Connect with us

Notizie

APT-C-23 colpisce funzionari israeliani di alto rango. Passi in avanti nella tecnologia dell’APT palestinese

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 3 minuti.

Funzionari israeliani di alto livello sono stati colpiti da una nuova campagna di cyber-spionaggio lanciata da APT-C-23. AridViper, noto anche come APT-C-23, Desert Falcon, e Two-tailed Scorpion, è un gruppo advanced persistent threat (APT) a sfondo politico attivo in Medio Oriente e si ritiene provenire dai confini di Gaza.

In passato, AridViper ha condotto attacchi di spear-phishing contro le forze dell’ordine, i militari e gli istituti scolastici palestinesi, così come l’Agenzia per la sicurezza di Israele (ISA). A febbraio, i ricercatori di Cisco Talos hanno scoperto gli attacchi di AridViper contro gli attivisti associati al conflitto israelo-palestinese.

Il team di ricerca Nocturnus di Cybereason ha pubblicato nuovi risultati sulle ultime attività dell’APT.

Soprannominata “Operation Bearded Barbie“, l’ultima campagna prende di mira individui israeliani “scelti con cura” per compromettere i loro PC e dispositivi mobili, spiare le loro attività e rubare dati sensibili.

I ricercatori sostengono che il gruppo APT-C-23, insieme a MoleRATs, sono sottoinsiemi APT della divisione di cyberguerra di Hamas e stanno lavorando per favorire il gruppo politico palestinese.

Le vittime dell’operazione includono individui che lavorano nei settori della difesa, delle forze dell’ordine e dei servizi di emergenza in Israele.

Secondo Cybereason, il primo passo negli attacchi dell’APT-C-23 si basa sull’ingegneria sociale: dopo aver condotto una ricognizione su una vittima, il gruppo crea falsi account Facebook sui social media, prende contatto e cerca di invogliare l’obiettivo a scaricare app di messaggi troianizzati.

In alcuni casi, i profili catfish sono creati per apparire come giovani donne.

Le chat si spostano da Facebook a WhatsApp, e da lì, il catfish suggerisce un servizio di messaggistica più “discreto“.

Un altro vettore di attacco è l’esca di un video sessuale confezionato in un archivio .RAR dannoso.

L’APT ha anche aggiornato le sue armi informatiche. In particolare, due nuovi strumenti – Barb(ie) Downloader e BarbWire Backdoor – e una nuova variante di impianto, VolatileVenom, sono da esplorare.

Barb(ie) Downloader viene consegnato attraverso il video di adescamento e viene utilizzato per installare la backdoor BarbWire. Il malware eseguirà diversi controlli anti-analisi, tra cui una scansione delle macchine virtuali (VM) o la presenza di sandbox, prima di procedere con l’installazione della backdoor. Barb(ie) raccoglierà anche informazioni di base sul sistema operativo e le invierà al server di comando e controllo (C2) dell’attaccante.

La Backdoor BarbWire è descritta come un ceppo di malware “molto capace” con alti livelli di offuscamento ottenuti attraverso la crittografia delle stringhe, l’hashing delle API e la protezione dei processi.

BarbWire esegue varie funzioni di sorveglianza, tra cui keylogging, cattura dello schermo e intercettazione e registrazione audio. Inoltre, la variante malware può mantenere la persistenza su un dispositivo infetto, pianificare le attività, crittografare il contenuto, scaricare ulteriori payload malware ed esfiltrare i dati.

La backdoor cercherà specificamente documenti Microsoft Office, file .PDF, archivi, immagini e video sulla macchina compromessa e qualsiasi unità esterna collegata.

Cybereason ha anche individuato nuove varianti di VolatileVenom. VolatileVenom è un malware Android servito durante l’installazione dell’app di messaggistica “discrete” ed è stato progettato per eseguire sorveglianza e furto.

VolatileVenom può compromettere il microfono e le funzioni audio di un dispositivo Android, registrare le chiamate e le prove effettuate su WhatsApp, leggere le notifiche da WhatsApp, Facebook, Telegram, Instagram, Skype, IMO e Viber; leggere le liste dei contatti e rubare informazioni tra cui messaggi SMS, file e credenziali delle app.

