Connect with us

Sicurezza Informatica

Apt cinesi spiano la Cambogia

Tempo di lettura: 2 minuti. Attività malevole di hacker cinesi contro il governo cambogiano rivelano una campagna di spionaggio a lungo termine e strategie di sicurezza.

Pubblicato

in data

apt cina cambogia
Tempo di lettura: 2 minuti.

Ricercatori di sicurezza informatica hanno scoperto una serie di attività malevole orchestrate da APT cinesi contro organizzazioni governative della Cambogia. Queste azioni sono considerate parte di una campagna di spionaggio a lungo termine che riflette gli obiettivi geopolitici del governo cinese secondo quanto scoperto da Palo Alto.

Infiltrazioni mirate e strategie occulta

Le organizzazioni della Cambogia prese di mira dalle APT cinesi includono settori della difesa, sorveglianza elettorale, diritti umani, tesoreria e finanza nazionale, commercio, politica, risorse naturali e telecomunicazioni. L’analisi si basa sulla natura persistente delle connessioni in entrata da queste entità verso un’infrastruttura avversaria legata alla Cina, che si maschera da servizi di backup e archiviazione cloud.

Tattiche di camuffamento e orari sospetti

La tattica utilizzata dagli attaccanti sembra essere un tentativo di passare inosservati, mimetizzandosi nel traffico di rete legittimo. Inoltre, i collegamenti con la Cina si basano sul fatto che l’attività del gruppo di minaccia è stata osservata principalmente durante l’orario lavorativo regolare in Cina, con una diminuzione registrata a fine settembre e inizio ottobre 2023, coincidendo con le vacanze nazionali della “Settimana d’Oro”, per poi riprendere ai livelli regolari il 9 ottobre.

Gruppi di hacker e campagne di spionaggio

Gruppi di hacker connessi alla Cina come Emissary Panda, Gelsemium, Granite Typhoon, Mustang Panda, RedHotel, ToddyCat e UNC4191 hanno lanciato una serie di campagne di spionaggio contro settori pubblici e privati in Asia negli ultimi mesi. Elastic Security Labs ha dettagliato un insieme di intrusioni, denominato REF5961, che utilizzava backdoor personalizzate come EAGERBEE, RUDEBIRD, DOWNTOWN e BLOODALCHEMY negli attacchi diretti contro i paesi dell’Associazione delle Nazioni del Sud-Est Asiatico (ASEAN).

Evoluzione delle operazioni cibernetiche statali

Le operazioni cibernetiche sponsorizzate dallo stato cinese sono evolute da un furto di proprietà intellettuale su larga scala a un approccio più mirato che supporta obiettivi strategici, economici e geopolitici specifici, come quelli legati all’iniziativa Belt and Road e alle tecnologie critiche. Dal 2021, gruppi sponsorizzati dallo stato cinese sono stati attribuiti allo sfruttamento di 23 vulnerabilità zero-day, inclusi quelli identificati in Microsoft Exchange Server, Solarwinds Serv-U, Sophos Firewall, Fortinet FortiOS, Barracuda Email Security Gateway e Atlassian Confluence Data Center e Server.

Sicurezza Informatica

Guerra cibernetica Ucraina dirama rapporto attacchi Russia

Tempo di lettura: 2 minuti. La Russia intensifica l’uso di malware e cyberattacchi per supportare le operazioni militari in Ucraina nel 2024.

Pubblicato

in data

Tempo di lettura: 2 minuti.

La guerra tra Russia e Ucraina continua a vedere un massiccio utilizzo di attacchi informatici da parte della Russia per supportare le operazioni militari e, secondo il rapporto di metà anno pubblicato dal Servizio Statale di Comunicazioni Speciali e Protezione delle Informazioni dell’Ucraina (SSSCIP), si è registrato un aumento del 90% negli incidenti che coinvolgono infezioni malware rispetto allo stesso periodo del 2023. Mentre i metodi tradizionali come l’email phishing sono sempre più efficacemente contrastati, gli attori delle minacce stanno adottando nuove strategie per bypassare le protezioni e infiltrare malware nei sistemi ucraini.

