Notizie
Un nuovo malware attacca gli enti governativi russi ed è cinese
Tempo di lettura: 3 minuti. Collegato agli attacchi “spinner” ma pare essere un gruppo diverso
Tempo di lettura: 3 minuti.
Dopo gli eventi della guerra russo-ucraina, un nuovo e sconosciuto gruppo di minacce persistenti avanzate (APT) è stato collegato a diversi attacchi di spear-phishing. Questi attacchi si sono concentrati su enti governativi russi.
Secondo un rapporto tecnico di Malwarebytes, un Trojan ad accesso remoto (RAT) ha monitorato i computer infetti ed eseguito comandi da remoto su di essi.
La società di cybersicurezza sospetta che il colpevole sia un gruppo di hacker cinesi a causa delle somiglianze tra il RAT e il malware Sakula Rat utilizzato da Deep Panda.
Il malware è stato creato prima della guerra russo-ucraina
Gli attacchi di spear-phishing che hanno distribuito il nuovo malware sono iniziati intorno al 26 febbraio, un paio di giorni dopo l'attacco militare della Russia all'Ucraina. Le e-mail che distribuivano il malware erano camuffate da mappe interattive dell'Ucraina – “interactive_map_UA.exe“.
La seconda ondata di attacchi è iniziata all'inizio di marzo e ha preso di mira la TV statale RT. Ha utilizzato la correzione del software rogue per la vulnerabilità Log4Shell, che ha fatto notizia alla fine del 2021.
Questo sviluppo dimostra come gli attori delle minacce adattino i loro attacchi in base agli eventi mondiali per aumentare il loro successo.
Il malware è arrivato all'interno di una patch come file TAR compresso. Il messaggio di posta elettronica conteneva anche un file PDF con istruzioni sulle migliori pratiche di sicurezza informatica per sembrare più autentico e far abbassare la guardia alle vittime. In un divertente colpo di scena, il messaggio di posta elettronica del malware consigliava anche al lettore di non aprire o rispondere a e-mail sospette.
Non è stato l'unico modo in cui l'e-mail ha tentato di acquisire autenticità.
Il file PDF conteneva anche un URL di VirusTotal. Esso puntava a un file non correlato per dare ai lettori la falsa impressione che il file della patch Log4j non fosse dannoso.
Inoltre, l'e-mail fraudolenta includeva anche collegamenti a un dominio controllato dall'aggressore, “rostec[.]digital“. Diversi profili falsi di Facebook e Instagram alludevano al conglomerato russo della difesa. L'attore delle minacce ha creato la falsa pagina Facebook nel giugno 2021, nove mesi prima di prendere di mira le entità governative russe. Nove mesi prima dell'invasione dell'Ucraina.
I criminali informatici hanno utilizzato un altro file eseguibile dannoso nei loro attacchi, ovvero “build_rosteh4.exe“. I ricercatori hanno concluso che si trattava di un tentativo di far passare il malware come se appartenesse alla Rostec. Un documento Microsoft Word fungeva da innesco per la sequenza di infezione per distribuire il malware RAT.
A metà aprile 2022, i criminali informatici hanno anche lanciato un'esca di phishing a tema lavorativo. L'e-mail fingeva di provenire da Suadi Aramco, una delle compagnie petrolifere e di gas naturale dell'Arabia Saudita.
Il modo in cui questi criminali informatici lavorano e utilizzano il malware coincide con un altro gruppo di hacker. Una ricerca condotta da Check Point rivela che un collettivo di avversari cinesi con collegamenti a Stone Panda e Mustang Panda ha preso di mira almeno due istituti di ricerca russi. Sono riusciti a infiltrarsi nel sistema tramite una backdoor precedentemente sconosciuta chiamata Spinner.
Come rimanere al sicuro online
È normale sentirsi a disagio quando si naviga in Internet, visto che al giorno d'oggi ci sono così tanti attacchi informatici. Tuttavia, molti metodi possono aumentare le difese di sicurezza informatica per la vostra casa o azienda.
- Utilizzare software di sicurezza. I firewall filtrano il traffico di rete e possono bloccare un attacco potenzialmente dannoso. Nel frattempo, l'antivirus analizza tutti i download per assicurarsi che siano sicuri.
