Sicurezza Informatica
Nuova Backdoor GoGra e attacchi di spionaggio sul Cloud
Tempo di lettura: 2 minuti. Scopri come il nuovo backdoor GoGra e altri attacchi di spionaggio sul cloud stanno sfruttando servizi legittimi per condurre attività malevole
Recentemente, sono emerse nuove minacce informatiche che sfruttano servizi cloud legittimi per condurre attività di spionaggio e attacchi cibernetici. Tra queste, la backdoor GoGra e vari attacchi di spionaggio sul cloud rappresentano esempi significativi di come gli attori delle minacce stiano evolvendo le loro tecniche per rimanere nascosti e ridurre i costi operativi.
Nuova Backdoor Go-Based GoGra
Un’organizzazione mediatica nel Sud Asia è stata bersaglio di un attacco cibernetico a novembre 2023, utilizzando un nuovo backdoor basato su Go chiamato GoGra. Scritto in Go, GoGra utilizza l’API Microsoft Graph per interagire con un server di comando e controllo (C&C) ospitato sui servizi di posta Microsoft. Il backdoor è configurato per leggere messaggi da un nome utente Outlook “FNU LNU” con l’oggetto che inizia con la parola “Input”. I contenuti dei messaggi vengono decrittati usando l’algoritmo AES-256 in modalità Cipher Block Chaining (CBC) e quindi eseguiti tramite cmd.exe. I risultati delle operazioni vengono quindi crittografati e inviati allo stesso utente con l’oggetto “Output”.
GoGra è stato attribuito al gruppo di hacker sostenuto dallo stato nazionale noto come Harvester, noto per l’uso di strumenti personalizzati come Graphon che sfruttano l’API Graph per scopi di C&C. Questo sviluppo sottolinea come i gruppi di spionaggio stiano sempre più utilizzando servizi cloud legittimi per evitare di dover acquistare infrastrutture dedicate.
Attacchi di spionaggio sul Cloud
Gli attacchi di spionaggio che sfruttano i servizi cloud stanno diventando sempre più comuni, con vari nuovi strumenti di malware che utilizzano queste tecniche:
- Firefly ha impiegato uno strumento di esfiltrazione dei dati inedito in un attacco contro un’organizzazione militare nel Sud-Est Asiatico, caricando informazioni su Google Drive utilizzando un token di refresh codificato.
- Grager, un nuovo backdoor, è stato utilizzato contro tre organizzazioni a Taiwan, Hong Kong e Vietnam nell’aprile 2024, comunicando con un server C&C ospitato su Microsoft OneDrive.
- MoonTag, un backdoor attualmente in sviluppo, contiene funzionalità per comunicare con l’API Graph ed è attribuito a un attore delle minacce di lingua cinese.
- Onedrivetools è stato utilizzato contro aziende di servizi IT negli Stati Uniti e in Europa, sfruttando l’API Graph per interagire con un server C&C su OneDrive.
Tendenze in rapida evoluzione
L’uso di servizi cloud per il comando e il controllo non è una tecnica nuova, ma sempre più attori delle minacce la stanno adottando. Symantec ha scoperto malware come BirdyClient, che utilizza l’API Graph per comunicare con un server C&C su OneDrive, utilizzato in un attacco contro un’organizzazione in Ucraina. Altri esempi includono BLUELIGHT, Graphite, e Graphican, che sfruttano tecniche simili per nascondere le loro attività.
Protezione e mitigazione
Per contrastare queste minacce, si raccomanda di:
- Bloccare i servizi cloud non utilizzati dall’organizzazione
- Monitorare il traffico di rete per anomalie
- Utilizzare liste bianche delle applicazioni dove applicabile
- Identificare e monitorare i beni critici dell’organizzazione per l’esfiltrazione di dati
- Attivare i log di audit basati su host e cloud
Le recenti scoperte di backdoor come GoGra e altre minacce simili evidenziano la necessità di una vigilanza continua e di miglioramenti nelle strategie di sicurezza per proteggere le organizzazioni da attacchi sempre più sofisticati che sfruttano servizi cloud legittimi.
Sicurezza Informatica
Android.Vo1d: Malware infetta 1,3 Milioni di TV Box in 200 Paesi
Tempo di lettura: 2 minuti. Android.Vo1d, un malware che ha infettato oltre 1,3 milioni di TV Box in 197 paesi, sfrutta vulnerabilità in versioni obsolete di Android per scaricare software malevolo.