UAC-0184 e l’uso di app di messaggistica per spionaggio militare

Uno dei casi più significativi del rapporto riguarda il gruppo UAC-0184, un’entità russa nota per le sue attività di cyber-espionaggio. Questo gruppo ha preso di mira il personale militare ucraino utilizzando app di messaggistica come Signal per rubare documenti sensibili. Gli hacker, fingendosi altre persone e avvalendosi di dati personali e numeri di telefono, guadagnano la fiducia delle vittime inviando archivi contenenti file di collegamento che infettano i sistemi una volta aperti.

Questo metodo non si limita solo al furto di informazioni; UAC-0184 utilizza la tecnica per installare malware in grado di concedere il pieno controllo remoto dei computer delle vittime. Gli attacchi sono spesso mascherati da richieste di informazioni, intimidazioni fittizie, promesse di ricompense o trasferimenti a nuove unità, tutte finalizzate a compromettere i dispositivi degli obiettivi.

Attacchi cyber distruttivi su infrastrutture critiche

Un’altra preoccupante tendenza rilevata dal SSSCIP è il rinnovato interesse della Russia verso attacchi cyber distruttivi. Tra i più rilevanti vi è stato il tentativo, nel marzo 2024, di attaccare quasi 20 organizzazioni infrastrutturali energetiche ucraine. Questi attacchi hanno coinvolto una compromissione simultanea di tre catene di approvvigionamento tramite fornitori di servizi condivisi, rendendo difficile la rilevazione e la risposta. L’Ucraina ha attribuito l’attacco a Sandworm (UAC-0002), un gruppo cyber russo responsabile di numerosi attacchi su larga scala, tra cui quelli legati a NotPetya e ai Giochi Olimpici Invernali del 2018.

Gli investigatori hanno trovato prove di diverse varianti malware come LoadGrip e BiasBoat, progettate per muoversi lateralmente attraverso i sistemi di controllo industriale e amplificare l’effetto degli attacchi, sincronizzandosi con attacchi missilistici contro le infrastrutture ucraine.

Malware e tecniche di cyber spionaggio

Il rapporto SSSCIP evidenzia che, nonostante il calo del 90% di incidenti “critici”, la Russia continua a colpire prevalentemente settori governativi e militari in Ucraina. Gli attacchi utilizzano principalmente malware e campagne di phishing, approfittando spesso del fattore umano come anello debole nella catena della sicurezza. Le tecniche di attacco spaziano dalle infezioni tramite SVG (Scalable Vector Graphics), che includono codice dannoso, fino alla diffusione di ransomware e malware come Smokeloader.

Prosegui la lettura

Sicurezza Informatica

Le minacce di sicurezza del mese secondo HP Wolf Security

Tempo di lettura: 2 minuti. Il rapporto HP Wolf Security di settembre 2024 evidenzia nuove minacce malware, tra cui l’uso di AI generativa e malvertising per diffondere codice malevolo.

Pubblicato

in data

Tempo di lettura: 2 minuti.

Il rapporto HP Wolf Security Threat Insights di settembre 2024 offre una panoramica dettagliata sulle principali minacce informatiche identificate nel secondo trimestre del 2024. Grazie alla telemetria raccolta da HP Wolf Security, il report evidenzia nuove campagne malware, tendenze emergenti e tecniche utilizzate dai cybercriminali per aggirare le misure di sicurezza e infettare gli endpoint. Scopriamo insieme i punti salienti e le minacce più rilevanti emerse in questo trimestre.

Generative AI e campagne malware in espansione

Un trend preoccupante evidenziato nel rapporto riguarda l’uso sempre più frequente dell’intelligenza artificiale generativa (GenAI) per scrivere codice malevolo. In Q2 2024, il team di HP Threat Research ha identificato una campagna malware che diffondeva AsyncRAT attraverso script VBScript e JavaScript, molto probabilmente scritti con l’ausilio di GenAI.

Questa tecnica rappresenta una sfida crescente per la sicurezza informatica, abbassando la soglia di competenza necessaria per creare malware efficace. L’attività sottolinea come l’intelligenza artificiale stia accelerando lo sviluppo di attacchi, rendendo più facile per i cybercriminali violare endpoint.

