Sicurezza Informatica
APT28 attacchi di alto profilo con NTLM Relay
Soldati sponsorizzati dallo stato russo, identificati come APT28, hanno messo in atto sofisticate tecniche di attacco attraverso il relay di hash NTLM v2 da aprile 2022 a novembre 2023, prendendo di mira organizzazioni di alto profilo a livello globale. Questi attacchi si concentrano su enti che operano in settori cruciali come gli affari esteri, l’energia, la difesa e i trasporti, oltre a organizzazioni legate al lavoro, al benessere sociale, alle finanze, alla genitorialità e ai consigli comunali locali.
La cybersecurity firm Trend Micro ha valutato questi tentativi di intrusione come un metodo “economicamente efficiente” per automatizzare i tentativi di forzatura bruta per accedere alle reti delle organizzazioni target. È possibile che l’adversario abbia compromesso migliaia di account email nel tempo.
APT28, conosciuto anche con altri nomi come Blue Athena, BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (precedentemente noto come Strontium), FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy e TA422, è attivo dal 2009 ed è operato dal servizio di intelligence militare russo GRU. Il gruppo ha una storia di orchestrazione di attacchi spear-phishing contenenti allegati malevoli o compromessi web strategici per attivare le catene di infezione.
In particolare, APT28 è stato implicato in attacchi che sfruttavano vulnerabilità corrette nei dispositivi di rete Cisco per condurre attività di ricognizione e distribuire malware contro obiettivi selezionati. Nel dicembre dello scorso anno, il gruppo ha attirato l’attenzione per aver sfruttato una vulnerabilità di escalation dei privilegi in Microsoft Outlook e WinRAR per accedere all’hash Net-NTLMv2 di un utente e usarlo per eseguire un attacco NTLM Relay contro un altro servizio per autenticarsi come l’utente.
APT28 ha utilizzato esche legate al conflitto in corso tra Israele e Hamas per facilitare la consegna di un backdoor personalizzato chiamato HeadLace, colpendo entità governative ucraine e organizzazioni polacche con messaggi di phishing progettati per distribuire backdoor e software per il furto di informazioni come OCEANMAP, MASEPIE e STEELHOOK.
Il gruppo continua a migliorare il proprio playbook operativo, affinando e adattando i propri approcci per evitare il rilevamento, inclusa l’aggiunta di strati di anonimizzazione come servizi VPN, Tor, indirizzi IP di data center e router EdgeOS compromessi per eseguire attività di scansione e sondaggio.
Sicurezza Informatica
“SloppyLemmings” e le campagne di cyber spionaggio in Asia del Sud
Tempo di lettura: 3 minuti. L’APT SloppyLemmings sta conducendo campagne di cyber spionaggio nel Sud Asia: tecniche di attacco e come proteggersi da queste minacce.
Il recente report di Cloudflare sulla minaccia “SloppyLemmings” rivela dettagli cruciali sulle operazioni di cyber spionaggio condotte da questo gruppo di hacker nel Sud Asia. Le campagne di attacco mirano principalmente a organizzazioni governative, settori delle telecomunicazioni, infrastrutture critiche e istituti di ricerca di diversi Paesi della regione, con l’obiettivo di raccogliere informazioni sensibili. In questo articolo analizzeremo le tattiche e le tecniche utilizzate da SloppyLemmings, così come le implicazioni di queste operazioni sulla sicurezza informatica della regione.
Chi è SloppyLemmings?
SloppyLemmings è un gruppo di attori malevoli che si concentrano su operazioni di spionaggio informatico, sfruttando vulnerabilità di sistemi e infrastrutture tecnologiche. Sebbene non siano ancora del tutto chiari i loro obiettivi a lungo termine, sembra che il gruppo sia interessato principalmente a ottenere informazioni sensibili e a monitorare le attività delle istituzioni governative e delle aziende tecnologiche di rilievo nel Sud Asia.
Secondo il report di Cloudflare, SloppyLemmings utilizza una serie di tecniche avanzate per infiltrarsi nelle reti delle vittime. Le tattiche includono phishing mirato, sfruttamento di vulnerabilità note e attacchi di spear-phishing, attraverso cui il gruppo riesce a ottenere l’accesso iniziale ai sistemi delle vittime. Una volta ottenuto l’accesso, SloppyLemmings utilizza malware personalizzati per muoversi lateralmente attraverso la rete, raccogliendo informazioni e dati sensibili.
