Connect with us

Sicurezza Informatica

Siemens: possibili attacchi ai PLC che sfruttano le chiavi private globali

Tempo di lettura: 2 minuti. La vulnerabilità è classificata come CVE-2022-38465 ed è stata classificata come “critica”. Siemens ha annunciato la disponibilità di correzioni per i PLC interessati e per il portale TIA in uno dei suoi avvisi del Patch Tuesday.

Pubblicato

in data

Tempo di lettura: 2 minuti.

I ricercatori hanno dimostrato che gli attori delle minacce potrebbero ottenere le chiavi private globali che proteggono alcuni dispositivi industriali di Siemens, e il fornitore afferma di non poter escludere uno sfruttamento malevolo in futuro. I dettagli sono stati resi noti martedì dalla società di cybersicurezza industriale Claroty, i cui ricercatori hanno esaminato i modi per ottenere l’esecuzione di codice nativo sui controllori logici programmabili (PLC).

Siemens ha inoltre pubblicato un bollettino di sicurezza separato che evidenzia la vulnerabilità. Secondo l’azienda, nel 2013 ha introdotto la crittografia asimmetrica nell’architettura di sicurezza delle CPU Simatic S7-1200 e S7-1500 nel tentativo di proteggere i dispositivi, i programmi dei clienti e le comunicazioni tra i dispositivi. Tuttavia, a causa della mancanza di soluzioni pratiche per la gestione dinamica e la distribuzione delle chiavi per i sistemi di controllo industriale (ICS), all’epoca decise di utilizzare una chiave privata globale integrata per la protezione. Siemens ha confermato le scoperte dei ricercatori di Claroty, ammettendo che la chiave crittografica non è adeguatamente protetta. Un aggressore potrebbe sferrare un attacco offline contro un singolo PLC e ottenere una chiave privata che può essere utilizzata per compromettere l’intera linea di prodotti per cui è stata ottenuta la chiave.

L’aggressore può quindi ottenere dati di configurazione sensibili o lanciare attacchi di tipo man-in-the-middle (MitM) che gli consentono di leggere o modificare i dati tra il PLC e le HMI e le workstation di progettazione collegate. I ricercatori di Claroty hanno dichiarato di aver ottenuto la chiave privata sfruttando una vulnerabilità di esecuzione di codice arbitrario scoperta nel 2020 (CVE-2020-15782), che ha consentito loro di accedere direttamente alla memoria. Hanno dimostrato come un aggressore in possesso della chiave privata potrebbe ottenere il pieno controllo di un PLC e condurre attacchi MitM. “Siemens non è a conoscenza di incidenti di cybersicurezza correlati, ma ritiene che la probabilità di un uso improprio della chiave privata globale da parte di malintenzionati sia in aumento”, ha avvertito Siemens. Il gigante industriale ha apportato modifiche significative per risolvere il problema, impostando una password unica per ogni dispositivo e proteggendo le comunicazioni con TLS 1.3. L’azienda ha rilasciato aggiornamenti del firmware, ma non è in grado di risolvere il problema. L’azienda ha rilasciato aggiornamenti del firmware, ma ha fatto notare che l’aggiornamento del firmware di un dispositivo non è sufficiente. “Inoltre, la configurazione hardware nel progetto TIA Portal (V17 o successivo) deve essere aggiornata alla versione della CPU corrispondente e scaricata sul PLC”, ha dichiarato ai clienti.

Sicurezza Informatica

Campagna di malvertising porta all’esecuzione della backdoor Oyster

Tempo di lettura: 2 minuti. Rapid7 scopre campagna malvertising che distribuisce backdoor Oyster, utilizzando installatori malevoli di software come Microsoft Teams.

Pubblicato

in data

Tempo di lettura: 2 minuti.

Rapid7 ha recentemente osservato una campagna di malvertising che induce gli utenti a scaricare installatori malevoli per software popolari come Google Chrome e Microsoft Teams che vengono utilizzati per distribuire una backdoor identificata come Oyster, nota anche come Broomstick. Una volta eseguita, questa backdoor esegue comandi di enumerazione e distribuisce ulteriori payload.

Accesso Iniziale

In tre incidenti separati, Rapid7 ha osservato utenti scaricare presunti installatori di Microsoft Teams da siti web con domini simili a quelli legittimi (typo-squatting). Gli utenti venivano indirizzati a questi siti tramite motori di ricerca come Google e Bing, credendo di scaricare software legittimo. Ad esempio, un utente ha navigato all’URL hxxps://micrsoft-teams-download[.]com/, scaricando il file MSTeamsSetup_c_l_.exe, firmato con un certificato Authenticode emesso a “Shanxi Yanghua HOME Furnishings Ltd”.

