Connect with us

Notizie

Toddy Cat: l’APT che ha seminato il panico del mondo con China Chopper

Tempo di lettura: 2 minuti. Scoperto da Eset e Kaspersky, l’APT ha sfruttato la falla di Proxy Logon Exchange

Pubblicato

in data

Tempo di lettura: 2 minuti.

Un attore di minacce persistenti avanzate (APT) con il nome in codice di ToddyCat è stato collegato a una serie di attacchi rivolti a enti governativi e militari in Europa e Asia almeno dal dicembre 2020.

Il collettivo avversario, relativamente nuovo, avrebbe iniziato le sue operazioni prendendo di mira i server Microsoft Exchange di Taiwan e del Vietnam, utilizzando un exploit sconosciuto per distribuire la shell web China Chopper e attivare una catena di infezione a più stadi.

Tra gli altri Paesi di spicco individuati figurano Afghanistan, India, Indonesia, Iran, Kirghizistan, Malesia, Pakistan, Russia, Slovacchia, Tailandia, Regno Unito e Uzbekistan, con una rapida escalation di attacchi segnata dai miglioramenti apportati al set di strumenti nel corso delle campagne successive.

La prima ondata di attacchi ha preso di mira esclusivamente i server Microsoft Exchange, che sono stati compromessi con Samurai, una sofisticata backdoor passiva che di solito funziona sulle porte 80 e 443“, ha dichiarato la società russa di cybersicurezza Kaspersky.

Il malware consente l’esecuzione di codice C# arbitrario e viene utilizzato con più moduli che consentono all’aggressore di amministrare il sistema remoto e di muoversi lateralmente all’interno della rete bersaglio“.

ToddyCat, rintracciato anche sotto il moniker Websiic dalla società di cybersicurezza slovacca ESET, è venuto alla luce per la prima volta nel marzo 2021 per aver sfruttato le falle di ProxyLogon Exchange per colpire server di posta elettronica appartenenti ad aziende private in Asia e a un ente governativo in Europa.

La sequenza di attacco successiva alla distribuzione della shell web China Chopper porta all’esecuzione di un dropper che, a sua volta, viene utilizzato per apportare modifiche al registro di Windows per lanciare un loader di secondo livello che, da parte sua, è progettato per attivare un loader .NET di terzo livello, responsabile dell’esecuzione di Samurai.

La backdoor, oltre a utilizzare tecniche come l’offuscamento e l’appiattimento del flusso di controllo per renderla resistente al reverse engineering, è modulare in quanto i suoi componenti rendono possibile l’esecuzione di comandi arbitrari e l’esfiltrazione di file di interesse dall’host compromesso.

In alcuni incidenti specifici è stato osservato anche un sofisticato strumento chiamato Ninja, generato dall’impianto Samurai e che probabilmente funziona come strumento collaborativo, consentendo a più operatori di lavorare contemporaneamente sulla stessa macchina.

Nonostante le sue caratteristiche simili a quelle di altri toolkit post-exploitation come Cobalt Strike, il malware consente all’aggressore di “controllare sistemi remoti, evitare il rilevamento e penetrare in profondità in una rete mirata“.

Nonostante le vittime di ToddyCat siano legate a Paesi e settori tradizionalmente presi di mira da gruppi di lingua cinese, non ci sono prove che colleghino il modus operandi a un attore noto della minaccia.

ToddyCat è un gruppo APT sofisticato che utilizza molteplici tecniche per evitare il rilevamento e quindi mantenere un basso profilo“, ha dichiarato Giampaolo Dedola, ricercatore di sicurezza del Kaspersky Global Research and Analysis Team (GReAT).

Le organizzazioni colpite, sia governative che militari, dimostrano che questo gruppo è focalizzato su obiettivi di altissimo profilo ed è probabilmente utilizzato per raggiungere obiettivi critici, probabilmente legati a interessi geopolitici.”

Notizie

Miner di criptovalute arrestato per aver evaso pagamenti di Server Cloud per 3,5 Milioni di Dollari

Tempo di lettura: 2 minuti. Un miner di criptovalute è stato arrestato per aver evaso pagamenti per 3,5 milioni di dollari in servizi di server cloud

Pubblicato

in data

Tempo di lettura: 2 minuti.