Tecniche di attacco di SloppyLemmings
SloppyLemmings si distingue per la capacità di adattare le sue tecniche di attacco in base al profilo della vittima e al contesto regionale. Ad esempio, spesso gli attacchi si concentrano su sistemi meno sicuri o non aggiornati, sfruttando vulnerabilità note ma non ancora risolte dalle organizzazioni colpite. Il gruppo utilizza inoltre tecniche di offuscamento per mascherare le sue attività, rendendo difficile l’identificazione dei suoi movimenti all’interno delle reti compromesse.
Tra le tecniche più comuni utilizzate da SloppyLemmings troviamo:
- Phishing e Spear-Phishing: Invio di email fraudolente altamente personalizzate per indurre il personale delle organizzazioni vittime a fornire credenziali di accesso o a installare malware sui propri dispositivi.
- Exploitation di Vulnerabilità: Sfruttamento di punti deboli nei sistemi software e hardware delle organizzazioni, specialmente nei sistemi con patch di sicurezza non aggiornate.
- Uso di Malware Personalizzato: Distribuzione di malware progettati per raccogliere dati specifici, monitorare le attività della rete e mantenere un accesso persistente ai sistemi compromessi.
Obiettivi di SloppyLemmings nel Sud Asia
Le attività di SloppyLemmings sono state rilevate principalmente nei Paesi del Sud Asia, tra cui India, Pakistan, Bangladesh, Sri Lanka e Afghanistan. Gli attacchi sono stati diretti principalmente contro enti governativi, agenzie di intelligence, istituzioni militari e fornitori di servizi di telecomunicazione. Questo indica che il gruppo ha un forte interesse nel monitorare le attività politiche, militari e commerciali della regione.
Gli attacchi di SloppyLemmings sembrano essere coordinati e mirati, con una forte enfasi sull’ottenere accesso a informazioni di valore strategico. La capacità del gruppo di muoversi in modo furtivo all’interno delle reti compromesse ha permesso loro di raccogliere dati sensibili senza essere rilevati per periodi prolungati.
Come difendersi dalle minacce di SloppyLemmings
La crescente attività di SloppyLemmings mette in luce l’importanza di adottare misure di sicurezza avanzate per proteggere le infrastrutture informatiche. Le organizzazioni nel Sud Asia e altrove possono seguire una serie di pratiche di sicurezza per difendersi da queste minacce:
- Aggiornamento delle Patch di Sicurezza: Mantenere tutti i sistemi software e hardware aggiornati con le ultime patch di sicurezza per prevenire l’exploit di vulnerabilità note.
- Implementazione di Strumenti Anti-Phishing: Utilizzare soluzioni di sicurezza avanzate per rilevare e bloccare tentativi di phishing e spear-phishing.
- Monitoraggio e Analisi delle Reti: Eseguire un monitoraggio costante delle attività di rete per individuare eventuali comportamenti anomali che potrebbero indicare un’intrusione.
- Formazione del Personale: Educare i dipendenti sulle tecniche di phishing e sulle pratiche di sicurezza informatica per ridurre il rischio di accessi non autorizzati.
Minaccia in continua evoluzione
Le attività di SloppyLemmings, individuate da Cloudflare, rappresentano un crescente rischio per la sicurezza informatica nella regione del Sud Asia. La loro capacità di adattarsi a diversi contesti e sfruttare vulnerabilità meno conosciute rende questo gruppo una minaccia difficile da individuare e fermare. È essenziale che le organizzazioni implementino misure di sicurezza proattive per prevenire queste incursioni e proteggere le proprie informazioni sensibili.
Sicurezza Informatica
Salt Typhoon infiltra spie cinesi negli ISP degli Stati Uniti
Tempo di lettura: 2 minuti. Gli attacchi cyber cinesi di Salt Typhoon e le infiltrazioni nelle infrastrutture di rete degli Stati Uniti mettono in luce la crescente minaccia alla cybersecurity globale e la necessità di rafforzare le misure di sicurezza.
Le crescenti tensioni globali hanno evidenziato il ruolo critico della cybersecurity. Due recenti episodi hanno portato sotto i riflettori l’attività dei cyber-spie cinesi: il gruppo Salt Typhoon, noto anche come “Bronze Riverside” o “APT“, e l’infiltrazione dei servizi di rete negli Stati Uniti. Entrambe le vicende sottolineano i rischi legati alla cybersecurity e le tecniche avanzate utilizzate dagli hacker cinesi per condurre attacchi mirati.
