Connect with us

Sicurezza Informatica

La Corea del Nord continua a guadagnare miliardi di dollari dagli attacchi cibernetici

Pubblicato

in data

Tempo di lettura: 3 minuti.

La guerra cibernetica di Lazarus group ha fruttato miliardi di dollari nonostante l’incasso non è terminato perchè la Corea del Nord sta continuando a rubare centinaia di milioni di dollari da istituzioni finanziarie e imprese e scambi di criptovalute, denaro illecito che è una fonte importante di finanziamento per i suoi programmi nucleari e missilistici, gli esperti delle Nazioni Unite hanno riferito in un rapporto. Il gruppo di esperti sostiene che secondo un governo senza nome, i “cyber-attori nordcoreani hanno rubato più di 50 milioni di dollari tra il 2020 e la metà del 2021 da almeno tre scambi di criptovalute in Nord America, Europa e Asia, probabilmente riflettendo uno spostamento per diversificare le sue operazioni di criminalità informatica“.

I cyber-attori del Nord hanno rubato un totale di 400 milioni di dollari di criptovalute attraverso sette intrusioni in scambi di criptovalute e società di investimento dove “hanno fatto uso di esche di phishing, exploit di codice, malware e ingegneria sociale avanzata per trafugare i fondi dai portafogli ‘caldi’ di queste organizzazioni connessi a internet in indirizzi controllati dalla Repubblica Democratica Popolare di Corea“. I fondi in criptovaluta rubati dagli attori informatici “passano attraverso un attento processo di riciclaggio di denaro per essere incassati“, ha detto il gruppo di esperti che controlla le sanzioni sulla Corea del Nord nel rapporto al Consiglio di sicurezza delle Nazioni Unite.

Solo dal 2019 al 2020 il “furto totale di beni virtuali della Corea del Nord è valutato circa 316,4 milioni di dollari”.

Nel riassunto esecutivo del nuovo rapporto, gli esperti hanno detto che la Corea del Nord ha continuato a sviluppare i suoi programmi nucleari e di missili balistici.

Anche se non sono stati riportati test nucleari o lanci di ICBM, la DPRK ha continuato a sviluppare la sua capacità di produzione di materiali fissili nucleari“, ha detto il pannello. Questi materiali fissili – uranio o plutonio – sono cruciali per una reazione nucleare.

Gli esperti hanno notato “una marcata accelerazione” dei lanci missilistici nordcoreani fino a gennaio, che hanno utilizzato una varietà di tecnologie e armi. Gli esperti hanno detto che la Corea del Nord “ha continuato a cercare materiale, tecnologia e know-how per questi programmi all’estero, anche attraverso mezzi informatici e ricerca scientifica congiunta“.

Un anno fa, il gruppo ha detto che la Corea del Nord ha modernizzato le sue armi nucleari e i missili balistici ostentando le sanzioni delle Nazioni Unite, usando i cyberattacchi per aiutare a finanziare i suoi programmi e continuando a cercare materiale e tecnologia oltreoceano per il suo arsenale, anche in Iran.

I cyberattacchi, in particolare sui beni di criptovaluta, rimangono un’importante fonte di reddito” per il governo di Kim Jong Un, hanno detto gli esperti che monitorano l’attuazione delle sanzioni contro il Nord nel nuovo rapporto.

Oltre ai suoi recenti lanci, la Corea del Nord ha minacciato di revocare la sua moratoria di quattro anni sui test di armi più gravi, come esplosioni nucleari e lanci di missili balistici intercontinentali.

Il Consiglio di Sicurezza ha inizialmente imposto sanzioni alla Corea del Nord dopo l’esplosione del suo primo test nucleare nel 2006 e le ha inasprite in risposta a ulteriori test nucleari e ai sempre più sofisticati programmi nucleari e di missili balistici del paese.

Il gruppo di esperti sostiene anche che il blocco della Corea del Nord volto a prevenire COVID-19 ha portato a “livelli storicamente bassi” di persone e merci che entrano ed escono dal paese. Il commercio legale e illegale, compresi i beni di lusso, “è in gran parte cessato“, anche se il traffico ferroviario transfrontaliero è ripreso all’inizio di gennaio, ha detto.