Charles O. Parks III, noto anche come “CP3O”, è stato arrestato e accusato di aver utilizzato server cloud noleggiati per minare criptovalute, causando un debito di 3,5 milioni di dollari con due fornitori di servizi cloud, senza mai saldare i conti.

Dettagli del caso

Parks ha ideato un sistema ingegnoso creando identità aziendali fittizie, come “MultiMillionaire LLC” e “CP30 LLC”, per aprire numerosi account presso fornitori di servizi cloud, ottenendo così accesso a una potenza computazionale significativa. Anche se il Dipartimento di Giustizia (DOJ) non ha nominato esplicitamente i fornitori coinvolti, le indicazioni geografiche suggeriscono che si tratti di Amazon e Microsoft, situati rispettivamente a Seattle e Redmond, Washington.

Metodologia e abuso

Utilizzando questi account, Parks è riuscito a ottenere l’accesso a server dotati di potenti schede grafiche, essenziali per il mining di criptovalute come Ether (ETH), Litecoin (LTC) e Monero (XMR). Ha lanciato decine di migliaia di queste istanze di server, utilizzando software di mining e strumenti per massimizzare l’efficienza energetica e monitorare l’attività di mining in varie pool.

Riciclaggio e lifestyle

Le criptovalute estratte venivano poi riciclate acquistando token non fungibili (NFT), convertendole e trasferendole su varie piattaforme di scambio di criptovalute, o attraverso pagamenti online e conti bancari tradizionali. I proventi, convertiti in dollari, erano utilizzati da Parks per finanziare uno stile di vita lussuoso, includendo viaggi in prima classe e l’acquisto di articoli di lusso e auto.

Implicazioni legali e prevenzione

Parks è stato arrestato il 13 aprile 2024 nel Nebraska, con una prima udienza programmata il giorno successivo in un tribunale federale di Omaha. L’imputazione include accuse di frode informatica, riciclaggio di denaro e transazioni monetarie illegali, con una pena massima prevista di 30 anni di prigione. Il caso evidenzia anche l’importanza per i fornitori di servizi cloud di adottare misure più rigorose per verificare l’identità degli utenti, stabilire limiti di uso per i nuovi account e migliorare i sistemi di rilevamento delle anomalie per minimizzare le perdite.

Questo caso di cryptojacking sottolinea la necessità di una vigilanza continua e di politiche più severe da parte dei fornitori di servizi cloud per prevenire abusi simili, proteggendo così l’integrità dei loro servizi e dei loro clienti.

Prosegui la lettura

Notizie

USA, arrestata per un’accusa di Sextortion da 1,7 Milioni di Dollari

Tempo di lettura: 2 minuti. Una donna del Delaware è stata arrestata per aver preso di mira giovani ragazzi in uno schema di sextortion che ha fruttato 1,7 milioni

Pubblicato

in data

hacker olandese arrestato su raidforums
Tempo di lettura: 2 minuti.

Una donna del Delaware, Hadja Kone, è stata arrestata per il suo presunto coinvolgimento in un vasto schema internazionale di sextortion che ha mirato a giovani maschi, guadagnando circa 1,7 milioni di dollari tramite estorsioni. Questo caso sottolinea la crescente problematica della sextortion su Internet, che colpisce migliaia di giovani in tutto il mondo.

Dettagli del caso

Hadja Kone, 28 anni, è stata collegata a un’operazione che mirava principalmente a giovani uomini e minori negli Stati Uniti, Canada e Regno Unito. I truffatori si fingevano giovani donne attraenti online, iniziando conversazioni con le vittime e invogliandole a partecipare a sessioni di video chat dal vivo, durante le quali venivano registrate segretamente. Successivamente, le vittime venivano minacciate di diffondere i video a meno che non pagassero somme di denaro, generalmente tramite Cash App o Apple Pay.

Implicazioni Legali e Risposta delle Autorità

Kone e i suoi co-conspiratori sono accusati di cyberstalking, minacce interstatali, riciclaggio di denaro e frode via cavo. Siaka Ouattara, un altro presunto co-conspiratore di 22 anni dalla Costa d’Avorio, è stato arrestato dalle autorità ivoriane a febbraio. Se condannati, entrambi potrebbero affrontare fino a 20 anni di prigione per ciascun capo di imputazione.