Salt Typhoon: nuovo APT Cinese sotto i riflettori
Salt Typhoon è un gruppo avanzato di cyber-spie legate alla Cina, recentemente individuato come responsabile di campagne di spionaggio a livello globale. Le loro operazioni sembrano focalizzarsi su istituzioni governative, aziende tecnologiche e organizzazioni no-profit, con un’attenzione particolare ai paesi occidentali. Il loro modus operandi si basa su attacchi mirati di spionaggio e raccolta di informazioni sensibili, impiegando sofisticate tecniche di intrusione per aggirare i sistemi di sicurezza e sottrarre dati strategici.
Le operazioni di Salt Typhoon sono state rilevate principalmente attraverso l’utilizzo di malware personalizzati e tecniche di spear-phishing. Una delle tattiche più comuni utilizzate dal gruppo è quella di sfruttare vulnerabilità conosciute ma non ancora risolte nei sistemi informatici delle vittime. Questo approccio permette loro di installare malware e ottenere accesso remoto ai dispositivi compromessi, riuscendo così a raccogliere informazioni e dati preziosi.
Le agenzie di sicurezza, tra cui Microsoft, hanno lanciato l’allarme su questo gruppo, sottolineando la necessità di aggiornamenti regolari e l’implementazione di misure di sicurezza robuste per prevenire questi attacchi. Il governo cinese ha sempre negato qualsiasi coinvolgimento nelle attività di hacking, ma le evidenze raccolte suggeriscono che queste operazioni facciano parte di una più ampia strategia di spionaggio cyber da parte della Cina.
Infiltrazioni nelle infrastrutture Internet degli Stati Uniti
In un altro caso di attacco cyber legato alla Cina, un gruppo di hacker sponsorizzato dallo stato cinese è riuscito a infiltrarsi nelle infrastrutture di rete di importanti provider negli Stati Uniti. Questo attacco, descritto come un tentativo sistematico di compromettere i servizi internet e le reti di comunicazione, ha messo in luce le debolezze delle infrastrutture critiche nazionali.
Gli hacker cinesi sono riusciti ad accedere a sistemi di rete sensibili, sfruttando vulnerabilità presenti nei dispositivi di rete e nei firewall. Queste infiltrazioni hanno dato loro la possibilità di monitorare il traffico di rete, intercettare comunicazioni e, potenzialmente, interrompere o manipolare i dati che attraversano queste reti. La preoccupazione principale riguarda l’accesso a informazioni sensibili, comprese quelle legate alla sicurezza nazionale e alle comunicazioni governative.
L’attacco ha evidenziato la necessità di una maggiore attenzione alla sicurezza delle infrastrutture di rete, in particolare per quanto riguarda l’implementazione di aggiornamenti di sicurezza tempestivi e la gestione di eventuali vulnerabilità. Le autorità statunitensi hanno sottolineato l’importanza di un coordinamento tra settore pubblico e privato per rafforzare la resilienza cyber delle infrastrutture critiche.
Panorama Cyber sempre più complesso
Entrambi gli episodi sottolineano come la cybersecurity sia una componente sempre più essenziale per la sicurezza nazionale e internazionale. Gli attacchi da parte di hacker cinesi, come quelli condotti da Salt Typhoon e altri gruppi APT, evidenziano l’importanza di una difesa cyber avanzata e coordinata per proteggere dati sensibili e infrastrutture critiche.
Sicurezza Informatica
Cisco, vulnerabilità Denial of Service: cosa fare?
Tempo di lettura: 2 minuti. Cisco ha pubblicato diversi avvisi di vulnerabilità legate a Denial of Service su dispositivi IOS XE e Catalyst.
Recentemente, Cisco ha pubblicato diversi avvisi di sicurezza riguardanti vulnerabilità che coinvolgono vari componenti e software della sua infrastruttura, in particolare legati a problemi di Denial of Service (DoS). Questi problemi rappresentano una minaccia significativa per la stabilità delle reti aziendali e devono essere affrontati tempestivamente attraverso l’implementazione di patch e aggiornamenti. Vediamo nel dettaglio i principali avvisi pubblicati.
Cisco IOS XE: Vulnerabilità di Denial of Service tramite Frammentazione IPv4
Una vulnerabilità è stata scoperta nel sistema Cisco IOS XE legata alla ricomposizione dei frammenti IPv4. Questa vulnerabilità potrebbe consentire a un attaccante remoto di esaurire le risorse del dispositivo, provocando un’interruzione dei servizi e rendendo il sistema incapace di elaborare nuovi pacchetti IP. Questa falla, denominata CVE-2024-20860, riguarda dispositivi che eseguono una specifica versione del software IOS XE. Cisco raccomanda un aggiornamento immediato per mitigare il rischio.