Inoltre, il malware può estrarre i registri delle chiamate, utilizzare la fotocamera per scattare foto, manomettere le connessioni WiFi e scaricare file sul dispositivo.

Cybereason ha dichiarato che “Questa campagna mostra un notevole passo avanti nelle capacità di APT-C-23, con stealth aggiornato, malware più sofisticato, e il perfezionamento delle loro tecniche di ingegneria sociale che coinvolgono capacità offensive HUMINT utilizzando una rete molto attiva e ben curata di falsi account Facebook che si sono dimostrati abbastanza efficaci per il gruppo.

Commenti da Facebook
Prosegui la lettura
Advertisement

Iscriviti alla newsletter settimanale di Matrice Digitale

* indicates required

Notizie

I server Microsoft SQL sono ancora vulnerabili e sono sotto attacco del ransomware FARGO

Condividi questo contenuto

Tempo di lettura: 2 minuti. I dati statistici relativi agli attacchi ransomware sulla piattaforma ID Ransomware indicano che la famiglia FARGO di malware per la crittografia dei file è piuttosto attiva.

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 2 minuti.

BleepingComputer ha segnalato attacchi simili a febbraio, con la caduta dei beacon Cobalt Strike, e a luglio, quando gli attori delle minacce hanno dirottato i server MS-SQL vulnerabili per rubare la larghezza di banda per i servizi proxy.

L’ultima ondata è più catastrofica e mira a un profitto facile e veloce ricattando i proprietari di database.

Il ransomware FARGO, alias TargetCompany

I ricercatori di sicurezza dell’AhnLab Security Emergency Response Center (ASEC) affermano che FARGO è uno dei ceppi di ransomware più importanti che si concentrano sui server MS-SQL, insieme a GlobeImposter.

Questa famiglia di malware è stata chiamata “Mallox” in passato perché era solita aggiungere l’estensione “.mallox” ai file che criptava.

Inoltre, questo ceppo è lo stesso che i ricercatori di Avast hanno denominato “TargetCompany” in un rapporto di febbraio, evidenziando che i file da esso crittografati possono essere recuperati gratuitamente in alcuni casi.

Infezione ed esecuzione

I ricercatori rilevano che l’infezione da ransomware inizia con il processo MS-SQL sul computer compromesso che scarica un file .NET utilizzando cmd.exe e powershell.exe.

Il payload recupera ulteriore malware (incluso l’armadietto), genera ed esegue un file BAT che termina processi e servizi specifici.

Successivamente, il payload del ransomware si inietta in AppLaunch.exe, un processo legittimo di Windows, e cerca di eliminare la chiave di registro per il “vaccino” open-source del ransomware chiamato Raccine.

Inoltre, il malware esegue il comando di disattivazione del recupero e termina i processi relativi al database per rendere il loro contenuto disponibile per la crittografia.

Processi eliminati da FARGO

Processi uccisi da FARGO prima dell’avvio della crittografia (ASEC)
Il ceppo di ransomware FARGO esclude alcuni software e directory dalla crittografia per evitare che il sistema attaccato diventi completamente inutilizzabile.

Sono escluse dalla crittografia diverse directory del sistema Microsoft Windows, i file di avvio, Tor Browser, Internet Explorer, le personalizzazioni e le impostazioni dell’utente, il file di registro di debug o il database delle miniature.

Al termine della crittografia, i file bloccati vengono rinominati con l’estensione “.Fargo3” e il malware genera la nota di riscatto (“RECOVERY FILES.txt”).

Le vittime vengono minacciate di diffondere i file rubati sul canale Telegram dell’attore della minaccia, a meno che non paghino il riscatto.

I server di database sono spesso compromessi attraverso attacchi brute-force e a dizionario che hanno successo contro gli account protetti da credenziali deboli. In alternativa, i criminali informatici cercano di sfruttare vulnerabilità note che l’obiettivo non ha patchato.

La raccomandazione per gli amministratori di server MS-SQL è di assicurarsi di utilizzare password sufficientemente forti e uniche. Inoltre, mantenere la macchina aggiornata con le ultime correzioni delle vulnerabilità di sicurezza è un consiglio che non passa mai di moda.