Preoccupazioni crescenti e misure di prevenzione

Questo caso rientra in una tendenza allarmante di aumento dei casi di sextortion, specialmente tra i minori. Nel gennaio 2024, il FBI ha lanciato un avvertimento sulla crescente minaccia di sextortion, sottolineando che i giovani maschi di età compresa tra 14 e 17 anni sono particolarmente a rischio, ma qualsiasi bambino può diventare vittima. Piattaforme come Instagram e Snapchat hanno iniziato a implementare nuove protezioni e risorse educative per combattere la sextortion e proteggere i giovani utenti.

Il caso di Hadja Kone evidenzia l’importanza di una maggiore consapevolezza e educazione sulle pratiche di sicurezza online. Le piattaforme social stanno rispondendo con nuove misure, ma è essenziale che i genitori, gli educatori e i giovani stessi siano informati sui segni di avvertimento e sulle strategie di prevenzione della sextortion

Prosegui la lettura

Notizie

LightSpy: APT41 minaccia Utenti iPhone in Asia

Tempo di lettura: 2 minuti. LightSpy, un malware iOS legato alla Cina, minaccia la sicurezza degli utenti iPhone in Sud Asia con sofisticate capacità di spionaggio

Pubblicato

in data

Tempo di lettura: 2 minuti.

Recenti indagini condotte da ricercatori di sicurezza hanno rivelato la rinascita di una pericolosa campagna di cyber spionaggio diretta agli utenti iPhone in Sud Asia. Il malware, denominato LightSpy, è particolarmente sofisticato e sembra essere legato a entità cinesi. Questo aggiornamento rappresenta un’intensificazione significativa delle minacce informatiche che mirano a compromettere dati sensibili attraverso dispositivi mobili.

Dettagli del malware LightSpy

LightSpy è un malware iOS distribuito tramite attacchi di tipo “watering hole” attraverso siti di notizie compromessi. Questa backdoor avanzato consente agli aggressori di raccogliere un’ampia gamma di informazioni personali. Dati come contatti, messaggi SMS, localizzazione precisa e registrazioni audio durante le chiamate VoIP sono solo alcuni degli elementi a rischio.

In aggiunta, le versioni più recenti di LightSpy hanno ampliato le proprie capacità per includere il furto di file e dati da app popolari quali Telegram, QQ, e WeChat, nonché dettagli dal portachiavi di iCloud e dalla cronologia dei browser Safari e Google Chrome. La capacità del malware di eseguire comandi shell ricevuti dal server indica anche la possibilità di prendere il controllo completo dei dispositivi infetti.

Rischi e implicazioni

Il quadro delle minacce delineato da LightSpy pone seri rischi per gli individui e le organizzazioni nella regione mirata. La funzionalità di registrazione audio, l’accesso ai dati delle reti Wi-Fi connesse e la capacità di eseguire azioni tramite le app installate elevano il potenziale di sorveglianza e furto di informazioni sensibili a un livello estremamente alto.

Inoltre, la possibilità che LightSpy sia un’operazione sponsorizzata dallo stato cinese viene rafforzata dall’uso di server che mostrano messaggi di errore in cinese e dalla documentata sovrapposizione tra le infrastrutture di LightSpy e il malware Android DragonEgg, attribuito al gruppo APT41, noto anche come Winnti.

Prevenzione e misure di Sicurezza

In risposta a queste minacce, Apple ha ampliato il suo sistema di allerta per spyware, inviando notificazioni di potenziali attacchi agli utenti in 92 paesi, inclusa l’India. È essenziale che gli utenti mantengano i loro dispositivi aggiornati e monitorino attentamente qualsiasi attività sospetta. La vigilanza e l’adozione di robuste misure di sicurezza informatica sono fondamentali per proteggere le informazioni sensibili da queste minacce emergenti.

Prosegui la lettura

Facebook

CYBERSECURITY

Fortinet: vulnerabilità FortiClient EMS minaccia le aziende media Fortinet: vulnerabilità FortiClient EMS minaccia le aziende media
Cyber Security14 minuti fa

Fortinet: vulnerabilità FortiClient EMS minaccia le aziende media

Tempo di lettura: 2 minuti. Cybercriminali sfruttano CVE-2023-48788 in FortiClient EMS, minacciando aziende con SQL injection.

trasformazione digitale trasformazione digitale
Cyber Security2 giorni fa

Come Nominare il Responsabile per la Transizione Digitale e Costituire l’Ufficio per la Transizione Digitale

Tempo di lettura: 2 minuti. La nomina del RTD può avvenire tramite due modalità principali: Determina del Sindaco o Delibera...