Il rapporto ha chiarito che la Corea del Nord rimane in grado di eludere le sanzioni e di importare illecitamente petrolio raffinato, accedere ai canali bancari internazionali e svolgere “attività informatiche dannose“.

Le sanzioni delle Nazioni Unite vietano le esportazioni di carbone nordcoreano, sebbene risulta che le esportazioni di carbone via mare siano aumentate nella seconda metà del 2021, “erano ancora a livelli relativamente bassi e nello stesso periodo la quantità di importazioni illecite di petrolio raffinato è aumentata bruscamente nello stesso periodo, ma a un livello molto più basso rispetto agli anni precedenti“. Sembrerebbe che la Corea del Nord continua anche a eludere le sanzioni marittime “attraverso reti finanziarie e di proprietà deliberatamente offuscate“.

Sicurezza Informatica

APT Nordcoreane aggiornano malware BeaverTail per MacOS

Pubblicato

in data

Tempo di lettura: 2 minuti.

Recentemente, sono stati scoperti aggiornamenti significativi al malware BeaverTail, utilizzato dalle APT nordcoreane per condurre campagne di cyber spionaggio. Questo malware è stato rilevato in un file immagine per macOS, denominato “MiroTalk.dmg”, che imita il servizio di videochiamate legittimo MiroTalk, ma serve a distribuire una variante nativa di BeaverTail.

Dettagli dell’Infezione

Il malware BeaverTail, originariamente documentato come un malware stealer JavaScript da Palo Alto Networks nel 2023, è stato ora aggiornato per includere funzionalità native per macOS. Questo aggiornamento è stato rilevato da Patrick Wardle, un ricercatore di sicurezza, che ha analizzato il file immagine “MiroTalk.dmg” non firmato.

L’infezione avviene attraverso un’app trojanizzata di nome “MiroTalk”, che una volta eseguita, tenta di esfiltrare dati sensibili dai browser web, portafogli di criptovalute e dal portachiavi di iCloud. Inoltre, è progettata per scaricare ed eseguire ulteriori script Python dal server remoto, come il backdoor InvisibleFerret.

Analisi Tecnica di MiroTalk.dmg

L’analisi statica del file immagine ha rivelato che il malware raccoglie informazioni sensibili da browser come Google Chrome, Brave e Opera, e tenta di esfiltrare questi dati al server di comando e controllo 95.164.17.24. Il malware cerca anche di scaricare ed eseguire ulteriori payload Python, come InvisibleFerret, per mantenere l’accesso remoto persistente.

Wardle ha sottolineato che, nonostante le tecniche di hacking nordcoreane si basino spesso sull’ingegneria sociale, sono comunque molto efficaci. Ha anche menzionato l’uso di strumenti open-source come BlockBlock e LuLu, che possono aiutare a bloccare queste minacce anche senza una conoscenza preliminare.

Campagne di Phishing e altre attività maligne

Il malware BeaverTail è stato distribuito in passato attraverso pacchetti npm falsi ospitati su GitHub e il registro npm, ma le ultime scoperte indicano un cambiamento nel vettore di distribuzione. Gli hacker nordcoreani hanno probabilmente invitato le vittime a partecipare a incontri di assunzione scaricando e eseguendo una versione infetta di MiroTalk ospitata su mirotalk[.]net.

Inoltre, Phylum ha recentemente scoperto un nuovo pacchetto npm malevolo denominato call-blockflow, sospettato di essere opera del gruppo Lazarus, collegato alla Corea del Nord. Questo pacchetto, quasi identico al legittimo call-bind, incorpora funzionalità per scaricare file binari remoti, eseguirli e poi coprire le tracce cancellando e rinominando i file.

Gli hacker nordcoreani continuano a rappresentare una minaccia significativa per gli utenti macOS, utilizzando tecniche sofisticate e social engineering per distribuire malware come BeaverTail. Gli utenti sono invitati a rimanere vigili e utilizzare strumenti di sicurezza adeguati per proteggere i propri sistemi.

