Notizie

OilRig, APT Iraniano prende di mira organizzazioni israeliane

Tempo di lettura: 2 minuti. L’attore statale iraniano OilRig lancia campagne contro organizzazioni israeliane, utilizzando backdoor avanzate per raccogliere informazioni sensibili.

Sostieni l'informazione di Matrice Digitale con un click. Seguici su Google News

Pubblicato

2 mesi fa

22/09/2023

Redazione

Tempo di lettura: 2 minuti.

Le organizzazioni israeliane sono state prese di mira in due diverse campagne orchestrate dall’attore statale iraniano noto come OilRig nel 2021 e 2022.

Dettagli delle campagne

Le campagne, denominate Outer Space e Juicy Mix, hanno comportato l’uso di due backdoor di primo stadio precedentemente documentate chiamate Solar e Mango. Questi malware sono stati utilizzati per raccogliere informazioni sensibili dai principali browser e dal Windows Credential Manager. “Entrambe le backdoor sono state distribuite da dropper VBS, presumibilmente diffuse tramite email di spear-phishing”, ha dichiarato la ricercatrice di sicurezza di ESET, Zuzana Hromcová.

Storia di OilRig

OilRig, noto anche come APT34, Cobalt Gypsy, Hazel Sandstorm e Helix Kitten, è il nome assegnato a un gruppo di intrusioni affiliato al Ministero dell’Intelligence e della Sicurezza (MOIS) dell’Iran. Attivo dal 2014, l’attore minaccioso ha utilizzato una vasta gamma di strumenti per compiere furti di informazioni. A febbraio, Trend Micro ha scoperto l’uso di OilRig di una semplice backdoor per rubare le credenziali degli utenti.

Ulteriori dettagli sulle campagne

Nella campagna Outer Space del 2021, OilRig ha compromesso un sito di risorse umane israeliano e lo ha successivamente utilizzato come server di comando e controllo (C2) per Solar, una backdoor C#/.NET di base. Solar funge anche da veicolo per distribuire un downloader chiamato SampleCheck5000 (o SC5k), che utilizza l’API Office Exchange Web Services (EWS) per scaricare ulteriori strumenti per l’esecuzione.

Nella campagna Juicy Mix del 2022, è stata utilizzata Mango, una versione migliorata di Solar con capacità e metodi di offuscamento aggiuntivi. Per scopi di C2, l’attore minaccioso ha compromesso un legittimo sito web israeliano di offerte di lavoro.

“OilRig continua a innovare e a creare nuovi impianti con capacità simili a backdoor, trovando nuovi modi per eseguire comandi su sistemi remoti”, ha affermato Hromcová. “Il gruppo distribuisce un set di strumenti post-compromissione personalizzati utilizzati per raccogliere credenziali, cookie e cronologia di navigazione dai principali browser e dal Windows Credential Manager.”

Prossima

GitHub lancia ufficialmente il servizio Passkey

Da non perdere

Divulgazioni incomplete da parte di Apple e Google fanno danni ai cacciatori di zero-day

Prosegui la lettura

Notizie

Google Chrome risolto il sesto Zero-Day del 2023

Pubblicato

30 minuti fa

29/11/2023

Redazione

Tempo di lettura: < 1 minuto.

Google ha rilasciato un aggiornamento di sicurezza d’emergenza per Chrome, correggendo la sesta vulnerabilità zero-day sfruttata quest’anno. L’aggiornamento è stato rilasciato per contrastare gli attacchi in corso che sfruttano questa falla di sicurezza.

Dettagli sulla Vulnerabilità e l’Aggiornamento

La vulnerabilità, identificata come CVE-2023-6345, è stata riconosciuta in un nuovo avviso di sicurezza pubblicato da Google. “Google è a conoscenza dell’esistenza di un exploit per CVE-2023-6345 nel mondo reale,” ha dichiarato l’azienda. La falla è stata corretta nel canale Desktop Stabile, con versioni aggiornate distribuite a livello globale agli utenti Windows (119.0.6045.199/.200) e agli utenti Mac e Linux (119.0.6045.199).

Impatto e rischi della Vulnerabilità

Questa vulnerabilità di alta gravità deriva da un’interruzione di intero nella libreria grafica 2D open-source Skia, con rischi che vanno dal crash all’esecuzione di codice arbitrario. Skia è utilizzata anche come motore grafico da altri prodotti come ChromeOS, Android e Flutter. La falla è stata segnalata il 24 novembre da Benoît Sevens e Clément Lecigne, ricercatori di sicurezza del Google Threat Analysis Group (TAG).

Precauzioni e aggiornamenti

Sebbene l’avviso indichi che l’aggiornamento di sicurezza potrebbe richiedere giorni o settimane per raggiungere l’intera base di utenti, era disponibile immediatamente quando Matrice Digitale ha verificato gli aggiornamenti. Gli utenti che non vogliono aggiornare manualmente possono affidarsi al browser web per controllare automaticamente i nuovi aggiornamenti e installarli dopo il prossimo avvio.

Conclusioni

Google continua a essere proattiva nel rilevare e correggere vulnerabilità zero-day, spesso sfruttate da gruppi di hacking sponsorizzati da stati in campagne di spyware contro individui di alto profilo come giornalisti e politici dell’opposizione attraverso Chrome. Questo aggiornamento sottolinea l’importanza di mantenere i software aggiornati per proteggersi da minacce emergenti.