- Imparate a riconoscere gli attacchi di phishing. Vi aiuterà a evitare di cliccare su link sospetti o di scaricare file infetti.
- Proteggete il vostro indirizzo IP. A volte i criminali informatici hanno bisogno del vostro IP per scatenare il caos sul vostro computer. Vi starete chiedendo: “Che cos'è il mio indirizzo IP?”. Si tratta dell'indirizzo Internet unico che identifica il vostro dispositivo sul web. Molte persone utilizzano strumenti di sicurezza per nascondere il loro vero IP, e voi dovreste fare lo stesso.
- Utilizzate tecniche di autenticazione a due fattori. Se una password è debole o esposta online, è la vostra seconda difesa contro gli hacker.
- Non utilizzate i privilegi di amministratore sul vostro computer. Se lo fate, il malware avrà anche i privilegi di amministratore quando vi infetterà. Senza di essi può fare molti meno danni.
- Aggiornate continuamente il software e il sistema operativo. Qualsiasi software obsoleto può potenzialmente presentare falle di sicurezza. Gli hacker possono sfruttarle a loro vantaggio.
Notizie
Silent Skimmer: la campagna scraping colpisce le pagine di pagamento dei siti web
Tempo di lettura: 3 minuti. Sfruttata una vulnerabilità nota per ottenere l’accesso iniziale e compromettere i server web
Tempo di lettura: 3 minuti.
Una nuova campagna di skimming rivolta alle attività di pagamento online sarebbe stata rilevata nel Nord America e America Latina.
Soprannominata Silent Skimmer, la campagna sarebbe attiva da un anno. In particolar modo il Team di ricerca e intelligence di Blackberry ritiene che l'attore responsabile, seppure non identificato, provenga dalla regione APAC (Asia-Pacifico) in particolar modo dalla Cina e sfrutti per l'accesso iniziale una vulnerabilità nota, implementando infine sui server web compromessi una serie di strumenti per lo scraping dei pagamenti allo scopo di recuperare dati finanziari sensibili.
“La campagna è attiva da oltre un anno e si rivolge a diversi settori che ospitano o creano infrastrutture di pagamento, come le attività online e i fornitori Point of Sales (POS). Abbiamo scoperto prove che suggeriscono che l'autore della minaccia conosce bene la lingua cinese e opera prevalentemente nella regione Asia-Pacifico (APAC)”, si legge nel post sul blog.
Sfruttamento vulnerabilità
In pratica una volta compromesso il sito web l'attaccante accede alle pagine di pagamento dei siti Web per distribuire uno web skimmer e rubare numeri di carte di credito degli acquirenti online per poi esfiltrarli. Per compromettere il server web l'attore sfrutterebbe un difetto di deserializzazione .NET tracciato come CVE-2019-18935 per l'esecuzione remota di codice sui server presi di mira.
“Lo sfruttamento di CVE-2019-18935 può comportare l'esecuzione di codice remoto (RCE). Il processo di exploit, in questo caso, prevede che l'aggressore carichi una DLL in una directory specifica sul server di destinazione. Questo passaggio dipende completamente dal fatto che il server Web disponga dei permessi di scrittura. Una volta caricata, la DLL viene caricata nell'applicazione utilizzando un exploit che sfrutta la deserializzazione non sicura“, spiegano i ricercatori.
La DLL darà inizio ad una catena d'infezione che tramite script PowerShell, scaricherà:
- un RAT (server.ps1) per il controllo remoto ed eseguire numerose funzioni;
- uno skimmer web ovvero tre diversi file JavaScript offuscati (“compiled.js”, “jquery.hoverIntent.js” e “checkout.js”) scelti in base alla configurazione del sito web.
“Il codice dannoso presente in tutti e tre i file JavaScript ha lo stesso intento: sottrarre i dettagli di pagamento quando si verifica un evento specifico e quindi esfiltrare i dati finanziari.“, continua la spiegazione degli esperti.
Escalation degli attacchi
Nel loro rapporto, i ricercatori di Blackberry hanno constatato che inizialmente l'ambito della campagna era limitato alle aziende della regione APAC e che dall'ottobre 2022 l'aggressore ha esteso il target al Canada e al Nord America, registrando in particolare un improvviso aumento degli attacchi a partire da maggio 2023.
