Connect with us

Sicurezza Informatica

Malware AsyncRAT mira all’Infrastruttura USA per 11 Mesi

Pubblicato

in data

Tempo di lettura: 2 minuti.

Una campagna che distribuisce il malware AsyncRAT a obiettivi selezionati è stata attiva negli USA per almeno gli ultimi 11 mesi, utilizzando centinaia di campioni di loader unici e più di 100 domini. AsyncRAT è uno strumento di accesso remoto (RAT) open-source per Windows, disponibile pubblicamente dal 2019, con funzioni per l’esecuzione di comandi remoti, keylogging, esfiltrazione di dati e rilascio di payload aggiuntivi.

Il tool è stato ampiamente utilizzato dai criminali informatici negli anni, sia nella sua forma originale sia in forma modificata, per stabilire un punto d’appoggio sul bersaglio, rubare file e dati e distribuire malware aggiuntivo.

I ricercatori di sicurezza di AT&T Alien Labs hanno notato “un picco nelle email di phishing, mirate a individui specifici in determinate aziende” e hanno iniziato a indagare. “Le vittime e le loro aziende sono state attentamente selezionate per ampliare l’impatto della campagna. Alcuni degli obiettivi identificati gestiscono infrastrutture chiave negli Stati Uniti.”

Gli attacchi iniziano con un’email malevola che contiene un allegato GIF che porta a un file SVG, il quale scarica script JavaScript e PowerShell offuscati. Dopo aver superato alcuni controlli anti-sandbox, il loader comunica con il server di comando e controllo (C2) e determina se la vittima è idonea per l’infezione AsyncRAT.

Il sistema anti-sandbox impiegato dal loader coinvolge una serie di verifiche eseguite tramite comandi PowerShell che recuperano dettagli delle informazioni di sistema e calcolano un punteggio che indica se è in esecuzione in una macchina virtuale.

AT&T Alien Labs ha determinato che l’attore della minaccia ha utilizzato 300 campioni unici del loader negli ultimi 11 mesi, ognuno con lievi modifiche nella struttura del codice, offuscamento e nomi e valori delle variabili. Un’altra osservazione dei ricercatori è l’uso di un algoritmo di generazione di domini (DGA) che genera nuovi domini C2 ogni domenica.

I ricercatori non hanno attribuito gli attacchi a un avversario specifico, ma notano che questi “attori della minaccia apprezzano la discrezione”, come indicato dallo sforzo per offuscare i campioni.

Sicurezza Informatica

Transparent Tribe spia l’India nei settori della difesa e dell’aerospazio

Tempo di lettura: 2 minuti. Transparent Tribe prende di mira il governo indiano e i settori della difesa e dell’aerospazio in India con strumenti avanzati di spionaggio

Pubblicato

in data

APT36
Tempo di lettura: 2 minuti.

BlackBerry ha recentemente scoperto che il gruppo di minacce persistenti avanzate (APT) noto come Transparent Tribe (APT36) sta prendendo di mira i settori del governo, della difesa e dell’aerospazio in India. Questa campagna di attacchi, iniziata alla fine del 2023, continua fino ad aprile 2024 e si prevede che persisterà. Transparent Tribe, operante dal Pakistan, ha adattato il proprio arsenale di strumenti e tecniche per colpire obiettivi strategici in India. Utilizzando linguaggi di programmazione multipiattaforma come Python, Golang e Rust, il gruppo ha sviluppato una serie di strumenti malevoli per condurre operazioni di spionaggio contro settori critici per la sicurezza nazionale indiana.

Tecniche e Strumenti Utilizzati

Il gruppo ha utilizzato una varietà di strumenti malevoli, inclusi document stealers basati su Python, script shell offuscati e agenti Poseidon. Una delle nuove aggiunte al loro arsenale è uno strumento di spionaggio “all-in-one” compilato in Golang, capace di trovare ed esfiltrare file, scattare screenshot e eseguire comandi.