Fonte

Commenti da Facebook
Prosegui la lettura

Notizie

Sandworm sta modificando i suoi attacchi alle infrastrutture ucraine

Condividi questo contenuto

Tempo di lettura: 2 minuti. Il gruppo di hacker sponsorizzato dallo Stato russo noto come Sandworm è stato osservato mentre si mascherava da fornitore di telecomunicazioni per colpire le entità ucraine con malware.

E’ un attore di minacce sostenuto dallo Stato e attribuito dal governo statunitense come parte del servizio di intelligence militare russo GRU.

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 2 minuti.

Il gruppo di hacker APT è ritenuto responsabile di numerosi attacchi quest’anno, tra cui un attacco alle infrastrutture energetiche ucraine e la diffusione di una botnet persistente chiamata “Cyclops Blink”.

Gli attacchi di phishing di Microsoft 365 impersonano agenzie governative statunitensi
A partire dall’agosto 2022, i ricercatori di Recorded Future hanno osservato un aumento dell’infrastruttura di comando e controllo (C2) Sandworm che utilizza domini DNS dinamici mascherati da fornitori di servizi di telecomunicazione ucraini.

Le recenti campagne mirano a distribuire malware di base come Colibri Loader e Warzone RAT (trojan per l’accesso remoto) sui sistemi critici ucraini.

Nuova infrastruttura Sandworm

Sebbene Sandworm abbia rinnovato la sua infrastruttura C2 in modo significativo, lo ha fatto gradualmente, per cui i dati storici dei rapporti CERT-UA hanno permesso a Recorded Future di collegare le operazioni attuali con grande sicurezza all’attore della minaccia.

Un esempio è il dominio “datagroup[.]ddns[.]net”, individuato dal CERT-UA nel giugno 2022, mascherato da portale online di Datagroup, un vettore di telecomunicazioni ucraino.

Un altro fornitore di servizi di telecomunicazione ucraino che ha subito lo spoofing è Kyivstar, per il quale Sandworm utilizza le facciate “kyiv-star[.]ddns[.]net” e “kievstar[.]online”.

Il caso più recente è quello di “ett[.]ddns[.]net” e “ett[.]hopto[.]org”, molto probabilmente un tentativo di imitare la piattaforma online di EuroTransTelecom LLC, un altro operatore di telecomunicazioni ucraino.

Molti di questi domini si risolvono in nuovi indirizzi IP, ma in alcuni casi vi sono sovrapposizioni con campagne Sandworm precedenti, risalenti al maggio 2022.

Catena di infezione

L’attacco inizia attirando le vittime a visitare i domini, in genere tramite e-mail inviate da questi domini, per far credere che il mittente sia un fornitore di telecomunicazioni ucraino.

La lingua utilizzata in questi siti è l’ucraino e gli argomenti presentati riguardano operazioni militari, avvisi amministrativi, rapporti, ecc.

La pagina web più comune vista da Recorded Future è quella contenente il testo “ОДЕСЬКА ОБЛАСНА ВІЙСЬКОВА АДМІНІСТРАЦІЯ”, che si traduce in “Amministrazione militare regionale di Odesa”.

L’HTML della pagina web contiene un file ISO codificato in base64 che viene scaricato automaticamente quando il sito web viene visitato utilizzando la tecnica del contrabbando HTML.

HTML dannoso contenente ISO offuscato

In particolare, il contrabbando di HTML è utilizzato da diversi gruppi di hacker sponsorizzati dallo Stato russo, un esempio recente è APT29.

Il payload contenuto nel file immagine è Warzone RAT, un malware creato nel 2018 e che ha raggiunto il picco di popolarità nel 2019. Sandworm lo utilizza per sostituire il DarkCrystal RAT distribuito nei mesi precedenti.

È possibile che gli hacker russi vogliano rendere più difficile il tracciamento e l’attribuzione per gli analisti di sicurezza, utilizzando un malware ampiamente disponibile e sperando che le loro tracce si “perdano nel rumore”.

Il malware WarZone RAT sarà anche vecchio, ma offre ancora potenti funzionalità come l’aggiramento di UAC, il desktop remoto nascosto, il furto di cookie e password, il keylogger live, le operazioni sui file, il reverse proxy, la shell remota (CMD) e la gestione dei processi.