Malvertising e ChromeLoader: Minaccia Crescente per i Browser

Un altro punto chiave del rapporto riguarda la crescente diffusione di ChromeLoader, una famiglia di malware che consente agli attaccanti di prendere il controllo delle sessioni di navigazione delle vittime. Nel secondo trimestre del 2024, le campagne di ChromeLoader si sono intensificate e sono diventate più sofisticate, utilizzando il malvertising per attirare gli utenti su siti web che offrivano strumenti di produttività apparentemente innocui, come convertitori PDF. Tuttavia, all’interno di questi siti, i file MSI contenevano codice malevolo nascosto, in grado di bypassare le politiche di sicurezza di Windows grazie a certificati di firma validi.

Malware attraverso immagini SVG

Il rapporto HP Wolf Security evidenzia inoltre un’innovativa tecnica di diffusione malware attraverso i file SVG (Scalable Vector Graphics), utilizzati comunemente nella progettazione grafica. In questa campagna, gli attaccanti hanno abusato delle funzionalità di scripting del formato SVG, incorporando codice JavaScript malevolo all’interno delle immagini. Questo codice ha poi tentato di infettare gli endpoint delle vittime con diversi stealer di informazioni, sfruttando una metodologia non convenzionale per aggirare le misure di sicurezza.

Minacce crescenti e tecniche sofisticate

Il rapporto di settembre 2024 di HP Wolf Security evidenzia come i cybercriminali stiano affinando le loro tecniche per aggirare le difese tradizionali, sfruttando intelligenza artificiale generativa, malvertising e formati di file comunemente considerati sicuri. La crescente sofisticazione degli attacchi sottolinea l’importanza di mantenere aggiornati gli strumenti di sicurezza e di monitorare costantemente l’evoluzione delle minacce.

Prosegui la lettura

Sicurezza Informatica

Kaspersky: addio agli usa con UltraAV

Tempo di lettura: 2 minuti. Kaspersky si disinstalla automaticamente dai computer statunitensi, installando UltraAV senza preavviso, come parte del ritiro dal mercato USA.

Pubblicato

in data

Tempo di lettura: 2 minuti.

La società russa di cybersecurity Kaspersky ha iniziato, giovedì scorso, a rimuovere automaticamente il suo software antivirus dai computer degli utenti statunitensi, sostituendolo con l’antivirus UltraAV, senza preavviso. Questa azione arriva dopo che Kaspersky ha deciso di cessare le sue operazioni negli Stati Uniti, in seguito all’inclusione dell’azienda nella Entity List del governo statunitense, a causa di preoccupazioni per la sicurezza nazionale.

Passaggio forzato a UltraAV senza avviso

La transizione a UltraAV è stata avviata come parte del ritiro di Kaspersky dal mercato statunitense, seguendo il divieto di vendita e aggiornamento del software antivirus Kaspersky a partire dal 29 settembre 2024, imposto dall’amministrazione Biden. Tuttavia, molti utenti hanno segnalato che Kaspersky si è disinstallato automaticamente dai loro dispositivi, installando UltraAV senza alcuna notifica preventiva. Alcuni utenti hanno anche scoperto che, dopo aver tentato di disinstallare UltraAV, questo si reinstallava automaticamente al riavvio del sistema, alimentando ulteriori preoccupazioni sulla possibilità di infezioni malware.

In alcuni casi, è stato installato anche UltraVPN, probabilmente a causa di abbonamenti VPN precedentemente attivi con Kaspersky. Gli utenti hanno espresso preoccupazione e confusione, riportando i loro problemi sui forum online, temendo che i loro dispositivi fossero stati compromessi da un virus.

Ruolo di UltraAV e la collaborazione di Kaspersky

Secondo quanto dichiarato, Kaspersky ha collaborato con UltraAV per garantire la continuità della protezione dei propri utenti negli Stati Uniti, evitando interruzioni nel servizio di sicurezza. La decisione è stata giustificata con la necessità di proteggere i clienti da rischi legati alla cybercriminalità, visto che Kaspersky non sarà più in grado di fornire aggiornamenti o supporto dal 30 settembre 2024. Gli utenti interessati sono stati incoraggiati a consultare la pagina dedicata sul sito di UltraAV per ulteriori informazioni su questa transizione forzata.

Prosegui la lettura

Facebook

CYBERSECURITY

Economia1 giorno fa

Stati Uniti: presto divieto per i veicoli cinesi e russi

Tempo di lettura: 2 minuti. Gli Stati Uniti propongono un divieto su hardware e software cinesi e russi nei veicoli...