Prosegui la lettura

Sicurezza Informatica

FIN7: nuovi attacchi e strumenti automatizzati

Pubblicato

in data

Tempo di lettura: 3 minuti.

FIN7, noto gruppo di cybercriminali, continua a evolversi e rafforzare le sue operazioni con nuovi bypass EDR (Endpoint Detection and Response) e attacchi automatizzati. Originario della Russia e attivo dal 2012, il gruppo ha causato ingenti perdite finanziarie in vari settori industriali. Negli ultimi anni, ha spostato il focus verso le operazioni ransomware, affiliandosi con gruppi come REvil e Conti e lanciando programmi RaaS (Ransomware-as-a-Service) come Darkside e BlackMatter.

Operazioni Sotterranee di FIN7

FIN7 utilizza pseudonimi multipli per mascherare la propria identità e mantenere le operazioni criminali nel mercato clandestino. Recentemente, è stato osservato l’uso di attacchi SQL automatizzati per sfruttare le applicazioni pubbliche. Uno degli strumenti principali sviluppati da FIN7 è AvNeutralizer (noto anche come AuKill), un tool altamente specializzato per manipolare le soluzioni di sicurezza. Questo strumento è stato commercializzato nel mercato criminale sotterraneo ed è stato utilizzato da diversi gruppi ransomware.

FIN7 ha dimostrato una notevole adattabilità, utilizzando campagne di phishing sofisticate e tecniche di ingegneria sociale per ottenere accesso iniziale alle reti aziendali. Ha creato aziende di sicurezza fraudolente, come Combi Security e Bastion Secure, per ingannare i ricercatori di sicurezza e lanciare attacchi ransomware. Nonostante gli arresti di alcuni membri, le attività di FIN7 sono continuate, suggerendo cambiamenti nelle tecniche, tattiche e procedure (TTP) o la formazione di gruppi scissionisti.

Strumenti e Tecniche di FIN7

L’arsenale di FIN7 comprende strumenti come Powertrash, Diceloader, Core Impact e un backdoor basato su SSH. Powertrash è uno script PowerShell pesantemente offuscato, progettato per caricare riflessivamente un file PE incorporato in memoria, permettendo al gruppo di eseguire payload backdoor furtivamente. Diceloader, noto anche come Lizar o IceBot, è una backdoor minima che consente agli attaccanti di stabilire un canale di controllo. Core Impact è uno strumento di penetration testing utilizzato per attività di sfruttamento. Infine, il backdoor basato su SSH viene utilizzato per mantenere la persistenza sui sistemi compromessi.

Commercializzazione e impatti di AvNeutralizer

AvNeutralizer è stato osservato per la prima volta in attacchi condotti dal gruppo ransomware Black Basta nel 2022. Successivamente, è stato utilizzato da altri gruppi ransomware, tra cui AvosLocker, MedusaLocker, BlackCat, Trigona e LockBit. AvNeutralizer utilizza tecniche combinate per creare una condizione di denial of service (DoS) in alcune implementazioni di processi protetti, sfruttando il driver TTD Monitor Driver (ProcLaunchMon.sys) e versioni aggiornate del driver Process Explorer.

Il gruppo ha utilizzato pseudonimi come “goodsoft”, “lefroggy”, “killerAV” e “Stupor” per vendere AvNeutralizer su forum di hacking in lingua russa dal 2022, con prezzi variabili tra $4.000 e $15.000. L’uso di multiple identità e la collaborazione con altri enti criminali rendono difficile l’attribuzione delle attività di FIN7 e dimostrano le sue strategie operative avanzate.

Innovazioni e Minacce di FIN7

FIN7 continua a innovare, sviluppando tecniche sofisticate per eludere le misure di sicurezza. La commercializzazione dei suoi strumenti nei forum sotterranei criminali aumenta significativamente l’impatto del gruppo. Le recenti scoperte di SentinelOne mostrano che FIN7 ha aggiornato AvNeutralizer con nuove capacità, rendendolo uno strumento prezioso per i gruppi ransomware.