Notizie4 giorni fa

Intensificazione delle operazioni di influenza digitale da parte di Cina e Corea del Nord

Tempo di lettura: 2 minuti. Nuovi report evidenziano l'intensificarsi delle operazioni di influenza digitale da parte di Cina e Corea...

hacker che studia hacker che studia
Cyber Security5 giorni fa

Dove Studiare Sicurezza Informatica in Italia: Guida alle Migliori Opzioni

Tempo di lettura: 2 minuti. Ci sono molte opzioni disponibili per coloro che desiderano studiare sicurezza informatica in Italia. Che...

trasformazione digitale trasformazione digitale
Cyber Security5 giorni fa

Il Ruolo e le Responsabilità del Responsabile per la Transizione Digitale nelle Pubbliche Amministrazioni

Tempo di lettura: 2 minuti. Il Responsabile per la Transizione Digitale svolge un ruolo fondamentale nell'accelerare e guidare la trasformazione...

Router TP-Link Router TP-Link
Cyber Security7 giorni fa

Rivelate nuove vulnerabilità nei Router TP-Link

Tempo di lettura: 2 minuti. Scoperte nuove vulnerabilità in router TP-Link e software IoT, con rischi di reset e accessi...

Notizie1 settimana fa

NIS2: webinar gratuito rivolto alle imprese in balia del provvedimento

Tempo di lettura: 2 minuti. Cos'è la NIS2 e cosa bisogna fare per essere in regola: CoreTech organizza un webinar...

Notizie1 settimana fa

Post sull’Intelligenza Artificiale diffondono malware sui social

Tempo di lettura: 2 minuti. Bitdefender svela strategie di malvertising che usano l'AI per diffondere malware su social media, impersonando...

Sansec scopre una backdoor all'interno di Magento Sansec scopre una backdoor all'interno di Magento
Notizie1 settimana fa

Sansec scopre una backdoor all’interno di Magento: commercianti a rischio

Tempo di lettura: 2 minuti. Scoperta una backdoor persistente in Magento, nascosto nel codice XML. Scopri come proteggere il tuo...

Notizie1 settimana fa

L’aumento del prezzo degli exploit Zero-Day in un panorama di maggiore sicurezza

Tempo di lettura: 2 minuti. Gli exploit zero-day guadagnano valore con Crowdfense che offre fino a 7 milioni di dollari...

Truffe recenti

Shein Shein
Truffe online1 settimana fa

Truffa dei buoni SHEIN da 300 euro, scopri come proteggerti

Tempo di lettura: < 1 minuto. La truffa dei buoni SHEIN da 300 euro sta facendo nuovamente vittime in Italia,...

OSINT1 mese fa

USA interviene per recuperare 2,3 Milioni dai “Pig Butchers” su Binance

Tempo di lettura: 2 minuti. Il Dipartimento di Giustizia degli USA interviene per recuperare 2,3 milioni di dollari in criptovalute...

dimarcoutletfirenze sito truffa dimarcoutletfirenze sito truffa
Inchieste2 mesi fa

Truffa dimarcoutletfirenze.com: merce contraffatta e diversi dalle prenotazioni

Tempo di lettura: 2 minuti. La segnalazione alla redazione di dimarcoutletfirenze.com si è rivelata puntuale perchè dalle analisi svolte è...

sec etf bitcoin sec etf bitcoin
Economia3 mesi fa

No, la SEC non ha approvato ETF del Bitcoin. Ecco perchè

Tempo di lettura: 3 minuti. Il mondo delle criptovalute ha recentemente assistito a un evento senza precedenti: l’account Twitter ufficiale...

Notizie4 mesi fa

Europol mostra gli schemi di fronde online nel suo rapporto

Tempo di lettura: 2 minuti. Europol’s spotlight report on online fraud evidenzia che i sistemi di frode online rappresentano una grave...

Notizie5 mesi fa

Polizia Postale: attenzione alla truffa dei biglietti ferroviari falsi

Tempo di lettura: < 1 minuto. Gli investigatori della Polizia Postale hanno recentemente individuato una nuova truffa online che prende...

app ledger falsa app ledger falsa
Notizie5 mesi fa

App Falsa di Ledger Ruba Criptovalute

Tempo di lettura: 2 minuti. Un'app Ledger Live falsa nel Microsoft Store ha rubato 768.000 dollari in criptovalute, sollevando dubbi...

keepass pubblicità malevola keepass pubblicità malevola
Notizie6 mesi fa

Google: pubblicità malevole che indirizzano a falso sito di Keepass

Tempo di lettura: 2 minuti. Google ospita una pubblicità malevola che indirizza gli utenti a un falso sito di Keepass,...

