Sicurezza Informatica
Apt cinesi spiano la Cambogia
Tempo di lettura: 2 minuti. Attività malevole di hacker cinesi contro il governo cambogiano rivelano una campagna di spionaggio a lungo termine e strategie di sicurezza.
Ricercatori di sicurezza informatica hanno scoperto una serie di attività malevole orchestrate da APT cinesi contro organizzazioni governative della Cambogia. Queste azioni sono considerate parte di una campagna di spionaggio a lungo termine che riflette gli obiettivi geopolitici del governo cinese secondo quanto scoperto da Palo Alto.
Infiltrazioni mirate e strategie occulta
Le organizzazioni della Cambogia prese di mira dalle APT cinesi includono settori della difesa, sorveglianza elettorale, diritti umani, tesoreria e finanza nazionale, commercio, politica, risorse naturali e telecomunicazioni. L’analisi si basa sulla natura persistente delle connessioni in entrata da queste entità verso un’infrastruttura avversaria legata alla Cina, che si maschera da servizi di backup e archiviazione cloud.
Tattiche di camuffamento e orari sospetti
La tattica utilizzata dagli attaccanti sembra essere un tentativo di passare inosservati, mimetizzandosi nel traffico di rete legittimo. Inoltre, i collegamenti con la Cina si basano sul fatto che l’attività del gruppo di minaccia è stata osservata principalmente durante l’orario lavorativo regolare in Cina, con una diminuzione registrata a fine settembre e inizio ottobre 2023, coincidendo con le vacanze nazionali della “Settimana d’Oro”, per poi riprendere ai livelli regolari il 9 ottobre.
Gruppi di hacker e campagne di spionaggio
Gruppi di hacker connessi alla Cina come Emissary Panda, Gelsemium, Granite Typhoon, Mustang Panda, RedHotel, ToddyCat e UNC4191 hanno lanciato una serie di campagne di spionaggio contro settori pubblici e privati in Asia negli ultimi mesi. Elastic Security Labs ha dettagliato un insieme di intrusioni, denominato REF5961, che utilizzava backdoor personalizzate come EAGERBEE, RUDEBIRD, DOWNTOWN e BLOODALCHEMY negli attacchi diretti contro i paesi dell’Associazione delle Nazioni del Sud-Est Asiatico (ASEAN).
Evoluzione delle operazioni cibernetiche statali
Le operazioni cibernetiche sponsorizzate dallo stato cinese sono evolute da un furto di proprietà intellettuale su larga scala a un approccio più mirato che supporta obiettivi strategici, economici e geopolitici specifici, come quelli legati all’iniziativa Belt and Road e alle tecnologie critiche. Dal 2021, gruppi sponsorizzati dallo stato cinese sono stati attribuiti allo sfruttamento di 23 vulnerabilità zero-day, inclusi quelli identificati in Microsoft Exchange Server, Solarwinds Serv-U, Sophos Firewall, Fortinet FortiOS, Barracuda Email Security Gateway e Atlassian Confluence Data Center e Server.
Sicurezza Informatica
Guerra cibernetica Ucraina dirama rapporto attacchi Russia
Tempo di lettura: 2 minuti. La Russia intensifica l’uso di malware e cyberattacchi per supportare le operazioni militari in Ucraina nel 2024.
La guerra tra Russia e Ucraina continua a vedere un massiccio utilizzo di attacchi informatici da parte della Russia per supportare le operazioni militari e, secondo il rapporto di metà anno pubblicato dal Servizio Statale di Comunicazioni Speciali e Protezione delle Informazioni dell’Ucraina (SSSCIP), si è registrato un aumento del 90% negli incidenti che coinvolgono infezioni malware rispetto allo stesso periodo del 2023. Mentre i metodi tradizionali come l’email phishing sono sempre più efficacemente contrastati, gli attori delle minacce stanno adottando nuove strategie per bypassare le protezioni e infiltrare malware nei sistemi ucraini.
UAC-0184 e l’uso di app di messaggistica per spionaggio militare
Uno dei casi più significativi del rapporto riguarda il gruppo UAC-0184, un’entità russa nota per le sue attività di cyber-espionaggio. Questo gruppo ha preso di mira il personale militare ucraino utilizzando app di messaggistica come Signal per rubare documenti sensibili. Gli hacker, fingendosi altre persone e avvalendosi di dati personali e numeri di telefono, guadagnano la fiducia delle vittime inviando archivi contenenti file di collegamento che infettano i sistemi una volta aperti.
