Notizie
Daxin: il malware utilizzato dalla Cina che ci spia dal 2009

Broadcom Software scopre una campagna di minacce avanzate persistenti (APT) contro governi selezionati e altri obiettivi di infrastrutture critiche in una pubblicazione intitolata Daxin: Stealthy Backdoor Designed for Attacks Against Hardened Networks. Il team di Symantec Threat Hunter, parte di Broadcom Software, ha lavorato con il CISA per impegnarsi con più governi presi di mira dal malware Daxin e ha assistito nel rilevamento e nella bonifica.
Il malware Daxin è un backdoor rootkit altamente sofisticato con una complessa e furtiva funzionalità di comando e controllo (C2) che ha permesso agli attori remoti di comunicare con dispositivi protetti non collegati direttamente a Internet. Daxin sembra essere ottimizzato per l’uso contro obiettivi hardened, consentendo agli attori di scavare in profondità nelle reti mirate ed esfiltrare i dati senza destare sospetti.
CISA esorta le organizzazioni a rivedere Daxin: Stealthy Backdoor Designed for Attacks Against Hardened Networks per ulteriori informazioni e per una lista di indicatori di compromissione che possono aiutare nel rilevamento di questa attività.
Daxin è un malware attribuito alla Cina, più tecnologicamente avanzato, furtivo e duraturo di qualsiasi altro visto prima dal paese.
La Cina si unisce a nazioni come la Russia nell’avere sforzi separati per operazioni smash-and-grab più rumorose e operazioni stealth appena percettibili. Con la Cina, si apre una classe completamente nuova di vittime: quelle che possono reagire a un attacco in un modo che potrebbe compromettere le missioni in corso.
“Questo è un classico malware guidato dallo spionaggio”
Il malware rimane furtivo, non aprendo nuovi servizi di rete o comunicando in qualsiasi modo che potrebbe sollevare bandiere rosse. Invece, dirotta i legittimi servizi TCP/IP, ascoltando sulla porta 80 per i modelli di traffico che può interpretare come un comando.
Daxin opera come un driver del kernel di Windows. È progettato e “ottimizzato“, dice il rapporto, per l’uso di un singolo comando esterno per saltare da un sistema infetto all’altro su una singola rete con diverse misure di sicurezza messe in atto. Mentre non è insolito utilizzare più sistemi infetti per fare da ponte tra i sistemi, di solito ci vogliono istruzioni individuali da nodo a nodo.
Daxin sembra essere stato in uso continuo fin dal suo sviluppo, con il campione più recente raccolto da Symantec nel novembre 2021. C’è una sovrapposizione di codice con il malware Exforel (a.k.a. Zala), che aveva caratteristiche simili ma meno sicurezza ossessiva e Symantec ora presume provenisse dallo stesso team di sviluppo e che quel team fosse attivo dal 2009.
Al di là della sovrapposizione del codice, tra cui una libreria vista in uso solo in precedenza dall’attore Exforel nel 2019 e 2020, il malware Daxin è stato visto a fianco di un attacco della Owlproxy collegata alla Cina. Nel novembre 2019, quando Daxin non è riuscito a installarsi, gli attaccanti sono passati a Owlproxy in un attacco a una società tecnologica. Il maggio successivo, Daxin e Owlproxy sono stati installati sullo stesso sistema di un’altra azienda tecnologica.
Il blog di Symantec include indicatori di compromissione, nomi di file associati e altro malware visto durante gli attacchi di Daxin.
Symantec ha collaborato con la Cybersecurity and Infrastructure Security Agency attraverso il partenariato pubblico/privato Joint Cyber Defence Collaborative per stabilire collegamenti con i governi stranieri su quali potenziali vittime Symantec ha rilevato.
Notizie
Google Pixel 7a: la custodia in edizione limitata ispirata a Material You merita di continuare a vivere
Tempo di lettura: < 1 minuto. Con il lancio del Pixel 7a, Google ha rilasciato una custodia in edizione limitata per il nuovo telefono, che porta un tocco di Material You ed era gratuita con i preordini.


