Connect with us

Sicurezza Informatica

Svelati i tratti nascosti di BloodAlchemy

Tempo di lettura: 2 minuti. Scopri BloodAlchemy, un’evoluzione di Deed RAT, e la sua analisi dettagliata. Un approfondimento sulla sicurezza informatica e le minacce APT.

Pubblicato

in data

Tempo di lettura: 2 minuti.

L’analisi del malware “BloodAlchemy” osservato in una campagna di attacco nell’ottobre 2023 rivela che non si tratta di un nuovo malware, ma di una versione evoluta di Deed RAT, successore di ShadowPad. Elastic Security Lab ha identificato BloodAlchemy come un nuovo Remote Access Trojan (RAT), ma l’indagine ha svelato le sue radici nel noto Deed RAT.

Storia del Gruppo di Malware

ShadowPad

ShadowPad è una famiglia di malware utilizzata in campagne di minacce avanzate persistenti (APT). È emerso nel 2017 in un attacco alla catena di fornitura di software per la gestione dei server aziendali. Originariamente utilizzato dal gruppo APT41, ShadowPad è stato adottato da vari gruppi APT dal 2020 in poi.

Deed RAT

Deed RAT, utilizzato dal gruppo di minaccia Space Pirates attivo dal 2017, mostra una forte somiglianza con ShadowPad. È stato usato come RAT per operazioni di spionaggio e cyber attacchi.

Analisi di BloodAlchemy

Vettore di infezione e flusso di infezione

BloodAlchemy si diffonde attraverso un set di file dannosi che sfruttano un account di manutenzione su un dispositivo VPN. Questi file includono BrDifxapi.exe, BrLogAPI.dll e DIFX, che vengono archiviati nella directory di Windows. Un task pianificato garantisce la persistenza del malware.

Analisi del DLL Malevolo

Quando BrDifxapi.exe viene eseguito, carica il DLL malevolo BrLogAPI.dll, che a sua volta carica e decripta il file DIFX per eseguire il codice shell. Questo codice shell contiene la versione cifrata e compressa di BloodAlchemy, decrittata con un algoritmo personalizzato basato sull’hash FNV-1a e la compressione lznt1.

Struttura del Payload

Il payload decrittato di BloodAlchemy mostra una struttura dati unica simile al formato PE (Portable Executable). Il malware può operare in diverse modalità, ciascuna con funzioni specifiche come la comunicazione con il server C2, l’iniezione di codice e tecniche anti-debugging.

Persistenza e Funzionalità Anti-Sandbox

BloodAlchemy incorpora meccanismi di persistenza basati su servizi, avvii automatici e task pianificati. Include anche funzionalità anti-sandbox per evitare il rilevamento nei sandbox di analisi, verificando nomi di processi e risultati DNS specifici.

Iniezione di Processo

Il malware utilizza l’iniezione di processo, inserendo codice shell nei processi di sistema come SearchIndexer.exe, wininit.exe, taskhost.exe e svchost.exe. Questo viene fatto utilizzando la tecnica di iniezione APC (Asynchronous Procedure Call).

Comandi del Backdoor

BloodAlchemy implementa 15 comandi di backdoor per controllare la macchina infetta, tra cui aggiornamenti di configurazione, raccolta di informazioni sulla vittima e persistenza.

Somiglianze con Deed RAT

L’analisi approfondita rivela somiglianze significative tra BloodAlchemy e Deed RAT, come strutture dati, gestione delle eccezioni e nomi dei plugin, confermando che BloodAlchemy è probabilmente una variante di Deed RAT.

L’analisi di BloodAlchemy evidenzia la sua evoluzione da Deed RAT e la sua origine nel malware ShadowPad, utilizzato in numerose campagne APT. È essenziale monitorare le tendenze di utilizzo di questo malware per prevenire ulteriori attacchi.

Sicurezza Informatica

Tails 6.4: miglioramenti nella Sicurezza e Nuove Funzionalità

Tempo di lettura: 2 minuti. Tails 6.4 introduce random seed per la crittografia, predilige HTTPS per i repository software e aggiorna Tor Browser e Thunderbird.

Pubblicato

in data

Tempo di lettura: 2 minuti.