Questo metodo non si limita solo al furto di informazioni; UAC-0184 utilizza la tecnica per installare malware in grado di concedere il pieno controllo remoto dei computer delle vittime. Gli attacchi sono spesso mascherati da richieste di informazioni, intimidazioni fittizie, promesse di ricompense o trasferimenti a nuove unità, tutte finalizzate a compromettere i dispositivi degli obiettivi.
Attacchi cyber distruttivi su infrastrutture critiche
Un’altra preoccupante tendenza rilevata dal SSSCIP è il rinnovato interesse della Russia verso attacchi cyber distruttivi. Tra i più rilevanti vi è stato il tentativo, nel marzo 2024, di attaccare quasi 20 organizzazioni infrastrutturali energetiche ucraine. Questi attacchi hanno coinvolto una compromissione simultanea di tre catene di approvvigionamento tramite fornitori di servizi condivisi, rendendo difficile la rilevazione e la risposta. L’Ucraina ha attribuito l’attacco a Sandworm (UAC-0002), un gruppo cyber russo responsabile di numerosi attacchi su larga scala, tra cui quelli legati a NotPetya e ai Giochi Olimpici Invernali del 2018.
Gli investigatori hanno trovato prove di diverse varianti malware come LoadGrip e BiasBoat, progettate per muoversi lateralmente attraverso i sistemi di controllo industriale e amplificare l’effetto degli attacchi, sincronizzandosi con attacchi missilistici contro le infrastrutture ucraine.
Malware e tecniche di cyber spionaggio
Il rapporto SSSCIP evidenzia che, nonostante il calo del 90% di incidenti “critici”, la Russia continua a colpire prevalentemente settori governativi e militari in Ucraina. Gli attacchi utilizzano principalmente malware e campagne di phishing, approfittando spesso del fattore umano come anello debole nella catena della sicurezza. Le tecniche di attacco spaziano dalle infezioni tramite SVG (Scalable Vector Graphics), che includono codice dannoso, fino alla diffusione di ransomware e malware come Smokeloader.
Sicurezza Informatica
Le minacce di sicurezza del mese secondo HP Wolf Security
Tempo di lettura: 2 minuti. Il rapporto HP Wolf Security di settembre 2024 evidenzia nuove minacce malware, tra cui l’uso di AI generativa e malvertising per diffondere codice malevolo.
Il rapporto HP Wolf Security Threat Insights di settembre 2024 offre una panoramica dettagliata sulle principali minacce informatiche identificate nel secondo trimestre del 2024. Grazie alla telemetria raccolta da HP Wolf Security, il report evidenzia nuove campagne malware, tendenze emergenti e tecniche utilizzate dai cybercriminali per aggirare le misure di sicurezza e infettare gli endpoint. Scopriamo insieme i punti salienti e le minacce più rilevanti emerse in questo trimestre.
Generative AI e campagne malware in espansione
Un trend preoccupante evidenziato nel rapporto riguarda l’uso sempre più frequente dell’intelligenza artificiale generativa (GenAI) per scrivere codice malevolo. In Q2 2024, il team di HP Threat Research ha identificato una campagna malware che diffondeva AsyncRAT attraverso script VBScript e JavaScript, molto probabilmente scritti con l’ausilio di GenAI.
Questa tecnica rappresenta una sfida crescente per la sicurezza informatica, abbassando la soglia di competenza necessaria per creare malware efficace. L’attività sottolinea come l’intelligenza artificiale stia accelerando lo sviluppo di attacchi, rendendo più facile per i cybercriminali violare endpoint.
Malvertising e ChromeLoader: Minaccia Crescente per i Browser
Un altro punto chiave del rapporto riguarda la crescente diffusione di ChromeLoader, una famiglia di malware che consente agli attaccanti di prendere il controllo delle sessioni di navigazione delle vittime. Nel secondo trimestre del 2024, le campagne di ChromeLoader si sono intensificate e sono diventate più sofisticate, utilizzando il malvertising per attirare gli utenti su siti web che offrivano strumenti di produttività apparentemente innocui, come convertitori PDF. Tuttavia, all’interno di questi siti, i file MSI contenevano codice malevolo nascosto, in grado di bypassare le politiche di sicurezza di Windows grazie a certificati di firma validi.