Sicurezza Informatica4 giorni fa

SambaSpy: nuovo RAT che prende di mira gli utenti italiani

Tempo di lettura: 3 minuti. SambaSpy, un nuovo RAT, prende di mira gli utenti italiani attraverso una sofisticata campagna di...

Sicurezza Informatica4 giorni fa

Temu e Dell: indagini sui recenti attacchi informatici

Tempo di lettura: 2 minuti. Temu e Dell sono coinvolte in segnalazioni di violazioni dei dati: ecco le indagini su...

Sicurezza Informatica5 giorni fa

Dr.Web disconnette i server dopo una violazione e Cloudflare subisce un’interruzione regionale

Tempo di lettura: 2 minuti. Dr.Web disconnette i server dopo un attacco informatico e Cloudflare affronta un'interruzione regionale che limita...

Sicurezza Informatica6 giorni fa

CISA nuove vulnerabilità, aggiornamenti per Apple e GitLab

Tempo di lettura: 2 minuti. Ultimi aggiornamenti di sicurezza: vulnerabilità aggiunte da CISA, aggiornamenti Apple e GitLab risolve una falla...

Sicurezza Informatica6 giorni fa

Smantellata piattaforma di comunicazione criptata Ghost

Tempo di lettura: 2 minuti. Una coalizione globale, coordinata da Europol, smantella la piattaforma criptata Ghost utilizzata dal crimine organizzato,...

23andme 23andme
Sicurezza Informatica1 settimana fa

23andMe paga 30 milioni per risolvere causa databreach

Tempo di lettura: < 1 minuto. 23andMe paga 30 milioni di dollari per risolvere una causa legale legata alla violazione...

Sicurezza Informatica1 settimana fa

Cina: Starlink per rilevare velivoli stealth e phishing contro NASA e Difesa USA

Tempo di lettura: 4 minuti. La Cina propone di rendere obbligatoria l'etichettatura dei contenuti generati da IA online, imponendo trasparenza...

Sicurezza Informatica1 settimana fa

Google Chrome adotta ML-KEM per la crittografia post-quantistica

Tempo di lettura: 2 minuti. Google Chrome adotta ML-KEM per la crittografia post-quantistica, abbandonando Kyber per migliorare sicurezza ed efficienza....

Sicurezza Informatica1 settimana fa

CISA lancia FOCAL, rilascia avvisi ICS e sanziona Intellexa

Tempo di lettura: 4 minuti. CISA rilascia il piano FOCAL, rilascia nuovi ICS e con l'FBI chiede di risolvere vulnerabilità...

Truffe recenti

Sicurezza Informatica2 settimane fa

Truffa “Il tuo partner ti tradisce”: chiedono di pagare per vedere le prove

Tempo di lettura: < 1 minuto. Una nuova truffa "Il tuo partner ti tradisce" chiede il pagamento per vedere prove...

Sicurezza Informatica2 mesi fa

Scam internazionale tramite Facebook e app: ERIAKOS e malware SMS stealer

Tempo di lettura: 4 minuti. Analisi delle campagne di scam ERIAKOS e del malware SMS Stealer che mirano gli utenti...

Sicurezza Informatica2 mesi fa

Meta banna 60.000 Yahoo Boys in Nigeria per sextortion

Tempo di lettura: 3 minuti. Meta combatte le truffe di estorsione finanziaria dalla Nigeria, rimuovendo migliaia di account e collaborando...

Inchieste3 mesi fa

Idealong.com chiuso, ma attenti a marketideal.xyz e bol-it.com

Tempo di lettura: 2 minuti. Dopo aver svelato la truffa Idealong, abbiamo scoperto altri link che ospitano offerte di lavoro...

Inchieste3 mesi fa

Idealong.com spilla soldi ed assolda lavoratori per recensioni false

Tempo di lettura: 4 minuti. Il metodo Idealong ha sostituito Mazarsiu e, dalle segnalazioni dei clienti, la truffa agisce su...

