Connect with us

Sicurezza Informatica

Rivelato un malware su WordPress che ha infettato in un anno 17.000 dispositivi

Pubblicato

in data

Tempo di lettura: < 1 minuto.

Security Boulevard ha rilevato nell’ultimo anno un’infezione di malware in corso che reindirizza i visitatori del sito web a siti truffa. Finora il monitoraggio ha rilevato oltre 3.000 siti web infettati dall’infezione quest’anno e oltre 17.000 in totale da quando è stata rilevata per la prima volta nel marzo del 2021.

Il comportamento segnalato è sempre lo stesso: dopo pochi secondi di caricamento, il sito web reindirizza a un sito truffa sospetto.

Il malware è sempre iniettato nel file footer.php del tema attivo, e contiene JavaScript offuscato dopo una lunga serie di linee vuote, senza dubbio cercando di rimanere nascosto:

Gli aggressori stanno spesso modificando l’iniezione, ma notiamo sempre gli stessi domini che iniziano il reindirizzamento:

  • amads[.]fun
  • techmarket[.]ink
  • uads[.]negozio
  • 5[.]188[.]62[.]157
  • uads[.]live
  • like-a-dating[.]top
  • techmarket[.]ink

Fonte di infezione?
Non sembra esserci un particolare plugin o tema vulnerabile che gli aggressori hanno sfruttato, e abbiamo visto questo apparire su ambienti WordPress completamente aggiornati. Sembra che gli aggressori stiano utilizzando account di amministratore wp-admin compromessi (sia attraverso la forza bruta, la password o credenziali trapelate) e abusando della funzionalità di editor di file integrato per iniettare il malware.

Sicurezza Informatica

Unfading Sea Haze: APT nel Mar Cinese Meridionale

Tempo di lettura: 2 minuti. Bitdefender scopre Unfading Sea Haze, APT cinese di cyber spionaggio attivo nel Mar Cinese Meridionale da oltre sei anni

Pubblicato

in data

Tempo di lettura: 2 minuti.

Bitdefender Labs ha condotto un’indagine su una serie di attacchi informatici mirati a organizzazioni di alto livello nei paesi del Mar Cinese Meridionale, rivelando un nuovo attore di minacce chiamato Unfading Sea Haze. Questo APT, noto per la sua persistenza e il focus regionale, sembra essere allineato con interessi cinesi, come suggeriscono i bersagli e la natura degli attacchi.

Attività e tecniche di Unfading Sea Haze

Tattiche e strumenti utilizzati

L’indagine ha rivelato che Unfading Sea Haze utilizza una varietà di strumenti e tecniche per infiltrarsi nei sistemi delle vittime e mantenere l’accesso. Tra questi strumenti, spiccano le iterazioni del framework Gh0st RAT e vari payload .NET. Gli attacchi sono stati condotti principalmente attraverso campagne di spear-phishing con archivi malevoli contenenti file LNK travestiti da documenti legittimi. Una volta aperti, questi file eseguono comandi malevoli.

Gli attacchi sono caratterizzati da un’elevata sofisticazione, con tecniche di evasione che includono l’uso di commenti lunghi nei comandi dei file LNK per evitare il rilevamento. Inoltre, il gruppo ha mostrato una notevole abilità nel ripristinare l’accesso ai sistemi compromessi, sfruttando pratiche inadeguate di gestione delle credenziali e patching.

Persistenza e evasione

Per mantenere la persistenza, Unfading Sea Haze ha utilizzato task pianificati che imitano file di sistema legittimi, combinati con il sideloading di DLL malevoli. Ad esempio, i task pianificati possono avviare un programma legittimo che carica una libreria dannosa situata nella stessa directory. Questo metodo permette agli attaccanti di sfruttare il software legittimo per eseguire codice malevolo.

Inoltre, il gruppo ha utilizzato strumenti di monitoraggio dei dispositivi USB e WPD per raccogliere informazioni dai dispositivi connessi. Questi strumenti inviano i dati raccolti a server controllati dagli attaccanti.

Implicazioni e raccomandazioni

La capacità di Unfading Sea Haze di rimanere inosservato per oltre sei anni evidenzia una significativa debolezza nella sicurezza delle credenziali e nelle pratiche di patching. È fondamentale che le organizzazioni adottino misure di sicurezza robuste per proteggersi da tali minacce.