Vectore di Attacco

Il vettore di attacco principale utilizzato da Transparent Tribe è il phishing mirato, impiegando archivi ZIP e immagini ISO malevoli. Questi vettori sono stati usati per distribuire file eseguibili dannosi che rubano credenziali e altri dati sensibili.

Infrastruttura di Rete

Transparent Tribe sfrutta vari servizi web per le proprie operazioni, tra cui Telegram, Google Drive e Discord, per il comando e controllo (C2) e l’esfiltrazione di dati. I domini utilizzati per queste operazioni includono piattaforme come Hostinger International Limited, Contabo GmbH e NameCheap, Inc.

Analisi Tecnica

Durante le indagini, sono stati trovati numerosi artefatti che confermano l’attribuzione degli attacchi a Transparent Tribe. Per esempio, un file servito dall’infrastruttura del gruppo impostava la variabile di fuso orario (TZ) su “Asia/Karachi,” indicativa del fuso orario pakistano. Inoltre, è stato scoperto un indirizzo IP remoto associato a un operatore di rete mobile pakistano all’interno di un’email di spear-phishing.

Contesto Geopolitico

Le tensioni tra India e Pakistan sono aumentate negli ultimi anni, con frequenti scontri al confine. La continua evoluzione delle capacità di difesa aerospaziale dell’India ha probabilmente motivato Transparent Tribe a intensificare le operazioni di spionaggio, mirando a guadagnare un vantaggio strategico.

Le attività di Transparent Tribe evidenziano l’importanza di rafforzare le misure di sicurezza informatica nei settori governativi e della difesa come suggerisce nell’analisi BlackBerry. Il gruppo continua a evolversi, utilizzando linguaggi di programmazione multipiattaforma e strumenti offensivi open source per condurre operazioni di spionaggio. Questa attività è destinata a continuare, specialmente in un contesto di crescenti tensioni geopolitiche.

Prosegui la lettura

Sicurezza Informatica

Void Manticore crea malware Bibi per colpire Israele

Tempo di lettura: 2 minuti. Void Manticore, un gruppo di minacce iraniano, intensifica gli attacchi distruttivi contro Israele utilizzando il BiBi wiper.

Pubblicato

in data

Tempo di lettura: 2 minuti.

Void Manticore, un attore di minacce iraniano affiliato al Ministero dell’Intelligence e della Sicurezza (MOIS), è noto per eseguire attacchi di wiping distruttivi combinati con operazioni di influenza. Operando attraverso vari personaggi online, Void Manticore ha condotto attacchi significativi in Israele sotto l’alias “Karma”. Questa analisi esplora le tattiche, le tecniche e le procedure (TTP) utilizzate da Void Manticore e il loro impatto sulle organizzazioni israeliane.

Attività di Void Manticore

Dal novembre 2023, Void Manticore ha intensificato le sue operazioni in Israele, sfruttando un wiping personalizzato chiamato BiBi wiper, nome ispirato al primo ministro israeliano Benjamin Netanyahu. Il gruppo ha mirato a oltre 40 organizzazioni israeliane, utilizzando attacchi di wiping, furto e pubblicazione di dati.

Collaborazione con Scarred Manticore

Le attività di Void Manticore sono strettamente legate a quelle di Scarred Manticore, un altro gruppo iraniano. L’indagine ha rivelato una procedura di passaggio dei bersagli tra i due gruppi, evidenziando una cooperazione coordinata. Scarred Manticore, noto anche come Storm-861, esegue l’accesso iniziale e l’esfiltrazione dei dati, mentre Void Manticore (Storm-842) conduce attacchi distruttivi successivi.