Analisi Tecnica

L’analisi del file MSTeamsSetup_c_l_.exe ha rivelato che conteneva due binari nella sezione delle risorse, che venivano caricati nella cartella Temp durante l’esecuzione. I due binari erano CleanUp30.dll e un legittimo installer di Microsoft Teams. CleanUp30.dll viene eseguito tramite rundll32.exe, creando una task pianificata ClearMngs per eseguire CleanUp30.dll ogni tre ore.

Funzionalità di Oyster/Broomstick

Oyster, noto anche come Broomstick o CleanUpLoader, è stato osservato per la prima volta nel settembre 2023. Il loader Oyster Installer mascherava il dropper della backdoor Oyster Main, responsabile della raccolta di informazioni sull’host compromesso, della comunicazione con i server C2 e dell’esecuzione remota del codice.

Decodifica dei C2

L’analisi del CleanUp30.dll ha mostrato l’uso di una funzione di decodifica unica per recuperare gli indirizzi dei server C2, utilizzando una mappa di byte hardcoded per obfuscate i dati. Rapid7 ha creato uno script Python per decodificare queste stringhe, rivelando i domini C2 utilizzati per le comunicazioni malevoli.

Attività Successive

In uno degli incidenti osservati, un PowerShell script è stato eseguito per creare un file di collegamento .lnk (DiskCleanUp.lnk) nella cartella di avvio, garantendo l’esecuzione di CleanUp.dll ad ogni accesso dell’utente. Inoltre, sono stati osservati comandi di enumerazione per raccogliere informazioni dettagliate sul sistema compromesso.

Rilevamento e prevenzione

Per proteggersi da questa campagna di malvertising, è importante verificare l’autenticità delle fonti di download e utilizzare soluzioni di sicurezza che rilevano comportamenti sospetti come l’uso di RunDLL32 per lanciare script o la creazione di task pianificate non autorizzate.

La campagna di malvertising che distribuisce la backdoor Oyster rappresenta una minaccia significativa per le organizzazioni, utilizzando tecniche di inganno e obfuscation avanzate. È essenziale per le organizzazioni rimanere vigili e adottare misure preventive per proteggere i propri sistemi da queste minacce.

Prosegui la lettura

Sicurezza Informatica

ExCobalt: la tecnica del Tunnel nascosto di GoRed

Tempo di lettura: 2 minuti. Scopri la tecnica del tunnel nascosto di GoRed, la nuova backdoor di ExCobalt, utilizzata per cyber spionaggio contro settori critici.

Pubblicato

in data

Tempo di lettura: 2 minuti.

Nel corso di un’indagine su un incidente presso uno dei nostri clienti, il team PT ESC CSIRT ha scoperto una backdoor precedentemente sconosciuta scritta in Go, attribuita a un gruppo di cybercriminali denominato ExCobalt. ExCobalt, specializzato in cyber spionaggio, include membri attivi almeno dal 2016 e presumibilmente precedentemente parte del famigerato gruppo Cobalt.

Attività di ExCobalt

Negli ultimi anni, PT ESC ha registrato attacchi collegati a ExCobalt e indagato su incidenti presso organizzazioni russe in settori come:

  • Metallurgia
  • Telecomunicazioni
  • Miniere
  • Tecnologia dell’informazione
  • Governo
  • Sviluppo software

Caratteristiche di GoRed

GoRed è la nuova backdoor di ExCobalt con le seguenti funzionalità chiave:

  • Connessioni C2: Gli operatori possono connettersi alla backdoor ed eseguire comandi, simile ad altri framework C2 come Cobalt Strike o Sliver.
  • Protocollo RPC: Comunicazione con il server C2 utilizzando RPC.
  • Tunneling: Comunicazioni tramite DNS/ICMP, WSS e QUIC.
  • Raccolta Dati: Ottiene credenziali e raccoglie informazioni sui sistemi compromessi.
  • Comandi di Ricognizione: Esegue vari comandi per condurre ricognizioni sulla rete della vittima.
  • Esfiltrazione Dati: Serializza, cripta, archivia e invia i dati raccolti a un server dedicato.