Raccomandazioni per la Sicurezza

  1. Gestione delle Vulnerabilità: Implementare processi rigorosi di gestione delle patch per identificare e risolvere rapidamente le vulnerabilità critiche.
  2. Autenticazione Forte: Enforce politiche di password complesse e utilizzo di autenticazione multi-fattore (MFA) per ridurre il rischio di accessi non autorizzati.
  3. Segmentazione della Rete: Adottare un modello di rete a fiducia zero e segmentare la rete per limitare il movimento laterale degli attaccanti.
  4. Difesa Multilivello: Investire in una gamma diversificata di controlli di sicurezza per creare strati sovrapposti di difesa.
  5. Monitoraggio del Traffico di Rete: Monitorare il traffico di rete per identificare modelli di comunicazione insoliti che potrebbero indicare attività malevole.
  6. Registrazione Efficace: Assicurarsi che i log siano abilitati e forniscano informazioni sufficienti per il supporto forense.
  7. Rilevamento e Risposta: Potenziare le capacità di rilevamento e risposta per minimizzare il tempo di permanenza degli attori malevoli all’interno dell’ambiente.
  8. Collaborazione e Condivisione delle Informazioni: Partecipare a iniziative di condivisione delle informazioni per ottenere insights preziosi sulle minacce emergenti.

L’indagine su Unfading Sea Haze rivela un attore di minacce sofisticato con legami potenziali con l’ecosistema cyber cinese. La loro abilità nel rimanere nascosti per anni e la complessità dei loro attacchi sottolineano l’importanza di pratiche di sicurezza robuste e aggiornate. La condivisione di queste scoperte mira a rafforzare la comunità della sicurezza informatica e a fornire le conoscenze necessarie per rilevare e interrompere gli sforzi di spionaggio di questo gruppo.

Prosegui la lettura

Sicurezza Informatica

Cisco: aggiornamenti di sicurezza critici per ASA, FMC e FTD

Tempo di lettura: 2 minuti. Cisco rilascia aggiornamenti critici per ASA, FTD e FMC, risolvendo vulnerabilità DoS e bypass delle regole IPS e politiche di sicurezza.

Pubblicato

in data

Cisco logo
Tempo di lettura: 2 minuti.

Cisco ha recentemente rilasciato una serie di avvisi di sicurezza che riguardano alcune vulnerabilità critiche nei suoi prodotti Adaptive Security Appliance (ASA), Firepower Threat Defense (FTD) e Firepower Management Center (FMC). Questi aggiornamenti sono essenziali per proteggere i sistemi da potenziali attacchi e garantire la sicurezza delle reti aziendali.

Cisco ASA e FTD: vulnerabilità Denial of Service (DoS)

Cisco ha identificato una vulnerabilità di Denial of Service (DoS) nel software Cisco ASA e FTD. Questa vulnerabilità è causata da una falla nell’ispezione DNS, che potrebbe permettere a un attaccante di mandare in crash il dispositivo interessato, causando un’interruzione del servizio.

Per mitigare questo rischio, Cisco ha rilasciato aggiornamenti software gratuiti. I clienti possono ottenere queste correzioni attraverso i canali di aggiornamento usuali, assicurandosi di avere licenze valide per le versioni del software utilizzate. È possibile consultare il Cisco Software Checker per verificare la vulnerabilità del proprio software e scaricare le versioni corrette.

Snort 3: Bypass delle Regole IPS HTTP

Una vulnerabilità nel sistema di prevenzione delle intrusioni HTTP (IPS) di Snort 3, utilizzato in diversi prodotti Cisco, potrebbe permettere a un attaccante di bypassare le regole di sicurezza. Questa vulnerabilità riguarda principalmente i dispositivi che eseguono Cisco Firepower Threat Defense (FTD) Software con Snort 3 attivo.

Gli utenti possono determinare se Snort 3 è in esecuzione sui loro dispositivi consultando la documentazione specifica o utilizzando i comandi di configurazione di Cisco FTD. Anche per questa vulnerabilità, Cisco ha rilasciato aggiornamenti software che risolvono il problema.

Bypass delle Politiche di File Archiviati Crittografati

Cisco ha anche segnalato una vulnerabilità che permette il bypass delle politiche per i file archiviati crittografati nel software Cisco Firepower Threat Defense (FTD). Questa vulnerabilità potrebbe permettere a un attaccante di eludere le regole di sicurezza progettate per proteggere i dati sensibili.

Per affrontare questa minaccia, Cisco raccomanda di aggiornare i dispositivi FTD con le ultime versioni del software, seguendo le linee guida fornite nel Cisco Firepower Management Center Upgrade Guide.