Tecniche e strumenti utilizzati

Void Manticore utilizza metodi relativamente semplici ma efficaci:

  1. Movimenti Laterali: Utilizzano Remote Desktop Protocol (RDP) e altri strumenti pubblicamente disponibili.
  2. Web Shells: Impiegano strumenti come “Karma Shell” per eseguire varie funzioni, tra cui l’elenco delle directory, la creazione di processi, il caricamento di file e l’avvio/arresto dei servizi.
  3. Wipers Personalizzati: Implementano wipers che eliminano file specifici o distruggono le tabelle delle partizioni, causando danni significativi ai sistemi colpiti.

Esempi di Wipers

  • Cl Wiper: Utilizzato in Albania nel 2022, sfrutta un driver legittimo chiamato ElRawDisk per interagire con dischi e partizioni.
  • Partition Wipers: Rimuovono informazioni sulle partizioni, causando crash dei sistemi e inaccessibilità dei dati.
  • BiBi Wiper: Varianti per Linux e Windows, corrompono file con dati casuali e rinominano i file infetti.

Attacchi in Israele

Durante il conflitto Israele-Hamas, Void Manticore ha lanciato vari attacchi contro entità israeliane, utilizzando il BiBi wiper per cancellare dati e causare danni significativi. Le varianti del wiper includono funzioni per cancellare copie shadow, disabilitare il recupero degli errori e corrompere le partizioni del disco.

Implicazioni

Le attività di Void Manticore rappresentano una minaccia significativa per le organizzazioni israeliane, combinando distruzione di dati e guerra psicologica. La collaborazione con Scarred Manticore amplifica l’efficacia degli attacchi, consentendo l’accesso a bersagli di alto valore. La risposta delle organizzazioni di sicurezza deve essere coordinata e proattiva per mitigare tali minacce.

Prosegui la lettura

Sicurezza Informatica

Primo arresto per diffusione CSAM realizzato con AI

Tempo di lettura: 3 minuti. Un uomo è stato raggiunto da un provvedimento giudiziario che rappresenta il primo arresto negli USA per possesso di CSAM generato da AI

Pubblicato

in data

Tempo di lettura: 3 minuti.

Un uomo del Wisconsin è stato arrestato la scorsa settimana con accuse penali relative alla sua presunta produzione, distribuzione e possesso di immagini generate dall’intelligenza artificiale di minori (CSAM) impegnati in comportamenti sessualmente espliciti e al suo trasferimento di immagini simili generate dall’intelligenza artificiale (AI) sessualmente esplicite a un minore.

“La tecnologia può cambiare, ma il nostro impegno nella protezione dei bambini non cambierà”, ha affermato il vice procuratore generale Lisa Monaco. “Il Dipartimento di Giustizia perseguirà in modo aggressivo coloro che producono e distribuiscono materiale pedopornografico – o CSAM – indipendentemente da come tale materiale sia stato creato. In parole povere, il materiale pedopornografico generato dall’intelligenza artificiale è ancora materiale pedopornografico e riterremo responsabili coloro che sfruttano l’intelligenza artificiale per creare immagini di bambini oscene, offensive e sempre più fotorealistiche”.

Secondo i documenti del tribunale, Steven Anderegg, 42 anni, di Holmen, avrebbe utilizzato un modello di intelligenza artificiale generativa (GenAI) text-to-image chiamato Stable Diffusion per creare migliaia di immagini realistiche di minori in età prepuberale. Molte di queste immagini raffiguravano minori nudi o parzialmente vestiti che mostravano o toccavano lascivamente i loro genitali o avevano rapporti sessuali con uomini. Le prove recuperate dai dispositivi elettronici di Anderegg hanno rivelato che ha generato queste immagini utilizzando messaggi di testo specifici e sessualmente espliciti relativi a minori, che ha poi archiviato sul suo computer.

Come affermato, Steven Anderegg ha utilizzato l’intelligenza artificiale per produrre migliaia di immagini illecite di minori in età prepuberale e ha persino inviato immagini sessualmente esplicite generate dall’intelligenza artificiale a un minore“, ha affermato il vice procuratore generale aggiunto Nicole M. Argentieri, capo della divisione penale del Dipartimento di Giustizia. . “L’annuncio di oggi invia un messaggio chiaro: l’uso dell’intelligenza artificiale per produrre rappresentazioni sessualmente esplicite di bambini è illegale e il Dipartimento di Giustizia non esiterà a ritenere responsabile coloro che possiedono, producono o distribuiscono materiale pedopornografico generato dall’intelligenza artificiale”.