La continua evoluzione di FIN7 e la sua capacità di adattamento alle difese avanzate rappresentano una minaccia significativa per le imprese in tutto il mondo. Gli esperti di sicurezza devono rimanere vigili e aggiornati sulle ultime tattiche e strumenti utilizzati da questo gruppo di cybercriminali.

Prosegui la lettura

Sicurezza Informatica

Cisco: aggiornamenti sulle vulnerabilità e misure di sicurezza

Pubblicato

in data

Cisco logo
Tempo di lettura: 2 minuti.

Cisco ha recentemente rilasciato aggiornamenti di sicurezza per affrontare diverse vulnerabilità nei suoi prodotti. Questi aggiornamenti sono cruciali per garantire la protezione dei sistemi contro potenziali minacce. Ecco una panoramica dettagliata delle vulnerabilità trattate e delle soluzioni proposte da Cisco.

Vulnerabilità di Caricamento Arbitrario di File in Cisco Identity Services Engine

Leggi l’avviso completo

Cisco ha identificato una vulnerabilità nel Cisco Identity Services Engine (ISE) che potrebbe consentire il caricamento arbitrario di file. Questo difetto potrebbe permettere a un attaccante di caricare file dannosi nel sistema, compromettendo la sicurezza.

Versioni Interessate e Risoluzioni:

  • 3.0 e versioni precedenti: Migrare a una versione corretta.
  • 3.1: Risolto in 3.1P10 (Gennaio 2025).
  • 3.2: Risolto in 3.2P7 (Settembre 2024).
  • 3.3: Risolto in 3.3P3.

Cisco raccomanda di aggiornare alla versione corretta per mitigare il rischio associato a questa vulnerabilità.

Vulnerabilità della Chiave Statica nel Cisco Intelligent Node Software

Leggi l’avviso completo

Una vulnerabilità nel Cisco Intelligent Node Software può permettere l’uso di chiavi crittografiche statiche, compromettendo la sicurezza dei dati.

Versioni Interessate e Risoluzioni:

  • 3.1.2 e versioni precedenti: Risolto in 4.0.0.
  • 23.1 e versioni precedenti (iNode Manager): Risolto in 24.1.

L’aggiornamento alle versioni fisse è essenziale per prevenire possibili compromissioni.

Vulnerabilità di Redirect Aperto nella Serie Cisco Expressway

Leggi l’avviso completo

Un difetto nella serie Cisco Expressway potrebbe consentire attacchi di redirect aperti, portando gli utenti a siti malevoli.

Versioni Interessate e Risoluzioni:

  • Versioni precedenti alla 15: Migrare a una versione corretta.
  • 15: Risolto in 15.0.2.

L’aggiornamento è necessario per evitare potenziali attacchi di phishing.

Vulnerabilità di Iniezione di Template Server-Side nel Cisco Secure Email Gateway

Leggi l’avviso completo

Una vulnerabilità nel Cisco Secure Email Gateway può permettere l’iniezione di codice dannoso tramite template server-side.

Versioni Interessate e Risoluzioni:

  • 14.2 e versioni precedenti: Risolto in 14.2.3-027.
  • 15.0: Risolto in 15.0.0-097.
  • 15.5: Non vulnerabile.

L’aggiornamento alla versione corretta è cruciale per mantenere la sicurezza del sistema.

Vulnerabilità di Scrittura Arbitraria di File nel Cisco Secure Email Gateway

Leggi l’avviso completo

Un’altra vulnerabilità nel Cisco Secure Email Gateway permette la scrittura arbitraria di file, con potenziali conseguenze di sicurezza.

Versioni Interessate e Risoluzioni:

  • AsyncOS 15.5.1-055 e successivi: Risolto.

Vulnerabilità di Cambio Password nel Cisco Smart Software Manager On-Prem

Leggi l’avviso completo

Una vulnerabilità nel Cisco Smart Software Manager On-Prem può permettere cambi di password non autorizzati.