Prosegui la lettura

Notizie

Europol arresta criminali specializzati in ransomware

Pubblicato

17 ore fa

28/11/2023

Redazione

Tempo di lettura: 2 minuti.

Europol, in collaborazione con le forze dell’ordine internazionali, ha arrestato cinque individui accusati di essere coinvolti in una serie di attacchi ransomware che hanno colpito oltre 1.800 vittime in tutto il mondo. Questi arresti rappresentano un importante passo avanti nella lotta contro il cybercrime.

Operazione internazionale e arresti

Gli arresti sono avvenuti a seguito di una serie di perquisizioni in 30 proprietà in Ucraina, con il capobanda di 32 anni e quattro dei suoi complici più attivi catturati. Più di 20 investigatori da Norvegia, Francia, Germania e Stati Uniti hanno assistito la Polizia Nazionale Ucraina nelle indagini a Kiev, mentre Europol ha allestito un centro di comando virtuale nei Paesi Bassi per elaborare i dati sequestrati durante le perquisizioni.

Sequestri e implicazioni

Durante le operazioni, le autorità hanno sequestrato attrezzature informatiche, automobili, carte bancarie e SIM, oltre a decine di supporti elettronici. Sono stati inoltre confiscati beni in criptovaluta, per un valore di quasi quattro milioni di hryvnias (circa 110.000 dollari), e altre presunte prove di attività illegali.

Ruoli e metodi dei criminali

Gli arrestati sono accusati di aver criptato oltre 250 server di grandi aziende, estorcendo “diversi centinaia di milioni di euro” alle loro vittime. I criminali avevano ruoli diversi all’interno della rete: alcuni utilizzavano attacchi brute-force e credenziali rubate per infiltrarsi nelle reti delle vittime, altri impiegavano malware come Trickbot per rimanere non rilevati e ottenere ulteriori accessi, mentre altri erano sospettati di gestire il riciclaggio dei pagamenti in criptovaluta effettuati dalle vittime per recuperare i loro file rubati.

Impatto e risultati dell’indagine

Europol ha accusato i criminali di aver “seminato il caos” nelle aziende colpite. Tra le varianti di ransomware utilizzati dal gruppo c’erano LockerGoga, MegaCortex, Hive e Dharma. L’indagine di Europol ha anche permesso alle autorità svizzere, in collaborazione con Bitdefender e il progetto No More Ransom dell’Unione Europea, di sviluppare strumenti di decrittazione per i ransomware LockerGoga e MegaCortex, consentendo alle vittime di recuperare i loro file senza dover pagare un riscatto.

Prosegui la lettura

Notizie

Downloader App sospesa da Google Play: caso di DMCA insolito

Tempo di lettura: 2 minuti. Downloader app sospesa da Google Play per una richiesta DMCA vaga, sollevando questioni sulla gestione dei diritti d’autore e sicurezza delle app.

Sostieni l'informazione di Matrice Digitale con un click. Seguici su Google News

Pubblicato

17 ore fa

28/11/2023

Redazione

Tempo di lettura: 2 minuti.

Downloader app, un’applicazione Android TV che combina un browser web con un gestore di file, è stata sospesa da Google Play a causa di una richiesta di rimozione DMCA apparentemente vaga. La ragione della sospensione? La capacità dell’app di caricare il sito web della Warner Bros.

Sospensione e Contestazione DMCA

La sospensione di Downloader, sviluppata da Elias Saba, segue una precedente sospensione avvenuta a maggio, quando diverse compagnie televisive israeliane si erano lamentate che l’app potesse essere utilizzata per accedere a un sito web pirata. Google aveva poi revocato quella sospensione dopo tre settimane. Tuttavia, questa volta la sospensione è stata motivata dalla capacità dell’app di accedere al sito web della Warner Bros., come indicato in una notifica DMCA fornita da MarkScan, una società di protezione degli asset digitali che rappresenta Warner Bros. Discovery Inc.

Funzionalità dell’App e Questioni Legali

Downloader permette agli utenti di navigare sul web e scaricare file da un sito web inserendo l’URL desiderato. Secondo Saba, l’app non contiene contenuti che violano i diritti d’autore, né indirizza gli utenti verso contenuti illeciti. Tuttavia, la notifica di Google afferma che l’app “contiene contenuti che presumibilmente violano il diritto d’autore di altri e violano le leggi sul diritto d’autore applicabili nel paese/giurisdizione pertinenti”.

Reazioni e Implicazioni

Saba ha espresso indignazione per la sospensione, sottolineando che Google avrebbe dovuto almeno verificare che la richiesta di rimozione fosse plausibile. La mancanza di dettagli specifici nella notifica DMCA solleva preoccupazioni sulla sicurezza delle app nel Google Play Store, poiché una richiesta di rimozione DMCA priva di informazioni dettagliate potrebbe teoricamente portare alla sospensione di qualsiasi app.

Considerazioni finali

La sospensione di Downloader mette in luce le sfide e le complessità legate alla gestione delle richieste DMCA, specialmente quando queste sono vaghe o mancano di dettagli specifici. Questo caso solleva questioni importanti sulla protezione dei diritti d’autore e sull’equilibrio tra la sicurezza delle app e la tutela dei diritti degli sviluppatori.

Prosegui la lettura