Sicurezza Informatica3 mesi fa

Truffa lavoro online: Mazarsiu sparito, attenti a idealong.com

Tempo di lettura: 2 minuti. Dopo il sito Mazarsiu, abbandonato dai criminali dopo le inchieste di Matrice Digitale, emerge un...

fbi fbi
Sicurezza Informatica4 mesi fa

FBI legge Matrice Digitale? Avviso sulle truffe di lavoro Online

Tempo di lettura: 2 minuti. L'FBI segnala un aumento delle truffe lavoro da casa con pagamenti in criptovaluta, offrendo consigli...

Sicurezza Informatica4 mesi fa

Milano: operazione “Trust”, frodi informatiche e riciclaggio di criptovaluta

Tempo di lettura: 2 minuti. Scoperta un'organizzazione criminale transnazionale specializzata in frodi informatiche e riciclaggio di criptovaluta nell'operazione "Trust"

Inchieste4 mesi fa

Truffa lavoro Online: analisi metodo Mazarsiu e consigli

Tempo di lettura: 4 minuti. Mazarsiu e Temunao sono solo due portali di arrivo della truffa di lavoro online che...

Inchieste4 mesi fa

Mazarsiu e Temunao: non solo truffa, ma un vero metodo

Tempo di lettura: 4 minuti. Le inchieste su Temunao e Marasiu hanno attivato tante segnalazioni alla redazione di persone che...

Tech

iPhone 16 Pro nuovi colori: Desert Titanium e Titanium Gray iPhone 16 Pro nuovi colori: Desert Titanium e Titanium Gray
Tech4 ore fa

iPhone 16 Pro e AirPods Max: software e caratteristiche

Tempo di lettura: 4 minuti. iPhone 16 Pro migliora le foto macro grazie al software, mentre le AirPods Max mancano...

Smartphone4 ore fa

iPhone 16 Pro e Max vs Pixel 9 Pro e XL: quale scegliere?

Tempo di lettura: 3 minuti. Confronto tra Apple iPhone 16 Pro/Pro Max e Google Pixel 9 Pro/Pro XL: scopri quale...

Smartphone5 ore fa

Aggiornamento di settembre 2024 per Galaxy A53 e A54

Tempo di lettura: 3 minuti. Samsung Galaxy A53 e A54 ricevono l'aggiornamento di sicurezza di settembre 2024 in Europa.

MPV 0.39.0 MPV 0.39.0
Tech10 ore fa

MPV 0.39.0: nuove funzionalità e miglioramenti

Tempo di lettura: < 1 minuto. MPV 0.39.0 introduce il supporto per NVIDIA RTX e Intel VSR, nuove funzionalità e...

Tech11 ore fa

Zorin OS 17.2 e KaOS 2024.09: ricche novità Linux

Tempo di lettura: 4 minuti. Zorin OS 17.2, basato su Linux 6.8, supporta nuovo hardware e offre miglioramenti per la...

LXQt LXQt
Tech12 ore fa

Anteprima del rilascio di LXQt 2.1: novità e miglioramenti

Tempo di lettura: 3 minuti. LXQt 2.1 porta il supporto alla sessione Wayland e numerosi miglioramenti all'interfaccia e alle funzionalità:...

Galaxy S24 FE Galaxy S24 FE
Smartphone13 ore fa

Samsung Galaxy S24 FE e S25 Ultra: anticipazioni sui dispositivi

Tempo di lettura: 2 minuti. Samsung Galaxy S24 FE e Galaxy S25 Ultra rivelati in video unboxing e benchmark: caratteristiche,...

iPhone 16 iPhone 16
Smartphone13 ore fa

iPhone 16 ottimo audio e pieghevole con Face ID sotto il display

Tempo di lettura: 2 minuti. L'iPhone 16 Pro trasforma l'audio grazie al trucco del calzino, mentre Apple lavora al Face...

Smartphone13 ore fa

Xiaomi Redmi Note 14 Pro, Smartphone Tri-Fold e 15 Pro in arrivo

Tempo di lettura: 3 minuti. Xiaomi si prepara al lancio del Redmi Note 14 Pro e del flagship Xiaomi 15...

Mediatek Dimensity 9400 Mediatek Dimensity 9400
Tech13 ore fa

MediaTek Dimensity 9400: lancio confermato mese prossimo

Tempo di lettura: 2 minuti. MediaTek: lancio del chipset Dimensity 9400 il 9 ottobre promette prestazioni elevate grazie alla nuova...

Tendenza