Commenti da Facebook
Prosegui la lettura

Notizie

Europol, accordo con gli Emirati Arabi Uniti: non è più l’isola felice dei boss

Condividi questo contenuto

Tempo di lettura: 2 minuti. Le autorità internazionali stanno collaborando per individuare i capi delle bande, come i boss del cartello Kinahan, che hanno sede negli UAE

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 2 minuti.

Il nuovo accordo consente alle autorità dell’UE di accedere a informazioni cruciali che potrebbero aiutarle a individuare i criminali della malavita con base nello Stato del Golfo, come Daniel Kinahan e suo padre Christy Snr.

In base all’accordo “A Liaison Officer Agreement”, gli agenti di polizia degli Emirati Arabi Uniti avranno ora una base permanente presso la sede di Europol nei Paesi Bassi.

“Gli Emirati Arabi Uniti sono un partner fondamentale per la sicurezza nella lotta contro le minacce criminali più pressanti di oggi”, ha dichiarato il direttore esecutivo di Europol Catherine de Bolle. “Accolgo con favore questo accordo che segnerà un nuovo livello di cooperazione nella polizia internazionale, collegando le forze dell’ordine emiratine con le loro controparti in tutti gli Stati membri dell’Europa e nei Paesi partner. Così facendo, stiamo inviando insieme un chiaro segnale ai criminali”.

L’approfondimento dei legami tra gli Emirati Arabi Uniti e gli Stati membri europei fa parte di una stretta sulle bande criminali come i Kinahan, già colpiti da importanti sanzioni e sequestri di beni da parte degli Stati Uniti. A maggio, il cartello è stato indicato come uno dei principali obiettivi delle leggi dell’UE in materia di criminalità che mirano ad eliminare “organizzazioni criminali grandi e pericolose”.

“È molto difficile condannare queste persone specifiche”, ha dichiarato all’epoca Ylva Johansson, commissario europeo per gli Affari interni. “Ma ora (possiamo) renderlo possibile in casi come il cartello Kinahan, dove abbiamo un cartello enorme, ma i capi (non) siamo stati in grado di perseguire davvero”.

“Agiscono a Dubai, in Spagna, in Irlanda e in molti altri Paesi e sono coinvolti nel traffico di droga, armi da fuoco, traffici e omicidi”. L’accordo di oggi tra Europol e le autorità degli Emirati Arabi Uniti è una pietra miliare nell’applicazione della polizia internazionale che avvicinerà le forze di polizia

La Gardaí ha già ampliato la propria rete negli Emirati Arabi Uniti con un ufficiale di collegamento di alto livello basato nel Paese da luglio. Quest’ultima mossa aggiungerà pressione al già assediato Kinahan Organised Crime Group (KOCG), dopo che i suoi membri principali sono stati sanzionati dal governo statunitense. Ad aprile, le forze dell’ordine statunitensi hanno annunciato importanti sanzioni contro Christy Kinahan, i suoi figli Daniel e Christopher Jnr e altre persone collegate ai Kinahan.

Le autorità statunitensi hanno anche offerto una ricompensa di 5 milioni di dollari per informazioni che portino a condanne. Recentemente abbiamo anche rivelato che, dopo il congelamento dei loro beni a Dubai, i leader del KOCG starebbero cercando disperatamente di spostare i loro beni fuori dallo Stato del Golfo. I funzionari degli Emirati Arabi Uniti hanno recentemente congelato tutti i beni appartenenti ai membri chiave del cartello di Kinahan a seguito di un’ondata di pubblicità negativa dopo le sanzioni del governo statunitense.

Commenti da Facebook
Prosegui la lettura

Facebook

CYBERWARFARE

Notizie17 ore fa

Sandworm sta modificando i suoi attacchi alle infrastrutture ucraine

Tempo di lettura: 2 minuti. Il gruppo di hacker sponsorizzato dallo Stato russo noto come Sandworm è stato osservato mentre...

Notizie2 giorni fa

Gli attacchi informatici dell’Iran contro Israele sono aumentati, dice l’esercito

Tempo di lettura: < 1 minuto. La radio ha citato ufficiali militari secondo cui gli attacchi sono aumentati del "70%".