Gli aggiornamenti di sicurezza rilasciati da Cisco sono cruciali per proteggere le reti aziendali da potenziali attacchi. Le vulnerabilità nei prodotti ASA, FTD e FMC possono esporre i sistemi a rischi significativi, rendendo essenziale l’adozione tempestiva degli aggiornamenti. Gli amministratori di rete dovrebbero consultare regolarmente le pagine di avvisi di sicurezza di Cisco e utilizzare strumenti come il Cisco Software Checker per garantire che i loro dispositivi siano protetti.

Prosegui la lettura

Sicurezza Informatica

GHOSTENGINE: nuova minaccia cryptomining invisibile

Tempo di lettura: 2 minuti. Elastic Security Labs rivela GHOSTENGINE, un set di intrusioni sofisticato progettato per eseguire attività di crypto mining furtive

Pubblicato

in data

Tempo di lettura: 2 minuti.

Elastic Security Labs ha identificato un set di intrusioni denominato REF4578, che include diversi moduli dannosi e sfrutta driver vulnerabili per disabilitare soluzioni di sicurezza note (EDR) al fine di eseguire attività di crypto mining. Il payload principale di questo set di intrusioni è chiamato GHOSTENGINE. Questa analisi rivela le capacità di GHOSTENGINE di stabilire la persistenza, installare una backdoor e avviare un crypto-miner.

Principali caratteristiche

  • Gli autori del malware hanno incorporato numerosi meccanismi di contingenza e duplicazione.
  • GHOSTENGINE sfrutta driver vulnerabili per terminare e cancellare agenti EDR noti che potrebbero interferire con il miner XMRIG.
  • La campagna mostra un alto livello di complessità per garantire sia l’installazione che la persistenza del miner XMRIG.

Analisi del Codice

Il 6 maggio 2024, l’esecuzione di un file PE denominato Tiworker.exe, mascherato come il legittimo file Windows TiWorker.exe, ha segnato l’inizio dell’intrusione REF4578. Questo file scarica ed esegue uno script PowerShell che orchestra l’intero flusso di esecuzione dell’intrusione.

GHOSTENGINE

GHOSTENGINE è responsabile del recupero e dell’esecuzione dei moduli sulla macchina. Utilizza principalmente HTTP per scaricare file da un dominio configurato, con un IP di backup in caso di indisponibilità del dominio. Utilizza anche FTP come protocollo secondario con credenziali incorporate.

Moduli Principali di GHOSTENGINE

  1. smartscreen.exe (Modulo di controllo EDR e miner):
    • Termina i processi degli agenti EDR attivi.
    • Scarica e installa il client di mining XMRig.
  2. oci.dll (Modulo di aggiornamento/persistenza):
    • Crea persistenza di sistema e scarica eventuali aggiornamenti dai server C2.
  3. kill.png (Modulo di terminazione EDR):
    • Script PowerShell che inietta shellcode nel processo corrente, caricando un file PE in memoria.
  4. backup.png (Modulo backdoor):
    • Funziona come una backdoor, permettendo l’esecuzione remota di comandi sul sistema.

Configurazione del Miner

XMRig è un miner di criptovalute legittimo utilizzato per minare Monero. La configurazione di XMRig include dettagli come l’ID di pagamento Monero, che consente di tracciare le statistiche del worker e della pool, le criptovalute minate, gli ID delle transazioni e i prelievi.

Prevenzione e Mitigazione

Rilevamento

  • Esecuzione sospetta di PowerShell
  • Esecuzione da directory insolite
  • Elevazione dei privilegi a integrità di sistema
  • Distribuzione di driver vulnerabili e creazione di servizi in modalità kernel associati

Prevenzione

  • Prevenzione dei file dannosi
  • Prevenzione dell’iniezione di shellcode
  • Prevenzione della creazione di file di driver vulnerabili

Osservazioni

Tutti gli osservabili discussi nella ricerca sono disponibili per il download in formato ECS e STIX.

GHOSTENGINE rappresenta una minaccia complessa e sofisticata, progettata per disabilitare le soluzioni di sicurezza e stabilire la persistenza per eseguire attività di crypto mining. Le organizzazioni devono implementare misure di rilevamento e prevenzione efficaci per proteggere i propri sistemi da queste intrusioni avanzate.

Prosegui la lettura

Facebook

CYBERSECURITY

Sicurezza Informatica13 ore fa

GHOSTENGINE: nuova minaccia cryptomining invisibile

Tempo di lettura: 2 minuti. Elastic Security Labs rivela GHOSTENGINE, un set di intrusioni sofisticato progettato per eseguire attività di...