Inoltre, Anderegg avrebbe comunicato con un ragazzo di 15 anni e avrebbe descritto come utilizzava la diffusione stabile per convertire i suoi messaggi di testo in immagini di minori. Anderegg avrebbe anche utilizzato un messaggio diretto su Instagram per inviare al ragazzo diverse immagini della GenAI di minorenni che mostravano lascivamente i loro genitali. Anderegg è arrivato all’attenzione delle forze dell’ordine attraverso un CyberTip del Centro nazionale per i bambini scomparsi e sfruttati (NCMEC) dopo che Instagram ha segnalato l’account di Anderegg all’NCMEC per aver distribuito queste immagini.     

Anderegg rimane in custodia federale in attesa dell’udienza di detenzione prevista per il 22 maggio. Un gran giurì federale nel distretto occidentale del Wisconsin ha restituito un atto d’accusa il 15 maggio accusando Anderegg di aver prodotto, distribuito e posseduto rappresentazioni visive oscene di minori coinvolti in comportamenti sessualmente espliciti e di aver trasferito materiale osceno a un minore di età inferiore ai 16 anni. In caso di condanna di tutti e quattro i capi di imputazione, rischia una pena massima prevista dalla legge di 70 anni di carcere e un minimo obbligatorio di cinque anni di carcere.

La Divisione di Investigazione Penale del Dipartimento di Giustizia del Wisconsin sta indagando sul caso. L’avvocato William G. Clayman della Sezione sfruttamento minorile e oscenità (CEOS) della Divisione Criminale sta portando avanti il ​​caso con l’assistenza dell’Ufficio del Procuratore degli Stati Uniti per il Distretto Occidentale del Wisconsin.

Questo caso è stato presentato come parte del Progetto Safe Childhood, un’iniziativa nazionale per combattere l’epidemia di sfruttamento e abuso sessuale sui minori, lanciata nel maggio 2006 dal Dipartimento di Giustizia. Guidato dagli uffici dei procuratori statunitensi e dal CEOS, Project Safe Childhood mobilita le risorse federali, statali e locali per individuare, arrestare e perseguire meglio le persone che sfruttano i bambini tramite Internet, nonché per identificare e salvare le vittime.

Un atto d’accusa è semplicemente un’accusa. Tutti gli imputati sono presunti innocenti fino a prova contraria oltre ogni ragionevole dubbio in un tribunale.

Accusa

Nota del governo a sostegno della detenzione

Prosegui la lettura

Facebook

CYBERSECURITY

Arc Browser Arc Browser
Sicurezza Informatica1 giorno fa

Attenzione al “falso” Browser Arc: malvertising in corso

Tempo di lettura: 2 minuti. Il browser Arc, sviluppato da The Browser Company, ha recentemente guadagnato popolarità grazie alle recensioni...

GitLab logo GitLab logo
Sicurezza Informatica3 giorni fa

Vulnerabilità ad alta gravità in GitLab permette controllo Account

Tempo di lettura: 2 minuti. GitLab corregge una vulnerabilità XSS ad alta gravità che permette agli attaccanti di prendere il...

Sicurezza Informatica3 giorni fa

Shrinklocker abusa di BitLocker per la cifratura dei dati

Tempo di lettura: 2 minuti. Il ransomware ShrinkLocker sta abusando di BitLocker per cifrare i dati e chiedere riscatti, e...

Sicurezza Informatica3 giorni fa

Google risolve l’ottavo Zero-Day di Chrome nel 2024

Tempo di lettura: 3 minuti. Google risolve l'ottavo zero-day di Chrome del 2024 con una patch di sicurezza: scopri l'importanza...