Multilingua5 giorni fa

Anonymous viola i siti web dello Stato iraniano dopo la morte di Mahsa Amini

Tempo di lettura: 2 minuti. I due principali siti web del governo iraniano e alcuni siti dei media sono stati...

Notizie1 settimana fa

Russia guerra cibernetica coinvolge anche i i satelliti

Tempo di lettura: 2 minuti. Il Committee of Concerned Scientists ha lavorato per sensibilizzare l'opinione pubblica sulla situazione degli scienziati....

Notizie1 settimana fa

Documenti NATO rubati all’insaputa del Portogallo: messi in vendita nel Dark Web

Tempo di lettura: 4 minuti. I fascicoli top secret sono stati sottratti dall'Agenzia di Stato Maggiore delle Forze Armate del...

Notizie1 settimana fa

Taiwan vigila mentre la Cina scatena la sua guerra informatica

Tempo di lettura: 2 minuti. Nel tentativo di resistere alle aggressioni cinesi, Taiwan ha aumentato le spese per la difesa...

Notizie2 settimane fa

Hacker iraniani colpiscono obiettivi nella sicurezza nucleare e nella ricerca genomica

Tempo di lettura: 3 minuti. La società di sicurezza aziendale Proofpoint ha attribuito gli attacchi mirati a un attore di...

Notizie2 settimane fa

La Cina accusa l’unità TAO della NSA di aver violato la sua università di ricerca militare

Tempo di lettura: 2 minuti. La Cina ha accusato la National Security Agency (NSA) degli Stati Uniti di aver condotto...

Notizie2 settimane fa

Tempo di lettura: 2 minuti. Diversi gruppi di hacker iraniani hanno partecipato a un recente attacco informatico contro il governo...

Notizie2 settimane fa

Microsoft mette in guardia dagli attacchi ransomware degli APT iraniani

Tempo di lettura: 2 minuti. La divisione di intelligence sulle minacce di Microsoft ha valutato mercoledì che un sottogruppo dell'attore...

Truffe recenti

Truffe online12 ore fa

Truffe della rete Theta e phishing di MetaMask

Tempo di lettura: 3 minuti. Questa settimana abbiamo trovato altre ingannevoli truffe di criptovalute a cui dovete prestare attenzione.

Truffe online2 settimane fa

Truffa su Kadena per 50.000 euro: donna vittima di relazione sentimentale

Tempo di lettura: 4 minuti. Dopo il caso dell'uomo raggiunto su Tinder, ecco un nuovo grave schema criminale che ha...

Truffe online2 settimane fa

4 messaggi e SMS WhatsApp “pericolosi” inviati per truffa

Tempo di lettura: 4 minuti. Vi spieghiamo alcune tipologia di attacco più frequenti sul programma di messaggistica

Notizie3 settimane fa

15 truffatori di bancomat arrestati a Gangtok

Tempo di lettura: 2 minuti. 11 provengono da Kanpur

Notizie1 mese fa

Truffatori telefonici causano danni per oltre 320.000 euro a Berlino

Tempo di lettura: 2 minuti. Migliaia di persone sono già cadute nel tranello di truffatori telefonici che si fingono dipendenti...

Notizie1 mese fa

Ecco come si può acquistare una identità nel dark web e fare le truffe. Lo studio

Tempo di lettura: 2 minuti. Sappiamo tutti che le informazioni rubate vengono scambiate sul dark web e una nuova ricerca...

scam scam
Notizie2 mesi fa

Spagna e Romania: sventata banda di truffatori online

Tempo di lettura: 2 minuti. Condividi questo contenutoLe autorità spagnole, insieme alla polizia rumena ed Europol, hanno chiuso lunedì un’operazione...

Truffe online2 mesi fa

Il phishing sbarca anche su Twitter e Discord

Tempo di lettura: 3 minuti. Anche i "social minori" sono attenzionati dai criminali informatici

Inchieste3 mesi fa

Tinder e la doppia truffa: criptovalute e assistenza legale che non c’è

Tempo di lettura: 6 minuti. Una donna conosciuta su Tinder gli consiglia di investire in criptovalute. Viene truffato e si...

Truffe online3 mesi fa

Truffe WhatsApp, quali sono e come evitarle

Tempo di lettura: 4 minuti. Ecco le otto truffe più comuni su WhatsApp, secondo ESET

Tendenza