Sicurezza Informatica1 giorno fa

Zoom avrà la crittografia Post-Quantum End-to-End

Tempo di lettura: 2 minuti. Zoom introduce la crittografia end-to-end post-quantum per Zoom Meetings, migliorando la sicurezza contro le minacce...

Sicurezza Informatica1 giorno fa

SolarMarker minaccia informatica costante dal 2021

Tempo di lettura: 2 minuti. SolarMarker utilizza un'infrastruttura multi-tier e tecniche di elusione avanzate per evitare il rilevamento e colpire...

Sicurezza Informatica1 giorno fa

Chrome risolve problema e CISA pubblica Avvisi ICS e vulnerabilità

Tempo di lettura: 2 minuti. Google rilascia una correzione per Chrome per risolvere il problema delle pagine vuote. CISA pubblica...

Sicurezza Informatica1 giorno fa

CLOUD#REVERSER: Attacco Malware sofisticato basato su Cloud

Tempo di lettura: 2 minuti. CLOUD#REVERSER: malware distribuito attraverso i servizi cloud sfrutta il trucco dell'Unicode per ingannare gli utenti

QNAP QTS QNAP QTS
Sicurezza Informatica2 giorni fa

QNAP QTS: Vulnerabilità di Sicurezza CVE-2024-27130

Tempo di lettura: 2 minuti. Scoperte vulnerabilità nel sistema operativo QNAP QTS, inclusa CVE-2024-27130 che permette l'esecuzione di codice remoto.

Sicurezza Informatica2 giorni fa

GitCaught: minacce utilizzano repository GitHub per attacchi malevoli

Tempo di lettura: 2 minuti. GitCaught utilizza GitHub per distribuire malware, evidenziando l'abuso di servizi fidati per cyberattacchi

D-Link EXO AX4800 D-Link EXO AX4800
Sicurezza Informatica5 giorni fa

Vulnerabilità RCE zero-day nei router D-Link EXO AX4800

Tempo di lettura: 2 minuti. Un gruppo di ricercatori di SSD Secure Disclosure ha scoperto una vulnerabilità critica nei router...

SEC logo SEC logo
Sicurezza Informatica5 giorni fa

SEC: “notificare la violazione dei dati entro 30 giorni”

Tempo di lettura: 2 minuti. La SEC richiede alle istituzioni finanziarie di notificare le violazioni dei dati agli individui interessati...

Sicurezza Informatica5 giorni fa

Microsoft Azure: autenticazione multi-fattore (MFA) obbligatoria da luglio 2024

Tempo di lettura: 2 minuti. Microsoft inizierà a imporre l'autenticazione multi-fattore (MFA) per gli utenti di Azure a partire da...

Truffe recenti

Inchieste12 ore fa

Mazarsiu e Temunao: non solo truffa, ma un vero metodo

Tempo di lettura: 4 minuti. Le inchieste su Temunao e Marasiu hanno attivato tante segnalazioni alla redazione di persone che...

Pharmapiuit.com Pharmapiuit.com
Inchieste4 giorni fa

Pharmapiuit.com : sito truffa online dal 2023

Tempo di lettura: 2 minuti. Pharmapiuit.com è l'ultimo sito truffa ancora online di una serie di portali che promettono forti...

Temunao.Top Temunao.Top
Inchieste4 giorni fa

Temunao.Top: altro sito truffa che promette lavoro OnLine

Tempo di lettura: 2 minuti. Temunao.top è l'ennesimo sito web truffa che promette un premio finale a coloro che effettuano...

Inchieste5 giorni fa

Attenti a Mazarsiu.com : offerta lavoro truffa da piattaforma Adecco

Tempo di lettura: 2 minuti. Dalla piattaforma Adecco ad un sito che offre lavoro attraverso le Google Ads: è la...

Sicurezza Informatica2 settimane fa

BogusBazaar falsi e-commerce usati per una truffa da 50 milioni

Tempo di lettura: 2 minuti. Oltre 850,000 persone sono state ingannate da una rete di 75,000 falsi negozi online, con...

Sicurezza Informatica2 settimane fa

Truffatori austriaci scappano dagli investitori, ma non dalla legge

Tempo di lettura: 2 minuti. Le forze dell'ordine hanno smascherato e arrestato un gruppo di truffatori austriaci dietro una frode...