Recentemente, i ricercatori di Doctor Web hanno scoperto una nuova minaccia chiamata Android.Vo1d, un malware che ha infettato circa 1,3 milioni di dispositivi TV Box in 197 paesi. Il malware è un backdoor che si installa nella memoria di sistema del dispositivo, permettendo agli attaccanti di scaricare e installare software di terze parti in modo segreto. L’infezione colpisce diversi modelli di TV Box, spesso basati su versioni obsolete di Android, rendendo questi dispositivi particolarmente vulnerabili agli attacchi.
Il Malware Android.Vo1d: Meccanismo di attacco
Il malware Android.Vo1d si diffonde principalmente sfruttando vulnerabilità nei dispositivi TV Box con versioni obsolete di Android. Gli attaccanti utilizzano il backdoor per ottenere accesso root al sistema e inserire componenti maligni, come i file vo1d e wd, che vengono memorizzati in directory critiche del sistema. Questo consente al malware di persistere anche dopo un riavvio del dispositivo.
Il file install-recovery.sh, presente su molti dispositivi Android, viene modificato per assicurare l’esecuzione automatica dei componenti del malware. Inoltre, il malware utilizza altri strumenti, come daemonsu e debuggerd, per mascherare i suoi processi e aggirare i meccanismi di sicurezza.
Diffusione e Impatti Globali
L’infezione si è diffusa a livello globale, con la maggior parte dei casi segnalati in paesi come Brasile, Marocco, Pakistan, Arabia Saudita, Russia e Argentina. Una delle ragioni per cui gli attaccanti hanno scelto di colpire i TV Box è che spesso utilizzano versioni di Android obsolete, come la 7.1, che presentano vulnerabilità non risolte e non ricevono più aggiornamenti di sicurezza.
Il malware può scaricare ed eseguire nuovi eseguibili, su comando da server di controllo remoto, e monitorare directory specifiche per installare ulteriori file APK malevoli. Questo rende i dispositivi infetti estremamente vulnerabili, soprattutto se l’utente non installa software di sicurezza.
La scoperta di Android.Vo1d evidenzia secondo drWeb ancora una volta l’importanza di mantenere aggiornati i dispositivi e di evitare l’uso di firmware non ufficiali. Gli utenti di TV Box sono particolarmente a rischio a causa dell’assenza di aggiornamenti di sicurezza. Soluzioni antivirus, come quelle fornite da Doctor Web, possono aiutare a rilevare e rimuovere il malware su dispositivi con accesso root.
Sicurezza Informatica
Hadooken Malware: Nuova Minaccia per le Applicazioni WebLogic
Tempo di lettura: 3 minuti. Il malware Hadooken prende di mira server WebLogic non protetti, sfruttando vulnerabilità per installare cryptominer e malware Tsunami.
Il malware Hadooken, recentemente scoperto dai ricercatori di Aqua Nautilus, rappresenta una nuova minaccia per i server WebLogic di Oracle, comunemente utilizzati in ambienti aziendali critici come quelli bancari e di e-commerce. Questo malware sfrutta vulnerabilità note nei server WebLogic, inclusi problemi di configurazione e password deboli, per ottenere accesso non autorizzato, eseguire codice malevolo e installare un cryptominer, oltre a un malware Tsunami. L’attacco, ribattezzato Hadooken, prende il nome dal celebre attacco “surge fist” del videogioco Street Fighter, e si sta diffondendo rapidamente in ambienti che utilizzano server WebLogic vulnerabili.
Attacco ai Server WebLogic: Hadooken in azione
I server WebLogic, sviluppati da Oracle, sono ampiamente utilizzati per gestire e distribuire applicazioni aziendali su larga scala. Tuttavia, a causa delle loro vulnerabilità, sono spesso bersagliati dagli attori delle minacce. In questo caso, l’attacco Hadooken sfrutta un sistema di honeypot per ottenere l’accesso iniziale attraverso una combinazione di vulnerabilità e password deboli. Dopo l’accesso, l’attacco si divide in più fasi che coinvolgono l’esecuzione di codice remoto, l’installazione di script shell e Python, e infine l’esecuzione del payload principale.