Sicurezza Informatica5 giorni fa

GHOSTENGINE: nuova minaccia cryptomining invisibile

Tempo di lettura: 2 minuti. Elastic Security Labs rivela GHOSTENGINE, un set di intrusioni sofisticato progettato per eseguire attività di...

Sicurezza Informatica6 giorni fa

Zoom avrà la crittografia Post-Quantum End-to-End

Tempo di lettura: 2 minuti. Zoom introduce la crittografia end-to-end post-quantum per Zoom Meetings, migliorando la sicurezza contro le minacce...

Sicurezza Informatica6 giorni fa

SolarMarker minaccia informatica costante dal 2021

Tempo di lettura: 2 minuti. SolarMarker utilizza un'infrastruttura multi-tier e tecniche di elusione avanzate per evitare il rilevamento e colpire...

Sicurezza Informatica6 giorni fa

Chrome risolve problema e CISA pubblica Avvisi ICS e vulnerabilità

Tempo di lettura: 2 minuti. Google rilascia una correzione per Chrome per risolvere il problema delle pagine vuote. CISA pubblica...

Sicurezza Informatica6 giorni fa

CLOUD#REVERSER: Attacco Malware sofisticato basato su Cloud

Tempo di lettura: 2 minuti. CLOUD#REVERSER: malware distribuito attraverso i servizi cloud sfrutta il trucco dell'Unicode per ingannare gli utenti

QNAP QTS QNAP QTS
Sicurezza Informatica7 giorni fa

QNAP QTS: Vulnerabilità di Sicurezza CVE-2024-27130

Tempo di lettura: 2 minuti. Scoperte vulnerabilità nel sistema operativo QNAP QTS, inclusa CVE-2024-27130 che permette l'esecuzione di codice remoto.

Truffe recenti

Inchieste5 giorni fa

Mazarsiu e Temunao: non solo truffa, ma un vero metodo

Tempo di lettura: 4 minuti. Le inchieste su Temunao e Marasiu hanno attivato tante segnalazioni alla redazione di persone che...

Pharmapiuit.com Pharmapiuit.com
Inchieste1 settimana fa

Pharmapiuit.com : sito truffa online dal 2023

Tempo di lettura: 2 minuti. Pharmapiuit.com è l'ultimo sito truffa ancora online di una serie di portali che promettono forti...

Temunao.Top Temunao.Top
Inchieste1 settimana fa

Temunao.Top: altro sito truffa che promette lavoro OnLine

Tempo di lettura: 2 minuti. Temunao.top è l'ennesimo sito web truffa che promette un premio finale a coloro che effettuano...

Inchieste1 settimana fa

Attenti a Mazarsiu.com : offerta lavoro truffa da piattaforma Adecco

Tempo di lettura: 2 minuti. Dalla piattaforma Adecco ad un sito che offre lavoro attraverso le Google Ads: è la...

Sicurezza Informatica3 settimane fa

BogusBazaar falsi e-commerce usati per una truffa da 50 milioni

Tempo di lettura: 2 minuti. Oltre 850,000 persone sono state ingannate da una rete di 75,000 falsi negozi online, con...

Sicurezza Informatica3 settimane fa

Truffatori austriaci scappano dagli investitori, ma non dalla legge

Tempo di lettura: 2 minuti. Le forze dell'ordine hanno smascherato e arrestato un gruppo di truffatori austriaci dietro una frode...

Shein Shein
Truffe online2 mesi fa

Truffa dei buoni SHEIN da 300 euro, scopri come proteggerti

Tempo di lettura: < 1 minuto. La truffa dei buoni SHEIN da 300 euro sta facendo nuovamente vittime in Italia,...