Tails 6.4, il sistema operativo amnesico e incognito basato su Debian, è stato rilasciato oggi come l’ultima versione stabile di questa distribuzione GNU/Linux che protegge contro la sorveglianza e la censura.

Punti Salienti di Tails 6.4

Introduzione del Random Seed

Una delle principali novità di Tails 6.4 è l’abilitazione della memorizzazione di un random seed sulla chiavetta USB di Tails. Questo miglioramento rafforza tutta la crittografia utilizzata nel sistema. Gli sviluppatori sottolineano che avere un generatore di numeri casuali sicuro è fondamentale per vari componenti di Tails che si basano sulla crittografia, come Persistent Storage, Tor e HTTPS. Questo random seed è memorizzato al di fuori della Persistent Storage, permettendo a tutti gli utenti di beneficiare di una crittografia più robusta.

Passaggio agli Indirizzi HTTPS

Tails 6.4 passa dagli indirizzi onion agli indirizzi HTTPS per i repository software di Debian e Tails APT, migliorando la sicurezza durante il download e l’aggiornamento dei pacchetti.

Aggiornamenti del Software

La nuova versione include anche aggiornamenti importanti per diversi software:

Tor Browser: Aggiornato alla versione 13.0.16, migliorando la navigazione anonima.
Client Tor: Aggiornato alla versione 0.4.8.12, migliorando la connettività e la sicurezza.
Mozilla Thunderbird: Aggiornato alla versione 115.12.0, reintroducendo la funzionalità di lettura dei PDF che era stata disabilitata nella versione precedente per motivi di sicurezza.

Correzioni di Bug

Tails 6.4 risolve diversi bug, migliorando l’esperienza utente complessiva:

Sblocco di Persistent Storage: Migliorata la procedura di sblocco.
Connessione a Rete Mobile: Risolti problemi di connessione su alcuni PC.
Messaggi di Errore di Tails Cloner: Risolti errori che si verificavano quando la chiavetta USB di destinazione non poteva essere smontata.
Funzionalità “New Identity” del Tor Browser: Risolti problemi con la homepage.
Altri Miglioramenti
Oltre agli aggiornamenti e alle correzioni di bug, Tails 6.4 rimuove il dialogo ridondante che appariva durante lo sblocco di un volume VeraCrypt e reintroduce la funzionalità di lettura dei PDF in Mozilla Thunderbird.

Download e Aggiornamenti

Gli utenti possono scaricare Tails 6.4 dal sito ufficiale come immagine ISO live o immagine USB per sistemi a 64-bit. Gli utenti esistenti riceveranno una notifica di aggiornamento automatico, ma possono anche aggiornare manualmente le loro installazioni.

Tails 6.4 introduce miglioramenti significativi alla sicurezza e all’usabilità, continuando a rafforzare la protezione contro la sorveglianza e la censura. L’introduzione del random seed e il passaggio agli indirizzi HTTPS per i repository software sono passi importanti verso una maggiore sicurezza per tutti gli utenti.

Prosegui la lettura

Sicurezza Informatica

l’APT cinese Velvet Ant ha spiato un’azienda per tre anni

Tempo di lettura: 2 minuti. Velvet Ant, un attore di minaccia sponsorizzato dallo stato cinese, ha spiato una grande organizzazione per tre anni.

Pubblicato

in data

Tempo di lettura: 2 minuti.

Nel tardo 2023, una grande organizzazione è stata vittima di un grave attacco cibernetico. L’indagine forense condotta da Sygnia ha rivelato un attore di minaccia sofisticato, che ha mantenuto una presenza prolungata nella rete on-premises dell’organizzazione per circa tre anni. Questo attacco, attribuito a un attore di minaccia sponsorizzato dallo stato cinese noto come Velvet Ant, ha utilizzato tecniche avanzate per infiltrarsi e mantenere l’accesso alla rete della vittima per scopi di spionaggio.

Persistenza e tecniche di infiltrazione

Velvet Ant ha stabilito e mantenuto molteplici punti di accesso all’interno dell’ambiente della vittima, utilizzando un dispositivo F5 BIG-IP legacy come comando e controllo interno (C&C). Quando un punto di accesso veniva scoperto e rimediato, l’attore della minaccia passava rapidamente a un altro, dimostrando agilità e adattabilità nell’evitare il rilevamento. L’attore ha sfruttato vari punti di ingresso attraverso l’infrastruttura di rete della vittima, mostrando una comprensione approfondita dell’ambiente target.

