuti. OpenAI nomina Paul M. Nakasone, ex capo NSA, nel Consiglio di Amministrazione: conflitto di interessi...

Sicurezza Informatica3 giorni fa

Analisi tecnica del malware SSLoad

Tempo di lettura: 2 minuti. L'analisi del malware SSLoad rivela la sua intricata capacità di evitare il rilevamento e distribuire...

Sicurezza Informatica3 giorni fa

WARMCOOKIE: pericolosa Backdoor multipiattaforma

Tempo di lettura: 2 minuti. WARMCOOKIE, nuovo backdoor multipiattaforma, utilizzato in campagne di phishing a tema lavorativo: le indicazioni di...

Sicurezza Informatica3 giorni fa

Noodle RAT: malware multipiattaforma colpisce Windows e Linux

Tempo di lettura: 2 minuti. Noodle RAT, nuovo malware multipiattaforma, colpisce sistemi Windows e Linux, utilizzato da attori di lingua...

Microsoft Patch Tuesday Microsoft Patch Tuesday
Sicurezza Informatica4 giorni fa

Microsoft Patch Tuesday di giugno risolve 51 vulnerabilità

Tempo di lettura: < 1 minuto. Scopri le ultime patch di sicurezza rilasciate da Microsoft per affrontare 51 vulnerabilità, inclusi...

Polizia Postale csam 2024 Polizia Postale csam 2024
Sicurezza Informatica5 giorni fa

Postale: due arresti e perquisizioni contro il CSAM

Tempo di lettura: < 1 minuto. La Polizia Postale arresta due persone e sequestra migliaia di file pedopornografici in un'operazione...

Sicurezza Informatica5 giorni fa

Gitloker abusa delle notifiche GitHub per diffondere App maligne OAuth

Tempo di lettura: 2 minuti. Gli attacchi Gitloker sfruttano le notifiche di GitHub per distribuire app maligne OAuth: scopri come...

Sicurezza Informatica6 giorni fa

Malicious VSCode Extensions con milioni di installazioni scoperte

Tempo di lettura: 2 minuti. Scoperte estensioni malevole nel VSCode Marketplace con milioni di installazioni, esponendo numerose organizzazioni a rischi...

Truffe recenti

fbi fbi
Sicurezza Informatica2 settimane fa

FBI legge Matrice Digitale? Avviso sulle truffe di lavoro Online

Tempo di lettura: 2 minuti. L'FBI segnala un aumento delle truffe lavoro da casa con pagamenti in criptovaluta, offrendo consigli...

Sicurezza Informatica2 settimane fa

Milano: operazione “Trust”, frodi informatiche e riciclaggio di criptovaluta

Tempo di lettura: 2 minuti. Scoperta un'organizzazione criminale transnazionale specializzata in frodi informatiche e riciclaggio di criptovaluta nell'operazione "Trust"

Inchieste3 settimane fa

Truffa lavoro Online: analisi metodo Mazarsiu e consigli

Tempo di lettura: 4 minuti. Mazarsiu e Temunao sono solo due portali di arrivo della truffa di lavoro online che...

Inchieste4 settimane fa

Mazarsiu e Temunao: non solo truffa, ma un vero metodo

Tempo di lettura: 4 minuti. Le inchieste su Temunao e Marasiu hanno attivato tante segnalazioni alla redazione di persone che...

Pharmapiuit.com Pharmapiuit.com
Inchieste4 settimane fa

Pharmapiuit.com : sito truffa online dal 2023

Tempo di lettura: 2 minuti. Pharmapiuit.com è l'ultimo sito truffa ancora online di una serie di portali che promettono forti...

Temunao.Top Temunao.Top
Inchieste4 settimane fa

Temunao.Top: altro sito truffa che promette lavoro OnLine

Tempo di lettura: 2 minuti. Temunao.top è l'ennesimo sito web truffa che promette un premio finale a coloro che effettuano...