Con il lancio del Pixel 7a all’inizio di questo mese, Google ha anche rilasciato una custodia in edizione limitata per il nuovo telefono che aveva un tocco di Material You ed era gratuita con i preordini. Dopo averla usata per un po’, sono giunto alla conclusione che è un peccato che questa cosa non continui a vivere per altri telefoni.
La custodia in edizione limitata del Pixel 7a
La custodia in edizione limitata del Pixel 7a è stata prodotta da Case-Mate, un partner Made for Google che vende custodie, spesso trasparenti, per tutti i telefoni Google Pixel. La custodia è costruita sulla base della Case-Mate Tough Clear Case che è offerta per il resto dei dispositivi Pixel. È aderente, ha una certa trama sugli angoli per migliorare la protezione dalle cadute, e ha un buon bordo intorno al fronte per proteggere lo schermo dalle cadute. È una buona custodia.
Il design ispirato a Material You
Ma ciò che la rende speciale è il modello ispirato a Material You sul retro. Le forme caratteristiche del linguaggio di design Material You di Android 12 e 13 compongono il retro leggermente texturizzato, tutto con un meraviglioso piccolo arancione che sfuma in una sfumatura blu in tutto. C’è anche uno spazio per evidenziare il logo Google sul retro del telefono. È uno stile delizioso, ma che è già morto.
Notizie
Scoperta grave vulnerabilità di iTunes su Windows: AGGIORNATE SUBITO
Tempo di lettura: < 1 minuto. Una grave vulnerabilità di sicurezza di iTunes su Windows è stata rivelata, che colpisce tutte le versioni precedenti all’ultimo aggiornamento, rilasciato una settimana fa

Il Synopsys Cybersecurity Research Centre (CyRC) ha scoperto una vulnerabilità di escalation di privilegi locali in Apple iTunes su Microsoft Windows, che permette agli hacker con accesso limitato a un sistema di aumentare i loro privilegi utente ai massimi livelli di permessi di accesso. Tutte le versioni di Apple iTunes precedenti alla 12.12.9 sono colpite da questo difetto, e la vulnerabilità ha ricevuto un punteggio ‘alto’ CVSS (7.8) – CVSS, o Common Vulnerability Scoring System, classifica la gravità di una vulnerabilità su una scala da 0 a 10.
La scoperta della vulnerabilità
Synopsys ha scoperto per la prima volta la vulnerabilità di sicurezza a settembre dell’anno scorso. Apple ha confermato i risultati a novembre e ha iniziato a lavorare su come risolverla. Questo non è stato un compito facile, dato che l’azienda ha risolto il problema solo nella versione 12.12.9 di iTunes, rilasciata il 23 maggio.
Come funziona la vulnerabilità
L’applicazione crea una cartella privilegiata con un debole controllo degli accessi. È possibile per un utente normale reindirizzare la creazione di questa cartella alla directory di sistema di Windows. Questo può poi essere sfruttato per ottenere un shell di sistema con privilegi superiori. L’applicazione iTunes crea una cartella, SC Info, nella directory C:\ProgramData\Apple Computer\iTunes come utente di sistema e dà pieno controllo su questa directory a tutti gli utenti. Dopo l’installazione, il primo utente che esegue l’applicazione iTunes può eliminare la cartella SC Info, creare un collegamento alla cartella di sistema di Windows e ricreare la cartella forzando una riparazione MSI, che può essere successivamente utilizzata per ottenere l’accesso al sistema Windows.
Notizie
Kimsuky imita figure chiave per condurre attacchi informatici mirati
Tempo di lettura: 2 minuti. Le agenzie di intelligence statunitensi e sudcoreane mettono in guardia da nuove tattiche di ingegneria sociale utilizzate dal gruppo nordcoreano Kimsuky per attaccare settori come think tank, accademia e media.