Indagine su GoRed

Durante un’indagine su un incidente nel marzo 2024, è stato scoperto un file chiamato scrond, compresso con UPX. Una volta decompresso, il file scritto in Go mostrava percorsi di pacchetti contenenti la sottostringa “red.team/go-red/”, suggerendo un tool proprietario chiamato GoRed.

Versioni di GoRed

Le versioni trovate durante le indagini includono:

  • 0.0.1: Versione iniziale con raccolta informazioni base.
  • 0.0.9: Build di debug con configurazione estesa.
  • 0.0.13: Aggiunge shell inversa e monitoraggio file system.
  • 0.1.3: Descritta in un report Solar, non incontrata direttamente.
  • 0.1.4: Versione corrente, oggetto dell’analisi attuale.

Struttura interna di GoRed

GoRed utilizza vari pacchetti interni per differenti funzionalità:

  • config: Recupero delle configurazioni interne e di trasporto.
  • bb: Elaborazione dei comandi dell’operatore.
  • birdwatch: Monitoraggio del file system.
  • gecko: Protocollo di comunicazione con il C2.
  • backend: Connessione a un server di esfiltrazione dati.
  • collector: Raccolta informazioni di sistema.
  • proxy: Funzionamento in modalità proxy.
  • revshell: Funzionamento in modalità shell inversa.
  • dns: Implementazione del tunneling DNS.
  • icmptunnel: Implementazione del tunneling ICMP.

Funzionamento di GoRed

  1. Esecuzione e Persistenza: Inizia con il comando service per ottenere persistenza nel sistema.
  2. Modalità Beacon: Il comando gecko avvia la modalità beacon per la comunicazione con il C2.
  3. Raccolta Dati: GoRed raccoglie dati sul sistema compromesso e li invia al C2 tramite RPC.
  4. Esecuzione Comandi: Ascolta i comandi dell’operatore e li esegue, sia in background che in primo piano.

Comunicazione e configurazioni

GoRed comunica con il C2 utilizzando vari protocolli, tra cui WebSocket, QUIC, ICMP e DNS. Le configurazioni incorporate e di trasporto definiscono gli indirizzi e le modalità di connessione.

GoRed rappresenta una sofisticata backdoor utilizzata da ExCobalt per cyber spionaggio. La sua evoluzione e le capacità di nascondere le proprie tracce la rendono una minaccia significativa per le organizzazioni prese di mira.

Prosegui la lettura

Sicurezza Informatica

Meta: registrazione video sui Ray-Ban estesa a 3 minuti, ma attenzione alle pubblicità

Tempo di lettura: 2 minuti. Meta estende il limite di registrazione video sugli occhiali Ray-Ban Meta a 3 minuti: attenzione alla nuova campagna adware AdsExhaust

Pubblicato

in data

meta rayban smart glasses
Tempo di lettura: 2 minuti.

In un recente aggiornamento, Meta ha esteso il limite di registrazione video sugli occhiali intelligenti Ray-Ban Meta. Questo aggiornamento, che porta il software alla versione 6.0, introduce diverse nuove funzionalità, tra cui il supporto per Calm e Amazon Music, e soprattutto aumenta la durata massima di registrazione video fino a 3 minuti, rispetto al precedente limite di 1 minuto.

Miglioramenti principali

  1. Registrazione Video Estesa: Ora gli utenti possono registrare video fino a 3 minuti, migliorando significativamente le capacità di cattura video degli occhiali.
  2. Supporto per Nuove App: L’aggiornamento introduce anche il supporto per Calm e Amazon Music, ampliando le funzionalità degli occhiali.

Questo aggiornamento è attualmente in fase di rollout, con alcune discrepanze tra gli utenti su quando la funzione sarà disponibile per tutti.

Avviso: Adware prende di mira App Meta Quest

Una nuova campagna adware chiamata AdsExhaust sta prendendo di mira gli utenti che cercano l’applicazione Meta Quest (ex Oculus) per Windows. Questa campagna utilizza tecniche di avvelenamento SEO per posizionare un sito web falso nei risultati di ricerca di Google, inducendo gli utenti a scaricare un archivio ZIP dannoso.

Dettagli della campagna

  • Tecniche Utilizzate: L’infezione inizia con il download di un file batch da un server di comando e controllo (C2), seguito dall’installazione di script Visual Basic e PowerShell per raccogliere dati e generare clic non autorizzati su annunci.
  • Obiettivi dell’Adware: AdsExhaust mira a generare entrate manipolando l’interazione con i browser e cliccando su annunci sponsorizzati.