Inchieste1 mese fa

Attenti a Mazarsiu.com : offerta lavoro truffa da piattaforma Adecco

Tempo di lettura: 2 minuti. Dalla piattaforma Adecco ad un sito che offre lavoro attraverso le Google Ads: è la...

Sicurezza Informatica1 mese fa

BogusBazaar falsi e-commerce usati per una truffa da 50 milioni

Tempo di lettura: 2 minuti. Oltre 850,000 persone sono state ingannate da una rete di 75,000 falsi negozi online, con...

Sicurezza Informatica1 mese fa

Truffatori austriaci scappano dagli investitori, ma non dalla legge

Tempo di lettura: 2 minuti. Le forze dell'ordine hanno smascherato e arrestato un gruppo di truffatori austriaci dietro una frode...

Shein Shein
Truffe online2 mesi fa

Truffa dei buoni SHEIN da 300 euro, scopri come proteggerti

Tempo di lettura: < 1 minuto. La truffa dei buoni SHEIN da 300 euro sta facendo nuovamente vittime in Italia,...

Tech

Smartphone9 ore fa

Moto G Stylus 5G 2024 vs Moto G Stylus 5G 2023: quale scegliere?

Tempo di lettura: 4 minuti. Confronto tra Moto G Stylus 5G 2024 e Moto G Stylus 5G 2023: scopri quale...

Tech9 ore fa

Novità su Jetpack Compose e i Form Factor da Google I/O 2024

Tempo di lettura: 3 minuti. Ultime novità su Jetpack Compose e i form factor da Google I/O 2024, inclusi nuovi...

Smartphone9 ore fa

Motorola Edge 50 Pro vs Realme GT 6T: quale scegliere?

Tempo di lettura: 4 minuti. Confronto tra Motorola Edge 50 Pro e Realme GT 6T: scopri quale smartphone offre migliori...

Smartphone9 ore fa

Infinix GT 20 Pro vs Realme GT 6T: quale scegliere?

Tempo di lettura: 3 minuti. Confronto tra Infinix GT 20 Pro e Realme GT 6T: scopri quale smartphone offre migliori...

Smartphone24 ore fa

OPPO F27 Pro+ vs Vivo V30e: quale smartphone scegliere?

Tempo di lettura: 3 minuti. Confronto tra OPPO F27 Pro+ e Vivo V30e: scopri quale smartphone di fascia media premium...

Smartphone1 giorno fa

Infinix Zero Flip e HTC U24 Pro: specifiche e design svelati

Tempo di lettura: 3 minuti. Specifiche e design dell'Infinix Zero Flip e dell'HTC U24 Pro, i nuovi smartphone pieghevoli e...

Galaxy S24 FE Galaxy S24 FE
Smartphone1 giorno fa

Specifiche del Galaxy Z Flip 6 e design del Galaxy S24 FE

Tempo di lettura: 4 minuti. Le specifiche ufficiali del Galaxy Z Flip 6 e il design trapelato del Galaxy S24...

Robotica1 giorno fa

Robot molecolari Autoassemblanti e Autodissocianti: innovazione nella nanotecnologia

Tempo di lettura: 2 minuti. I ricercatori di Tohoku e Kyoto sviluppano un controllore molecolare a DNA per robot molecolari...

KDE Gear 23.08.3 KDE Gear 23.08.3
Tech1 giorno fa

Aggiornamento KDE Gear 24.05.1: le novità più importanti

Tempo di lettura: 2 minuti. Scopri le novità dell'aggiornamento KDE Gear 24.05.1, con miglioramenti significativi per Dolphin, Elisa e Kdenlive.

Galaxy Z Flip 6 Galaxy Z Flip 6
Smartphone1 giorno fa

Perchè non devi cambiare il Galaxy Z Flip 5 al 6?

Tempo di lettura: 2 minuti. Scopri cinque ragioni per cui non è necessario aggiornare il Galaxy Z Flip 5 al...

Tendenza