Il malware Hadooken utilizza una combinazione di script shell e Python per eseguire i suoi payload su server compromessi. Questi script scaricano ed eseguono il malware da directory temporanee, eliminandolo successivamente per evitare il rilevamento. La componente principale del malware include un cryptominer, progettato per sfruttare le risorse del server infetto a beneficio degli attaccanti. Una seconda componente, il malware Tsunami, non viene attivata immediatamente, ma può essere utilizzata per ulteriori attacchi in futuro.
Inoltre, Hadooken cerca di ottenere informazioni sensibili, come chiavi SSH e credenziali utente, per eseguire attacchi laterali su altri server all’interno della stessa rete. Questo movimento laterale consente agli attaccanti di diffondere ulteriormente il malware e di compromettere più risorse. Infine, i log vengono eliminati per evitare che l’attacco venga rilevato dalle misure di sicurezza.
Metodi di propagazione del Malware
Una volta che il malware Hadooken ottiene l’accesso al server WebLogic, esegue una serie di passaggi per stabilire una presenza persistente. Viene utilizzato un sistema di cron jobs per eseguire il malware a intervalli regolari, consentendo al cryptominer di funzionare in modo continuo e di mantenere il controllo del server compromesso. I file malevoli vengono nascosti in diverse directory sotto nomi comuni come /usr/bin/crondr o /mnt/-java, rendendo più difficile il loro rilevamento.
Il malware utilizza anche tecniche di offuscamento, come la codifica base64, per mascherare le sue attività e sfuggire ai controlli di sicurezza. Gli attori delle minacce dietro Hadooken non si limitano a colpire solo i server Linux, ma potrebbero prendere di mira anche sistemi Windows con il ransomware Mallox, distribuito tramite script PowerShell.
La pericolosità del malware Hadooken risiede nella sua capacità di sfruttare server WebLogic mal configurati e non aggiornati, diffondendosi lateralmente attraverso la rete e compromettendo altre risorse. Le analisi mostrano che il malware utilizza indirizzi IP associati a gruppi di minaccia come TeamTNT e Gang 8220, ma non ci sono prove definitive che li colleghino direttamente a questi attacchi.
Il malware Hadooken rappresenta una minaccia crescente per le organizzazioni che utilizzano server WebLogic non protetti. Questo attacco evidenzia l’importanza di mantenere aggiornati i sistemi e di rafforzare le misure di sicurezza, come l’uso di password forti e la protezione delle console amministrative esposte e Acquasec consiglia alle aziende di implementare soluzioni di sicurezza avanzate, come strumenti di scansione delle configurazioni e di monitoraggio runtime, per rilevare e prevenire attacchi futuri.
Sicurezza Informatica
Ransomware a Port of Seattle, Kawasaki fa boom con i furti cripto denunciati da FBI
Negli ultimi mesi, il mondo della sicurezza informatica è stato sconvolto da numerosi attacchi ransomware e perdite economiche legate alle criptovalute. In particolare, il Port of Seattle e Kawasaki Motors Europe sono stati colpiti da attacchi di ransomware, mentre l’FBI ha rivelato che le perdite legate alle frodi con criptovalute hanno raggiunto cifre record nel 2023. Questi eventi sottolineano la crescente minaccia della criminalità informatica e la necessità di potenziare le misure di sicurezza per proteggere aziende e individui.
Attacco Ransomware al Port of Seattle: Rhysida Dietro l’Attacco di Agosto
Il Port of Seattle, che gestisce il porto e l’aeroporto della città, ha confermato che l’attacco informatico subito a fine agosto è stato causato dal ransomware Rhysida, una delle più recenti operazioni ransomware-as-a-service. Questo attacco ha colpito i sistemi critici, costringendo il porto a isolare i propri server e interrompendo le operazioni aeroportuali, causando ritardi nei voli e problemi ai sistemi di check-in. I servizi Wi-Fi, le bacheche informative e le app correlate sono state anch’esse coinvolte.
Il Port of Seattle ha rifiutato di pagare il riscatto richiesto, nonostante la minaccia di pubblicazione dei dati rubati, sostenendo che pagare non sarebbe stato in linea con i valori dell’organizzazione. Fortunatamente, non ci sono state attività non autorizzate successive all’attacco e la maggior parte dei sistemi è stata ripristinata.