Sebbene l'autore abbia adattato la propria infrastruttura C2 alla geolocalizzazione delle vittime utilizzando dei server VPS (Virtual Private Server) come server C2 e gli obiettivi finora siano stati singoli siti web, sulla base dei dati di ricerca esistenti e dell'espansione nel tempo della geolocalizzazione delle vittime, il team Blackberry ritiene che sia ragionevole aspettarsi in futuro più attacchi e una estensione della superfice d'attacco contro sistemi simili nella stessa e in nuove regioni.
L'autore della minaccia utilizza i propri server di comando e controllo per ospitare tutti i servizi utilizzati in questa campagna. In particolare il file server HTTP (HFS- HTTP File Server) ospiterebbe un toolkit completo per attività post-sfruttamento.
Notizie
MOVEit: 10 anni di dati rubati dal registro dei neonati
Tempo di lettura: 2 minuti. BORN ritira la vista Basic HTML di Gmail, spingendo gli utenti verso la vista Standard più moderna e sicura, nonostante le preoccupazioni legate all’accessibilità e all’uso di hardware più vecchio.
Tempo di lettura: 2 minuti.
Il registro delle nascite finanziato dal governo dell'Ontario ha confermato una violazione dei dati che colpisce circa 3,4 milioni di persone che hanno cercato cure per la gravidanza, incluso il dato sanitario personale di quasi due milioni di neonati e bambini in tutta la provincia canadese. BORN Ontario ha dichiarato che gli hacker hanno copiato più di un decennio di dati, inclusi quelli relativi a fertilità, gravidanza, neonati e assistenza sanitaria infantile offerti tra gennaio 2010 e maggio 2023.
Dettagli del data breach
La notizia della violazione arriva dopo che l'incidente è stato scoperto il 31 maggio. Non è noto per quale motivo BORN abbia impiegato mesi per notificare agli individui interessati che le loro informazioni erano state compromesse. BORN ha attribuito il cyberattacco all'hack di massa mirato a MOVEit, uno strumento di trasferimento file utilizzato dalle organizzazioni per condividere grandi set di dati su Internet.
Il gruppo di ransomware e estorsione legato alla Russia, Clop
Il noto gruppo di ransomware e estorsione legato alla Russia, Clop, ha rivendicato la responsabilità degli hack di massa di MOVEit, ma non ha ancora rivendicato BORN come una delle sue vittime, secondo una recensione del suo sito di perdite sul dark web che usa per minacciare di pubblicare i dati rubati delle vittime in cambio del pagamento di un riscatto.
Informazioni rubate
I cybercriminali hanno rubato nomi, date di nascita, indirizzi e codici postali e numeri di tessera sanitaria. Le informazioni cliniche rubate includono date di cura e servizio, risultati di test di laboratorio, fattori di rischio per la gravidanza, tipo di parto, procedure e risultati della gravidanza e del parto e assistenza associata.
Impatto dell'hack di massa di MOVEit
L'hack di massa di MOVEit ha finora colpito più di 60 milioni di individui, sebbene solo una frazione delle organizzazioni colpite abbia divulgato i loro incidenti, il numero di vittime è probabile che sia significativamente più alto. Più di mille organizzazioni, comprese le agenzie federali degli Stati Uniti, che si affidavano al software MOVEit interessato, sono colpite dall'hack di massa.
Notizie
CISA nuove vulnerabilità note e sfruttate aggiunte al catalogo
Tempo di lettura: < 1 minuto. La CISA aggiunge tre nuove vulnerabilità al suo catalogo, evidenziando l’importanza della tempestiva risoluzione per ridurre i rischi di cyberattacchi.
Tempo di lettura: minuto.
Introduzione: La CISA ha recentemente aggiunto tre nuove vulnerabilità al suo Catalogo delle Vulnerabilità Note Sfruttate, basandosi su prove di sfruttamento attivo. Queste vulnerabilità rappresentano frequenti vettori di attacco per attori cyber malintenzionati e pongono rischi significativi per l'impresa federale.
Le vulnerabilità aggiunte sono le seguenti:
- CVE-2023-41991: vulnerabilità di Apple in diversi prodotti legata alla non corretta validazione dei certificati.