Versioni Interessate e Risoluzioni:

  • 8-202206 e versioni precedenti: Risolto in 8-202212.
  • 9: Non vulnerabile.
Prosegui la lettura

Facebook

CYBERSECURITY

Sicurezza Informatica4 ore fa

Addio Kaspersky: aggiornamenti gratuiti per sei mesi negli USA

Tempo di lettura: 2 minuti. Kaspersky, azienda di sicurezza informatica russa, sta offrendo ai suoi clienti statunitensi sei mesi di...

Cisco logo Cisco logo
Sicurezza Informatica19 ore fa

Vulnerabilità Cisco: aggiornamenti critici e raccomandazioni

Tempo di lettura: 2 minuti. Cisco ha recentemente pubblicato una serie di advisory di sicurezza riguardanti diverse vulnerabilità critiche nei...

CISA logo CISA logo
Sicurezza Informatica19 ore fa

CISA: vulnerabilità Magento, VMware, SolarWinds e ICS

Tempo di lettura: 2 minuti. La Cybersecurity and Infrastructure Security Agency (CISA) ha recentemente aggiornato il suo catalogo delle vulnerabilità...

Sicurezza Informatica20 ore fa

Vulnerabilità critica in Apache HugeGraph: aggiornate subito

Tempo di lettura: 2 minuti. Apache HugeGraph, un sistema di database a grafo open-source, è attualmente soggetto a sfruttamenti attivi...

Sicurezza Informatica3 giorni fa

HardBit Ransomware: analisi e mitigazione delle minacce

Tempo di lettura: 3 minuti. HardBit Ransomware 4.0 introduce protezione con passphrase e obfuscazione avanzata. Scopri come proteggerti da questa...

Sicurezza Informatica5 giorni fa

Vulnerabilità in Modern Events Calendar: migliaia di WordPress a rischio

Tempo di lettura: 2 minuti. Vulnerabilità critica nel plugin Modern Events Calendar consente il caricamento arbitrario di file da parte...

Sicurezza Informatica5 giorni fa

Attacco RADIUS: panoramica dettagliata

Tempo di lettura: 3 minuti. Il protocollo RADIUS può essere compromesso utilizzando tecniche avanzate di collisione MD5 per eseguire attacchi...

Sicurezza Informatica5 giorni fa

ViperSoftX sfrutta AutoIt e CLR per l’esecuzione Stealth di PowerShell

Tempo di lettura: 3 minuti. ViperSoftX utilizza AutoIt e CLR per eseguire comandi PowerShell in modo stealth, eludendo i meccanismi...

Sicurezza Informatica5 giorni fa

Malware Poco RAT mira vittime di lingua spagnola

Tempo di lettura: 3 minuti. Poco RAT, nuovo malware che prende di mira le vittime di lingua spagnola con campagne...

Microsoft teams Microsoft teams
Sicurezza Informatica5 giorni fa

Falso Microsoft Teams per Mac distribuisce Atomic Stealer

Tempo di lettura: 2 minuti. Un falso Microsoft Teams per Mac distribuisce il malware Atomic Stealer tramite una campagna di...

Truffe recenti

Inchieste1 settimana fa

Idealong.com chiuso, ma attenti a marketideal.xyz e bol-it.com

Tempo di lettura: 2 minuti. Dopo aver svelato la truffa Idealong, abbiamo scoperto altri link che ospitano offerte di lavoro...

Inchieste2 settimane fa

Idealong.com spilla soldi ed assolda lavoratori per recensioni false

Tempo di lettura: 4 minuti. Il metodo Idealong ha sostituito Mazarsiu e, dalle segnalazioni dei clienti, la truffa agisce su...

Sicurezza Informatica2 settimane fa

Truffa lavoro online: Mazarsiu sparito, attenti a idealong.com

Tempo di lettura: 2 minuti. Dopo il sito Mazarsiu, abbandonato dai criminali dopo le inchieste di Matrice Digitale, emerge un...

fbi fbi
Sicurezza Informatica1 mese fa

FBI legge Matrice Digitale? Avviso sulle truffe di lavoro Online

Tempo di lettura: 2 minuti. L'FBI segnala un aumento delle truffe lavoro da casa con pagamenti in criptovaluta, offrendo consigli...