Shein Shein
Truffe online1 mese fa

Truffa dei buoni SHEIN da 300 euro, scopri come proteggerti

Tempo di lettura: < 1 minuto. La truffa dei buoni SHEIN da 300 euro sta facendo nuovamente vittime in Italia,...

OSINT2 mesi fa

USA interviene per recuperare 2,3 Milioni dai “Pig Butchers” su Binance

Tempo di lettura: 2 minuti. Il Dipartimento di Giustizia degli USA interviene per recuperare 2,3 milioni di dollari in criptovalute...

dimarcoutletfirenze sito truffa dimarcoutletfirenze sito truffa
Inchieste3 mesi fa

Truffa dimarcoutletfirenze.com: merce contraffatta e diversi dalle prenotazioni

Tempo di lettura: 2 minuti. La segnalazione alla redazione di dimarcoutletfirenze.com si è rivelata puntuale perchè dalle analisi svolte è...

sec etf bitcoin sec etf bitcoin
Economia4 mesi fa

No, la SEC non ha approvato ETF del Bitcoin. Ecco perchè

Tempo di lettura: 3 minuti. Il mondo delle criptovalute ha recentemente assistito a un evento senza precedenti: l’account Twitter ufficiale...

Tech

Galaxy S23 FE Galaxy S23 FE
Smartphone6 ore fa

Aggiornamenti per Samsung Galaxy S23 FE e Galaxy A15

Tempo di lettura: 2 minuti. Samsung aggiorna Galaxy S23 FE e Galaxy A15 5G negli USA con patch di sicurezza...

Smartphone6 ore fa

Google Pixel 8a: riparabilità e durata

Tempo di lettura: 2 minuti. Google Pixel 8a offre durata e supporto prolungato, ma presenta difficoltà di riparabilità a causa...

Samsung rilascia aggiornamenti per Galaxy Z Flip 3 e Galaxy Z Fold 3 Samsung rilascia aggiornamenti per Galaxy Z Flip 3 e Galaxy Z Fold 3
Smartphone7 ore fa

UFFICIALE: Galaxy Z Fold 6 e Flip 6 hanno Snapdragon 8 Gen 3

Tempo di lettura: 2 minuti. Samsung utilizzerà esclusivamente i chip Snapdragon 8 Gen 3 nei nuovi Galaxy Z Fold 6...

Alpine Linux 3.20 Alpine Linux 3.20
Tech7 ore fa

Alpine Linux 3.20: Supporto per RISC-V a 64 Bit e KDE Plasma 6

Tempo di lettura: 2 minuti. Alpine Linux 3.20 introduce il supporto per RISC-V a 64 bit e KDE Plasma 6,...

Smartphone7 ore fa

Aggiornamenti per Samsung Galaxy S20 FE, Z Flip, A14 e A54

Tempo di lettura: 3 minuti. Aggiornamenti di sicurezza di maggio 2024 e One UI 6.1 per vari dispositivi Samsung, inclusi...

Nothing Phone (3) Nothing Phone (3)
Smartphone8 ore fa

Nothing Phone (3): novità e possibile tasto azione

Tempo di lettura: 2 minuti. Nothing Phone (3) potrebbe includere un tasto azione personalizzabile. Scopri le nuove funzionalità e le...

Amazon Alexa Amazon Alexa
Intelligenza Artificiale8 ore fa

Amazon Alexa: aggiornamento AI e nuovo abbonamento

Tempo di lettura: 2 minuti. Amazon prevede di richiedere un abbonamento separato per utilizzare la versione avanzata di Alexa con...

Samsung a54 Samsung a54
Smartphone12 ore fa

Galaxy A54 aggiornamento di sicurezza Maggio 2024 negli USA

Tempo di lettura: < 1 minuto. Galaxy A54 di Samsung riceve la patch di sicurezza di maggio 2024 negli USA,...

Samsung Galaxy Ring Samsung Galaxy Ring
Tech13 ore fa

Samsung Galaxy Ring: prezzo e abbonamento Premium svelati dai leak

Tempo di lettura: 2 minuti. Samsung Galaxy Ring potrebbe costare tra 300 e 350 dollari, con un possibile abbonamento premium...

Microsoft Phi-3-Vision Microsoft Phi-3-Vision
Intelligenza Artificiale14 ore fa

Phi-3-Vision di Microsoft: rivoluzione per gli smartphone

Tempo di lettura: 2 minuti. Microsoft lancia Phi-3-Vision, un modello di IA innovativo progettato per smartphone e laptop con capacità...

Tendenza