Questo adware, scoperto da eSentire, è particolarmente pericoloso poiché può simulare battute di tastiera, catturare schermate e rimanere nascosto mentre svolge attività dannose. È importante essere cauti quando si scaricano applicazioni e verificare sempre l’autenticità delle fonti.

Gli aggiornamenti sugli occhiali intelligenti Ray-Ban Meta e la nuova campagna adware evidenziano l’importanza di mantenere i dispositivi aggiornati e di essere vigili contro le minacce informatiche. Mentre gli occhiali intelligenti continuano a migliorare le loro funzionalità, gli utenti devono essere consapevoli dei rischi associati a software dannosi e adottare misure per proteggere i propri dati.

Prosegui la lettura

Facebook

CYBERSECURITY

Sicurezza Informatica8 minuti fa

Campagna di malvertising porta all’esecuzione della backdoor Oyster

Tempo di lettura: 2 minuti. Rapid7 scopre campagna malvertising che distribuisce backdoor Oyster, utilizzando installatori malevoli di software come Microsoft...

meta rayban smart glasses meta rayban smart glasses
Sicurezza Informatica1 ora fa

Meta: registrazione video sui Ray-Ban estesa a 3 minuti, ma attenzione alle pubblicità

Tempo di lettura: 2 minuti. Meta estende il limite di registrazione video sugli occhiali Ray-Ban Meta a 3 minuti: attenzione...

Sicurezza Informatica1 giorno fa

Grave vulnerabilità UEFI in numerosi processori Intel

Tempo di lettura: 2 minuti. Grave vulnerabilità UEFI nei processori Intel: rischio di esecuzione di codice malevolo. Aggiornamenti e misure...

Sicurezza Informatica2 giorni fa

Rafel RAT: dallo spionaggio alle operazioni ransomware su Android

Tempo di lettura: 3 minuti. Scopri come Rafel RAT sta trasformando il panorama della sicurezza Android con tecniche avanzate di...

Sicurezza Informatica2 giorni fa

CosmicSting: minaccia grave per i negozi Magento e Adobe Commerce

Tempo di lettura: 2 minuti. Scopri la minaccia di CosmicSting per i negozi Magento e Adobe Commerce, inclusi dettagli sulla...

Sicurezza Informatica2 giorni fa

Project Naptime: gli LLM migliorano la difesa informatica?

Tempo di lettura: 2 minuti. Project Naptime di Google Project Zero esplora come i modelli di linguaggio possono migliorare la...

Sicurezza Informatica3 giorni fa

SquidLoader: malware evasivo che colpisce la Cina

Tempo di lettura: 2 minuti. SquidLoader, un malware altamente evasivo, prende di mira le organizzazioni cinesi con tecniche avanzate di...

Sicurezza Informatica3 giorni fa

Operazione di Probing DNS su scala globale: il caso Secshow

Tempo di lettura: 3 minuti. L'operazione Secshow rivela un probing DNS globale che sfrutta resolver aperti e amplificazione Cortex Xpanse

Sicurezza Informatica3 giorni fa

Morris II: malware auto-replicante che compromette assistenti Email con AI

Tempo di lettura: 2 minuti. Morris II, il malware auto-replicante che minaccia gli assistenti email GenAI, richiede misure di sicurezza...

Sicurezza Informatica4 giorni fa

Bug in Windows 10 e ONNX Phishing: ultime novità e minacce

Tempo di lettura: 2 minuti. Scopri il bug di Windows 10 che causa dialoghi "Apri con" e la nuova minaccia...

Truffe recenti

fbi fbi
Sicurezza Informatica3 settimane fa

FBI legge Matrice Digitale? Avviso sulle truffe di lavoro Online

Tempo di lettura: 2 minuti. L'FBI segnala un aumento delle truffe lavoro da casa con pagamenti in criptovaluta, offrendo consigli...

Sicurezza Informatica3 settimane fa

Milano: operazione “Trust”, frodi informatiche e riciclaggio di criptovaluta

Tempo di lettura: 2 minuti. Scoperta un'organizzazione criminale transnazionale specializzata in frodi informatiche e riciclaggio di criptovaluta nell'operazione "Trust"

Inchieste4 settimane fa

Truffa lavoro Online: analisi metodo Mazarsiu e consigli

Tempo di lettura: 4 minuti. Mazarsiu e Temunao sono solo due portali di arrivo della truffa di lavoro online che...

Inchieste1 mese fa

Mazarsiu e Temunao: non solo truffa, ma un vero metodo

Tempo di lettura: 4 minuti. Le inchieste su Temunao e Marasiu hanno attivato tante segnalazioni alla redazione di persone che...