- CVE-2023-41992: vulnerabilità di Apple in diversi prodotti relativa all'escalation di privilegi del kernel.
- CVE-2023-41993: vulnerabilità di Apple in diversi prodotti legata all'esecuzione di codice WebKit.
Direttiva Operativa Vincolante (BOD) 22-01
La BOD 22-01 ha istituito il Catalogo delle Vulnerabilità Note Sfruttate come un elenco vivente di vulnerabilità note (CVE) che comportano un rischio significativo per l'impresa federale. Questa direttiva richiede che le agenzie Federal Civilian Executive Branch (FCEB) risolvano le vulnerabilità identificate entro la data prevista per proteggere le reti FCEB contro minacce attive.
Raccomandazioni della CISA
Sebbene la BOD 22-01 si applichi solo alle agenzie FCEB, la CISA esorta fortemente tutte le organizzazioni a ridurre la loro esposizione agli attacchi informatici, dando la priorità alla tempestiva risoluzione delle vulnerabilità del Catalogo come parte delle loro pratiche di gestione delle vulnerabilità. La CISA continuerà ad aggiungere vulnerabilità al catalogo che soddisfano i criteri specificati.
No, la vostra pagina Facebook non sta per scadere e non è disabilitata
Tempo di lettura: < 1 minuto. La nuova vecchia truffa è indirizzata ai proprietari delle pagine a cui si vuole...
MetaMask ecco la funzione di scambio ETH in valuta fiat
Tempo di lettura: < 1 minuto. MetaMask lancia una nuova funzione che permette agli utenti di vendere Ether per valuta...
Allerta Truffa: segnalazione di frode online su PWCNU.com
Tempo di lettura: 2 minuti. Allerta truffa: lettore segnala frode su PWCNU.com, perdendo 800€ in schema Ponzi che utilizza numeri...
Nuova truffa di sextortion: il tuo “video intimo” su YouPorn
Tempo di lettura: 2 minuti. Una nuova truffa di sextortion associata a YouPorn sta cercando di estorcere denaro agli utenti...
ONU: Sud-est Asiatico manodopera del crimine informatico
Tempo di lettura: 2 minuti. Un rapporto dell'ONU svela il traffico di lavoratori nel Sud-est asiatico per operazioni di cybercriminalità,...
CISA Avverte: truffa informatica del cambiamento climatico
Tempo di lettura: < 1 minuto. La CISA avverte gli utenti di rimanere vigili di fronte alle truffe online, in...
Vinted, come ottenere merce e rimborso: “il tuo capo è falso”
Tempo di lettura: 2 minuti. Una lettrice condivide la sua esperienza di truffa su Vinted, evidenziando i rischi delle vendite...
Vinted, how to get goods and refund: “your luxury dress is fake”
Tempo di lettura: 2 minuti. A reader shares her experience of being scammed on Vinted, highlighting the risks of online...
Truffato per 416.000 dollari in un “club di incontri” su Telegram
Tempo di lettura: < 1 minuto. Uomo di Hanoi truffato per 416.000 dollari cercando di unirsi a un "club di...
Galà della Frode: campagna BEC che colpisce l’Italia
Tempo di lettura: 3 minuti. Le truffe di "Business Email Compromise" sono un crescente pericolo nel mondo digitale, con cybercriminali...
Editoriali2 settimane faVannacci è diventato ricco grazie alle armi spuntate del Mainstream
- L'Altra Bolla2 settimane fa
Elon Musk e X Corp. contro lo stato della California sulla legge AB 587
- Editoriali2 settimane fa
Zelensky fa uso di cocaina? I dubbi e le paure su un alleato “tossico”
- L'Altra Bolla2 settimane fa
Corte d’appello USA: Governo Biden e l’FBI hanno viziato le opinioni social
- L'Altra Bolla3 settimane fa
YouTube sperimenta pulsante “Iscriviti” luminoso
- DeFi3 settimane fa
MetaMask ecco la funzione di scambio ETH in valuta fiat
- L'Altra Bolla2 settimane fa
YouTube e l’intelligenza artificiale insieme per la creatività pubblicitaria
- Tech2 settimane fa
Google Pixel 8: le novità che fanno crescere l’attesa