OSINT2 mesi fa

USA interviene per recuperare 2,3 Milioni dai “Pig Butchers” su Binance

Tempo di lettura: 2 minuti. Il Dipartimento di Giustizia degli USA interviene per recuperare 2,3 milioni di dollari in criptovalute...

dimarcoutletfirenze sito truffa dimarcoutletfirenze sito truffa
Inchieste3 mesi fa

Truffa dimarcoutletfirenze.com: merce contraffatta e diversi dalle prenotazioni

Tempo di lettura: 2 minuti. La segnalazione alla redazione di dimarcoutletfirenze.com si è rivelata puntuale perchè dalle analisi svolte è...

sec etf bitcoin sec etf bitcoin
Economia5 mesi fa

No, la SEC non ha approvato ETF del Bitcoin. Ecco perchè

Tempo di lettura: 3 minuti. Il mondo delle criptovalute ha recentemente assistito a un evento senza precedenti: l’account Twitter ufficiale...

Tech

Redmi Note 13R Pro Redmi Note 13R Pro
Smartphone19 minuti fa

Redmi Note 14 Series: prime anticipazioni su display e chipset

Tempo di lettura: < 1 minuto. Prime indiscrezioni sulla serie Redmi Note 14: display AMOLED 1.5K e chipset Snapdragon 7s...

Smartphone2 ore fa

Samsung Galaxy S25 Ultra: anticipazioni su fotocamere

Tempo di lettura: 2 minuti. Trapelate le specifiche della fotocamera del Samsung Galaxy S25 Ultra: 200MP principale, 50MP ultrawide e...

Motorola Razr 50 Ultra Motorola Razr 50 Ultra
Smartphone2 ore fa

Motorola Razr 2024: Design e Specifiche tecniche rivelate su TENAA

Tempo di lettura: 2 minuti. Scopri design e specifiche tecniche del Motorola Razr 2024 rivelate su TENAA. Innovazioni nel display...

Linux 6.10 Linux 6.10
Tech3 ore fa

Linus Torvalds annuncia la prima Release Candidate del kernel Linux 6.10

Tempo di lettura: 2 minuti. Linus Torvalds annuncia la prima Release Candidate del kernel Linux 6.10. Scopri le nuove funzionalità...

Honor Magic 6 Pro Honor Magic 6 Pro
Smartphone3 ore fa

Honor Magic 6 Pro: specifiche tecniche

Tempo di lettura: 2 minuti. Scopri specifiche e bundle regalo dell'Honor Magic 6 Pro su Amazon India. Smartphone potente con...

Il Nothing Phone (2a) rosso e giallo è in arrivo Il Nothing Phone (2a) rosso e giallo è in arrivo
Smartphone12 ore fa

Il Nothing Phone (2a) rosso e giallo è in arrivo

Tempo di lettura: 2 minuti. Nothing Phone (2a) introduce nuove opzioni di colore rosso e giallo, aggiungendo varietà estetica alle...

Google Find My Device Google Find My Device
Tech12 ore fa

Tracker per Android “Find My Device” spediti in 2-4 Settimane

Tempo di lettura: 2 minuti. I tracker simili agli AirTag per Android iniziano a spedire questa settimana. Pebblebee promette spedizioni...

Google AI Overviews Google AI Overviews
Intelligenza Artificiale12 ore fa

Google AI Overview ha le allucinazioni: quale sarà il suo futuro?

Tempo di lettura: 2 minuti. Google AI Overview fornisce risposte AI con errori pericolosi. Google sta lavorando per migliorare la...

Xai logo Xai logo
Intelligenza Artificiale17 ore fa

xAI: ‘Gigafactory of Compute’ con 100.000 GPU Nvidia H100

Tempo di lettura: 2 minuti. xAI di Elon Musk costruirà un supercomputer 'Gigafactory of Compute' con 100.000 GPU Nvidia H100...

Ios 18 Ios 18
Tech17 ore fa

Apple introduce la Personalizzazione delle Icone delle App con iOS 18

Tempo di lettura: 2 minuti. iOS 18 introdurrà personalizzazione delle icone delle app, permettendo agli utenti di cambiare i colori...

Tendenza