Pharmapiuit.com Pharmapiuit.com
Inchieste1 mese fa

Pharmapiuit.com : sito truffa online dal 2023

Tempo di lettura: 2 minuti. Pharmapiuit.com è l'ultimo sito truffa ancora online di una serie di portali che promettono forti...

Temunao.Top Temunao.Top
Inchieste1 mese fa

Temunao.Top: altro sito truffa che promette lavoro OnLine

Tempo di lettura: 2 minuti. Temunao.top è l'ennesimo sito web truffa che promette un premio finale a coloro che effettuano...

Inchieste1 mese fa

Attenti a Mazarsiu.com : offerta lavoro truffa da piattaforma Adecco

Tempo di lettura: 2 minuti. Dalla piattaforma Adecco ad un sito che offre lavoro attraverso le Google Ads: è la...

Sicurezza Informatica2 mesi fa

BogusBazaar falsi e-commerce usati per una truffa da 50 milioni

Tempo di lettura: 2 minuti. Oltre 850,000 persone sono state ingannate da una rete di 75,000 falsi negozi online, con...

Sicurezza Informatica2 mesi fa

Truffatori austriaci scappano dagli investitori, ma non dalla legge

Tempo di lettura: 2 minuti. Le forze dell'ordine hanno smascherato e arrestato un gruppo di truffatori austriaci dietro una frode...

Shein Shein
Truffe online3 mesi fa

Truffa dei buoni SHEIN da 300 euro, scopri come proteggerti

Tempo di lettura: < 1 minuto. La truffa dei buoni SHEIN da 300 euro sta facendo nuovamente vittime in Italia,...

Tech

Darktable 4.6.1 Darktable 4.6.1
Tech4 minuti fa

Darktable 4.8: nuovo editor di immagini RAW Open-Source

Tempo di lettura: 2 minuti. Darktable 4.8, l'editor di immagini RAW open-source, ha nuove funzionalità, miglioramenti e supporto esteso per...

Tech41 minuti fa

Galaxy S25 dubbi su Snapdragon e primi leak del Tab S10 Ultra

Tempo di lettura: 2 minuti. Galaxy S25 potrebbe non utilizzare Snapdragon se Samsung migliora la produzione dell'Exynos 2500: render trapelati...

Smartphone2 ore fa

Samsung dice addio a A51, A41 e M01: resiste l’S21 Ultra

Tempo di lettura: 5 minuti. Samsung termina il supporto per Galaxy A51 5G, A41 e M01, ma resiste ancora l'S21...

Tech2 ore fa

OnePlus Glacier: batteria più efficiente che dura più di 4 anni

Tempo di lettura: 2 minuti. OnePlus Glacier Battery: maggiore efficienza, durata e densità energetica, garantisce salute della batteria di quattro...

Smartphone20 ore fa

Realme GT 6 vs POCO F6: quale scegliere?

Tempo di lettura: 2 minuti. Confronto tra Realme GT 6 e POCO F6: scopri quale smartphone di fascia media offre...

Tech21 ore fa

HMD Tab Lite: fuga di notizie su opzioni di colore eleganti

Tempo di lettura: 2 minuti. HMD Tab Lite, nuovo tablet economico di HMD con opzioni di colore eleganti e specifiche...

Smartphone21 ore fa

Annuncio ufficiale di Realme V60 e V60s

Tempo di lettura: 2 minuti. Scopri le specifiche e i prezzi dei nuovi Realme V60 e V60s, smartphone 5G entry-level...

Tech21 ore fa

Prezzi di Samsung Galaxy Buds 3, Watch 7 e Watch Ultra Online. Sono dolori

Tempo di lettura: 2 minuti. Scopri i prezzi trapelati degli indossabili di Samsung, tra cui Galaxy Buds 3, Galaxy Watch...

Intelligenza Artificiale1 giorno fa

SQUID: nuova frontiera dell’intelligenza artificiale nella genomica

Tempo di lettura: 2 minuti. Scopri come SQUID, il nuovo strumento computazionale del Cold Spring Harbor Laboratory, apre la "scatola...

Tech1 giorno fa

Realme GT 6 vs Xiaomi 14 Civi: quale scegliere?

Tempo di lettura: 3 minuti. Confronto tra Realme GT 6 e Xiaomi 14 Civi: specifiche, design, prestazioni e prezzi per...

Tendenza