Sicurezza Informatica2 mesi fa

Milano: operazione “Trust”, frodi informatiche e riciclaggio di criptovaluta

Tempo di lettura: 2 minuti. Scoperta un'organizzazione criminale transnazionale specializzata in frodi informatiche e riciclaggio di criptovaluta nell'operazione "Trust"

Inchieste2 mesi fa

Truffa lavoro Online: analisi metodo Mazarsiu e consigli

Tempo di lettura: 4 minuti. Mazarsiu e Temunao sono solo due portali di arrivo della truffa di lavoro online che...

Inchieste2 mesi fa

Mazarsiu e Temunao: non solo truffa, ma un vero metodo

Tempo di lettura: 4 minuti. Le inchieste su Temunao e Marasiu hanno attivato tante segnalazioni alla redazione di persone che...

Pharmapiuit.com Pharmapiuit.com
Inchieste2 mesi fa

Pharmapiuit.com : sito truffa online dal 2023

Tempo di lettura: 2 minuti. Pharmapiuit.com è l'ultimo sito truffa ancora online di una serie di portali che promettono forti...

Temunao.Top Temunao.Top
Inchieste2 mesi fa

Temunao.Top: altro sito truffa che promette lavoro OnLine

Tempo di lettura: 2 minuti. Temunao.top è l'ennesimo sito web truffa che promette un premio finale a coloro che effettuano...

Inchieste2 mesi fa

Attenti a Mazarsiu.com : offerta lavoro truffa da piattaforma Adecco

Tempo di lettura: 2 minuti. Dalla piattaforma Adecco ad un sito che offre lavoro attraverso le Google Ads: è la...

Tech

Smartphone2 ore fa

Galaxy Z Fold 7 Slim sarà spesso quanto un S24 Ultra

Tempo di lettura: 2 minuti. Samsung sta sviluppando nuovi modelli di smartphone pieghevoli e ha recentemente annunciato alcune novità importanti...

Smartphone3 ore fa

Nubia Z60 Ultra Leading Version e Z60S Pro: lancio Imminente

Tempo di lettura: 2 minuti. Nubia, il brand di proprietà di ZTE, si prepara al lancio globale due dei suoi...

Smartphone3 ore fa

Aggiornamento luglio 2024 per Galaxy A14 5G e S24

Tempo di lettura: 2 minuti. Samsung ha iniziato a distribuire l’aggiornamento di sicurezza di luglio 2024 per diversi modelli di...

Intelligenza Artificiale19 ore fa

Nuovo metodo di Intelligenza Artificiale per creare “Impronte” dei Materiali

Tempo di lettura: 2 minuti. Un team di scienziati presso il laboratorio nazionale Argonne ha sviluppato un nuovo metodo basato...

Smartphone19 ore fa

Realme 13 Pro 5G: specifiche rivelate prima del lancio

Tempo di lettura: 3 minuti. Realme è pronta al lancio il Realme 13 Pro 5G, che promette di essere uno...

Smartphone19 ore fa

Samsung rivela One UI 7 e migliora la sicurezza con One UI 6.1.1

Tempo di lettura: 2 minuti. Samsung sta preparando il lancio di One UI 7, che promette di essere uno degli...

Tech20 ore fa

Novità su AMD, Snapdragon e la compatibilità con Linux

Tempo di lettura: 3 minuti. Le ultime notizie nel campo della tecnologia includono importanti sviluppi da parte di AMD, Qualcomm...

VirtualBox VirtualBox
Tech21 ore fa

VirtualBox 7.0.20: manutenzione e aggiornamenti

Tempo di lettura: < 1 minuto. VirtualBox 7.0.20, rilasciato il 16 luglio 2024, è un aggiornamento di manutenzione che introduce...

Smartphone1 giorno fa

Samsung lancia il Galaxy M35 5G in India

Tempo di lettura: 2 minuti. Samsung ha ufficialmente lanciato il Galaxy M35 5G in India, poco dopo il suo debutto...

Tech1 giorno fa

Audacity 3.6.0: novità e miglioramenti

Tempo di lettura: 2 minuti. Audacity, il popolare software di editing audio open-source, ha rilasciato la versione 3.6.0 con numerose...

Tendenza