Malware attraverso immagini SVG
Il rapporto HP Wolf Security evidenzia inoltre un’innovativa tecnica di diffusione malware attraverso i file SVG (Scalable Vector Graphics), utilizzati comunemente nella progettazione grafica. In questa campagna, gli attaccanti hanno abusato delle funzionalità di scripting del formato SVG, incorporando codice JavaScript malevolo all’interno delle immagini. Questo codice ha poi tentato di infettare gli endpoint delle vittime con diversi stealer di informazioni, sfruttando una metodologia non convenzionale per aggirare le misure di sicurezza.
Minacce crescenti e tecniche sofisticate
Il rapporto di settembre 2024 di HP Wolf Security evidenzia come i cybercriminali stiano affinando le loro tecniche per aggirare le difese tradizionali, sfruttando intelligenza artificiale generativa, malvertising e formati di file comunemente considerati sicuri. La crescente sofisticazione degli attacchi sottolinea l’importanza di mantenere aggiornati gli strumenti di sicurezza e di monitorare costantemente l’evoluzione delle minacce.
Sicurezza Informatica
Kaspersky: addio agli usa con UltraAV
Tempo di lettura: 2 minuti. Kaspersky si disinstalla automaticamente dai computer statunitensi, installando UltraAV senza preavviso, come parte del ritiro dal mercato USA.
La società russa di cybersecurity Kaspersky ha iniziato, giovedì scorso, a rimuovere automaticamente il suo software antivirus dai computer degli utenti statunitensi, sostituendolo con l’antivirus UltraAV, senza preavviso. Questa azione arriva dopo che Kaspersky ha deciso di cessare le sue operazioni negli Stati Uniti, in seguito all’inclusione dell’azienda nella Entity List del governo statunitense, a causa di preoccupazioni per la sicurezza nazionale.
Passaggio forzato a UltraAV senza avviso
La transizione a UltraAV è stata avviata come parte del ritiro di Kaspersky dal mercato statunitense, seguendo il divieto di vendita e aggiornamento del software antivirus Kaspersky a partire dal 29 settembre 2024, imposto dall’amministrazione Biden. Tuttavia, molti utenti hanno segnalato che Kaspersky si è disinstallato automaticamente dai loro dispositivi, installando UltraAV senza alcuna notifica preventiva. Alcuni utenti hanno anche scoperto che, dopo aver tentato di disinstallare UltraAV, questo si reinstallava automaticamente al riavvio del sistema, alimentando ulteriori preoccupazioni sulla possibilità di infezioni malware.
In alcuni casi, è stato installato anche UltraVPN, probabilmente a causa di abbonamenti VPN precedentemente attivi con Kaspersky. Gli utenti hanno espresso preoccupazione e confusione, riportando i loro problemi sui forum online, temendo che i loro dispositivi fossero stati compromessi da un virus.
Ruolo di UltraAV e la collaborazione di Kaspersky
Secondo quanto dichiarato, Kaspersky ha collaborato con UltraAV per garantire la continuità della protezione dei propri utenti negli Stati Uniti, evitando interruzioni nel servizio di sicurezza. La decisione è stata giustificata con la necessità di proteggere i clienti da rischi legati alla cybercriminalità, visto che Kaspersky non sarà più in grado di fornire aggiornamenti o supporto dal 30 settembre 2024. Gli utenti interessati sono stati incoraggiati a consultare la pagina dedicata sul sito di UltraAV per ulteriori informazioni su questa transizione forzata.
- Intelligenza Artificiale1 settimana fa
Scoperta rivoluzionaria: molecole trasformano il futuro del calcolo
- Sicurezza Informatica1 settimana fa
Esplosioni di cercapersone in Libano: è guerra cibernetica?
- Inchieste3 giorni fa
Hezbollah, guerra elettronica o cibernetica? Quando accadrà a noi?
- Economia1 settimana fa
GFI Software si affida a CoreTech per il canale in UK
- Sicurezza Informatica4 giorni fa
Iran spia il comitato di Trump e mobilita l’APT UNC1860
- Sicurezza Informatica4 giorni fa
Lazarus continua con offerte di lavoro
- Tech1 settimana fa
Windows 10 Build 19045.4955: nuovi aggiornamenti KB5043131
- Sicurezza Informatica4 giorni fa
FTC denuncia i social media: adolescenti spiati come adulti