Notizie6 mesi fa

Nuova tattica per la truffa dell’aggiornamento del browser

Tempo di lettura: 2 minuti. La truffa dell'aggiornamento del browser si rinnova, con i criminali che ora ospitano file dannosi...

Notizie6 mesi fa

Oltre 17.000 siti WordPress compromessi negli attacchi di Balada Injector

Tempo di lettura: 2 minuti. La campagna di hacking Balada Injector ha compromesso oltre 17.000 siti WordPress sfruttando vulnerabilità nei...

Tech

HMD Boring Phone: l'anti-Smartphone per una vita senza distrazioni HMD Boring Phone: l'anti-Smartphone per una vita senza distrazioni
Tech23 minuti fa

HMD Boring Phone: l’anti-Smartphone per una vita senza distrazioni

Tempo di lettura: 2 minuti. Scopri il Boring Phone di HMD, un anti-smartphone senza internet o app, progettato per chi...

Vivo X100 Ultra Vivo X100 Ultra
Tech32 minuti fa

Vivo X100 Ultra arriva con una fotocamera da 200MP

Tempo di lettura: 2 minuti. Scopri il Vivo X100 Ultra, un capolavoro di tecnologia mobile con una fotocamera periscopica teleobiettivo...

OnePlus Pad 2 OnePlus Pad 2
Tech2 ore fa

OnePlus Pad 2: potenza e innovazione con Snapdragon 8 Gen 3

Tempo di lettura: 2 minuti. Il OnePlus Pad 2 è previsto per debuttare con il nuovo chipset Snapdragon 8 Gen...

Tecno Camon 30 Premier 5G è Ufficiale Tecno Camon 30 Premier 5G è Ufficiale
Tech2 ore fa

Tecno Camon 30 Premier 5G è ufficiale

Tempo di lettura: 2 minuti. Tecno Camon 30 Premier 5G, il nuovo smartphone con un display LTPO OLED da 6.77...

Infinix Note 40 Pro+ OnePlus Nord CE4 Infinix Note 40 Pro+ OnePlus Nord CE4
Tech3 ore fa

Infinix Note 40 Pro+ vs OnePlus Nord CE4: quale scegliere?

Tempo di lettura: 2 minuti. Scopri le differenze tra Infinix Note 40 Pro+ e OnePlus Nord CE4 per determinare quale...

Moto G64 5G vs Realme 12 5G Moto G64 5G vs Realme 12 5G
Tech3 ore fa

Moto G64 5G vs Realme 12 5G: quale scegliere?

Tempo di lettura: 3 minuti. Confronto approfondito tra Moto G64 5G e Realme 12 5G per aiutarti a decidere quale...

Tech3 ore fa

Realme P1 Pro vs Infinix Note 40 Pro: quale scegliere?

Tempo di lettura: 3 minuti. Confronto tra Realme P1 Pro e Infinix Note 40 Pro per determinare quale smartphone offre...

Infinix Note 40 Pro 5G Infinix Note 40 Pro 5G
Tech4 ore fa

Infinix Note 40 Pro 5G Series: passo importante per gli smartphone di fascia media

Tempo di lettura: 2 minuti. Scopri l'Infinix Note 40 Pro 5G, che combina un design raffinato, tecnologia di ricarica avanzata...

Vivo T3x 5G Vivo T3x 5G
Tech4 ore fa

Vivo T3x 5G innovazioni nel segmento Medio-Alto

Tempo di lettura: 2 minuti. Vivo T3x 5G, lanciato in India, offre una batteria da 6000mAh, prestazioni Snapdragon 6 Gen...

Samsung Galaxy aggiornamenti sicurezza Samsung Galaxy aggiornamenti sicurezza
Tech5 ore fa

Samsung Galaxy altri modelli ricevono aggiornamenti Aprile 2024

Tempo di lettura: < 1 minuto. Scopri i recenti aggiornamenti di sicurezza di Samsung per i modelli Galaxy A54, S23...

Tendenza