Rhysida, un’operazione ransomware comparsa nel 2023, è già nota per aver colpito altre istituzioni di rilievo, tra cui la British Library e l’Esercito Cileno. La loro strategia si basa sull’estorsione, minacciando la pubblicazione di dati sensibili in caso di mancato pagamento del riscatto.
Kawasaki Motors Europe: attacco Ransomware
Anche Kawasaki Motors Europe, una divisione del colosso giapponese Kawasaki Heavy Industries, è stata colpita da un attacco ransomware all’inizio di settembre. L’attacco ha colpito i server della sede centrale europea, costringendo l’azienda a isolare i propri sistemi per prevenire ulteriori danni. Sebbene Kawasaki affermi che l’attacco non abbia avuto successo, il gruppo ransomware RansomHub sostiene di aver sottratto 487 GB di dati e minaccia di pubblicare tali informazioni se le sue richieste non saranno soddisfatte.
Kawasaki, che distribuisce e vende motociclette e altri veicoli motorizzati in Europa, ha coinvolto esperti esterni per analizzare e ripristinare i propri sistemi. La maggior parte dei server sarà nuovamente operativa entro breve tempo, ma l’azienda non ha ancora rilasciato commenti pubblici riguardo alla quantità e alla natura dei dati compromessi.
RansomHub, noto per aver preso di mira aziende come Rite Aid e Christie’s, è uno dei gruppi più attivi sulla scena del ransomware dopo la chiusura di altre operazioni simili. Con un numero crescente di attacchi riusciti, il gruppo rappresenta una minaccia sempre più preoccupante per le aziende globali.
FBI: frodi criptovalute superano i 5,6 Miliardi di Dollari nel 2023
Secondo un rapporto dell’FBI, il 2023 è stato un anno record per le frodi legate alle criptovalute, con perdite globali che hanno superato i 5,6 miliardi di dollari. Questo rappresenta un aumento del 45% rispetto all’anno precedente, con la maggior parte delle perdite attribuite a frodi d’investimento. Le truffe hanno colpito principalmente cittadini statunitensi, seguiti da quelli delle Isole Cayman, del Messico e del Canada.
L’IC3 (Internet Crime Complaint Center) dell’FBI ha ricevuto quasi 70.000 segnalazioni di frodi in criptovalute. Oltre alle frodi d’investimento, altre truffe comuni includono il supporto tecnico falso, truffe dei call center e l’imitazione di autorità governative. I truffatori hanno sfruttato le promesse di alti rendimenti con schemi come il “mining di liquidità” e persino applicazioni di gioco basate su blockchain, ingannando le vittime a collegare i loro portafogli digitali.
Le criptovalute rappresentano un terreno fertile per le frodi a causa della loro natura decentralizzata, che rende difficile rintracciare i fondi e impossibile invertire le transazioni fraudolente. L’FBI raccomanda cautela agli investitori e offre consigli pratici per evitare truffe, come la verifica delle piattaforme d’investimento e l’utilizzo di portafogli separati per gioco e investimenti.
Gli attacchi ransomware subiti dal Port of Seattle, da Kawasaki Motors Europe, e le enormi perdite legate alle truffe in criptovalute nel 2023, dimostrano quanto sia essenziale per le aziende e gli individui rafforzare la sicurezza digitale. I ransomware, come Rhysida e RansomHub, continuano a colpire importanti organizzazioni globali, mentre le frodi in criptovalute registrano livelli record, causando danni significativi sia finanziari che reputazionali.
- Tech6 giorni fa
IFA 2024: tutte le novità in questo speciale
- Inchieste1 settimana fa
Stretta contro la disinformazione russa e WhisperGate
- Inchieste4 giorni fa
NAFO: i propagandisti di Kiev che minacciano il Governo
- Smartphone4 giorni fa
Huawei Mate XT: il primo smartphone pieghevole tri-fold
- Tech6 giorni fa
iPhone 16 Pro Max e Galaxy Tab S10: novità tra 4K, 8K e tasto AI
- Tech1 settimana fa
Apple Watch Ultra 3, AirPods 4 e Beats: le novità attese il 9 Settembre
- Smartphone5 giorni fa
iPhone 16, Plus, Pro e Pro Max finalmente ufficiali
- Tech2 giorni fa
Aggiornamenti Chrome: nuove versioni per Android e ChromeOS