Un nuovo allarme evidenzia l’uso di tattiche di ingegneria sociale da parte di attori informatici nordcoreani per colpire settori quali i think tank, il mondo accademico e i media. Questi “sforzi prolungati di raccolta di informazioni” sono attribuiti a un gruppo sponsorizzato dallo stato noto come Kimsuky, anche conosciuto con i nomi APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (precedentemente Thallium), Nickel Kimball, e Velvet Chollima.
Gli attacchi di Kimsuky
“La Corea del Nord si affida pesantemente alle informazioni ottenute da queste campagne di spear-phishing,” affermano le agenzie. “Compromissioni di successo degli individui presi di mira permettono agli attori di Kimsuky di creare email di spear-phishing più credibili ed efficaci che possono essere utilizzate contro obiettivi sensibili di alto valore.”
Kimsuky è un elemento ausiliario all’interno del Reconnaissance General Bureau (RGB) della Corea del Nord ed è noto per raccogliere informazioni tattiche su eventi geopolitici e negoziati che influenzano gli interessi del regime. È attivo dal 2012.
La strategia di Kimsuky
“Questi attori informatici stanno impersonando strategicamente fonti legittime per raccogliere informazioni su eventi geopolitici, strategie di politica estera e sviluppi di sicurezza di interesse per la DPRK nella penisola coreana,” ha affermato Rob Joyce, direttore della Cybersecurity della NSA.
Tra le vittime si annoverano giornalisti, studiosi accademici, ricercatori di think tank e funzionari governativi, con l’inganno principalmente pensato per individuare persone che lavorano su questioni legate alla Corea del Nord, come esperti di politica estera e politica.
Le tecniche utilizzate
Kimsuky è stato osservato mentre sfruttava informazioni di fonte aperta per identificare potenziali obiettivi di interesse e successivamente perfezionava le proprie identità online per apparire più legittimo, creando indirizzi email che somigliano a quelli di persone reali che cercano di impersonare.
L’adozione di identità false è una tattica abbracciata da altri gruppi sponsorizzati dallo stato e viene vista come un trucco per guadagnare fiducia e costruire un rapporto con le vittime. Il nemico è noto anche per compromettere gli account e-mail delle persone impersonate per creare messaggi e-mail convincenti.
La risposta delle autorità
Questa evoluzione segue poche settimane dopo che la società di cybersecurity SentinelOne ha dettagliato l’uso da parte di Kimsuky di strumenti personalizzati come ReconShark (una versione aggiornata di BabyShark) e RandomQuery per il riconoscimento e l’esfiltrazione delle informazioni.
All’inizio di marzo, le autorità governative tedesche e sudcoreane hanno suonato l’allarme sugli attacchi informatici lanciati da Kimsuky, che prevedono l’uso di estensioni del browser fraudolente per rubare le caselle di posta di Gmail degli utenti.
L’allarme segue anche le sanzioni imposte dal Dipartimento del Tesoro degli Stati Uniti a quattro entità e una persona che sono coinvolte in attività informatiche dannose e schemi di raccolta fondi che mirano a sostenere le priorità strategiche della Corea del Nord.
-
Editoriali3 settimane fa
Il tempo è galantuomo: il Garante ha bloccato anche Google secondo i media
-
L'Altra Bolla3 settimane fa
Elon Musk lascia Twitter nelle mani di una donna e del WEF
-
L'Altra Bolla3 settimane fa
L’annuncio dello show di Tucker Carlson su Twitter diventa il tweet della settimana
-
Inchieste2 settimane fa
Vinted: oltre le truffe c’è feticismo. Attenzione ai minori
-
Inchieste2 settimane fa
Vinted: beyond scams is fetishism. Beware of minors
-
Editoriali1 settimana fa
Facebook multata per 1,3 miliardi. L’Italia esce sconfitta … ancora una volta
-
Inchieste2 settimane fa
Vinted: más allá de las estafas está el fetichismo. Cuidado con los menores
-
Editoriali1 settimana fa
Robot e Diritti: il Confucianesimo Come Alternativa?”