Cross-Site Request Forgery (CSRF) nell’interfaccia Web di Cisco IOS XE
Un’altra vulnerabilità critica risiede nell’interfaccia Web di Cisco IOS XE, dove un attaccante potrebbe sfruttare una falla di Cross-Site Request Forgery (CSRF). Questa vulnerabilità potrebbe consentire l’esecuzione di azioni non autorizzate nel contesto della sessione di amministrazione, qualora l’amministratore sia indotto a visitare un sito web malevolo. L’aggiornamento del software è essenziale per prevenire tali attacchi.
Denial of Service nei router SD-WAN Catalyst
Nel software dei router Cisco Catalyst SD-WAN, una vulnerabilità può essere sfruttata per causare un Denial of Service. Il problema si verifica durante la gestione del traffico SD-WAN, dove un pacchetto appositamente costruito può interrompere la normale operatività del dispositivo. Questo tipo di vulnerabilità, se non risolto, potrebbe avere un impatto significativo sulle reti aziendali che utilizzano la tecnologia SD-WAN per il routing e la gestione del traffico.
Protocollo RSVP: Vulnerabilità Denial of Service in Cisco IOS e IOS XE
Anche il Protocollo di Prenotazione delle Risorse (RSVP) in Cisco IOS e IOS XE è soggetto a una vulnerabilità che può portare a un Denial of Service. In questo caso, un attaccante potrebbe inviare pacchetti RSVP malevoli per esaurire le risorse del router o del dispositivo di rete, bloccando l’elaborazione di ulteriori richieste.
Denial of Service nel Protocollo Multicast Indipendente
Nel software Cisco IOS XE, è stato rilevato un problema di Denial of Service legato al Protocollo Multicast Indipendente (PIM). Un attaccante potrebbe sfruttare questa vulnerabilità inviando pacchetti multicast malformati, compromettendo così l’integrità del dispositivo e provocando un’interruzione temporanea dei servizi multicast.
Vulnerabilità negli Edge Node di Cisco SD-Access
Un’altra vulnerabilità riguarda i nodi SD-Access Fabric Edge. L’exploit di questa falla potrebbe consentire a un attaccante remoto di provocare un Denial of Service attraverso l’invio di pacchetti manipolati, impedendo al dispositivo di elaborare correttamente il traffico di rete.
Denial of Service nel server HTTP di Cisco IOS XE
Il server HTTP presente nei dispositivi Cisco IOS XE utilizzati per i servizi di telefonia potrebbe essere vulnerabile a un attacco DoS. La vulnerabilità, legata alla gestione delle richieste HTTP, può portare a un blocco completo del servizio, influenzando la gestione delle chiamate.
Vulnerabilità nelle chiavi SSH di Cisco Catalyst Center
Infine, Cisco ha segnalato una vulnerabilità nel Cisco Catalyst Center, relativa all’uso di chiavi SSH statiche. Un attaccante che riuscisse a ottenere l’accesso alle chiavi statiche potrebbe compromettere la sicurezza del sistema, rendendo vulnerabile l’intera rete.
Questi avvisi di sicurezza di Cisco evidenziano la necessità di aggiornamenti tempestivi per mitigare le numerose vulnerabilità scoperte. Le aziende devono agire prontamente per evitare exploit e garantire la continuità operativa delle loro reti, implementando le patch di sicurezza fornite da Cisco.
- Sicurezza Informatica1 settimana fa
Esplosioni di cercapersone in Libano: è guerra cibernetica?
- Inchieste4 giorni fa
Hezbollah, guerra elettronica o cibernetica? Quando accadrà a noi?
- Sicurezza Informatica6 giorni fa
Iran spia il comitato di Trump e mobilita l’APT UNC1860
- Inchieste2 giorni fa
Metaverso Politico: Meloni è la regina del dibattito social
- Sicurezza Informatica5 giorni fa
Lazarus continua con offerte di lavoro
- Tech1 settimana fa
Windows 10 Build 19045.4955: nuovi aggiornamenti KB5043131
- Sicurezza Informatica5 giorni fa
FTC denuncia i social media: adolescenti spiati come adulti
- Sicurezza Informatica1 settimana fa
23andMe paga 30 milioni per risolvere causa databreach