Utilizzo di PlugX

Una delle tecniche di attacco di Velvet Ant includeva l’uso di PlugX, un trojan di accesso remoto ampiamente utilizzato da gruppi sponsorizzati dallo stato cinese. PlugX è stato utilizzato per ottenere accesso remoto ai sistemi infetti, con una catena di esecuzione che coinvolgeva il caricamento di DLL malevoli e l’iniezione di codice nei processi di sistema.

Sygnia ha identificato e rimosso con successo PlugX e altri malware dalla rete della vittima, implementando misure di sicurezza avanzate per prevenire ulteriori infezioni.

Difendersi da Velvet Ant

Per proteggersi da attacchi simili, Sygnia consiglia di adottare una strategia di difesa olistica che includa monitoraggio continuo, risposte proattive alle minacce, controlli rigorosi del traffico e pratiche di rafforzamento del sistema. Questo approccio aiuta le organizzazioni a rilevare, dissuadere e contrastare le minacce persistenti presentate da gruppi sponsorizzati dallo stato.

L’attacco di Velvet Ant evidenzia la necessità di strategie di difesa resilienti contro le minacce sofisticate, in particolare quelle poste dai gruppi sponsorizzati dallo stato. Adottando un approccio olistico alla sicurezza, le organizzazioni possono migliorare la loro capacità di rilevare e contrastare le minacce avanzate, proteggendo le loro reti e dati sensibili da attacchi persistenti.

Prosegui la lettura

Sicurezza Informatica

Empire Market: transazioni illegali per $430 Milioni

Tempo di lettura: 2 minuti. Gli operatori di Empire Market sono stati accusati per aver facilitato oltre 430 milioni di dollari in transazioni illegali nel dark web.

Pubblicato

in data

Tempo di lettura: 2 minuti.

Due uomini sono stati accusati in un tribunale federale di Chicago per aver gestito “Empire Market”, un mercato del dark web che ha facilitato oltre 430 milioni di dollari in transazioni illegali tra febbraio 2018 e agosto 2020. Empire Market era una piattaforma popolare nel dark web che vendeva droga, prodotti chimici, gioielli, numeri di carte di credito, denaro contraffatto, malware e altri beni illeciti, accettando pagamenti in Monero, Litecoin e Bitcoin.

Chiusura Improvvisa e Accuse

Il mercato è stato chiuso improvvisamente nel 2020 a causa di persistenti attacchi DDoS basati su estorsioni, senza dare agli utenti il tempo di ritirare i fondi dai loro conti escrow, sollevando accuse di exit scam. Secondo l’accusa rilasciata dal Dipartimento di Giustizia degli Stati Uniti (DoJ), Thomas Pavey (alias “Dopenugget”) e Raheim Hamilton (alias “Sydney” e “Zero Angel”) erano precedentemente coinvolti nella vendita di valuta contraffatta su AlphaBay prima di avviare Empire Market.

Transazioni e Operazioni di Empire Market

Attraverso Empire Market, i due hanno facilitato oltre 4 milioni di transazioni per un valore di oltre 430 milioni di dollari, permettendo a migliaia di utenti di vendere e acquistare articoli rubati, carte di credito, eroina, metanfetamina, cocaina, LSD e altri beni. Le transazioni coinvolgevano criptovalute combinate con servizi di “tumbling” per oscurare la fonte e la destinazione dei fondi e sfuggire alle forze dell’ordine. Pavey e Hamilton si pagavano trattenendo una parte delle transazioni in criptovaluta su Empire Market, utilizzando i fondi per pagare sé stessi e un team di moderatori.

Accuse e possibili condanne

Gli operatori del mercato ora affrontano cinque accuse principali:

  • Cospirazione per vendere valuta contraffatta su AlphaBay.
  • Cospirazione per distribuire sostanze controllate tramite Empire Market.
  • Cospirazione per possedere dispositivi di accesso non autorizzati.
  • Cospirazione per vendere valuta contraffatta su Empire Market.
  • Cospirazione per riciclaggio di denaro per nascondere i proventi delle attività illegali.

Se condannati per tutte le accuse, Pavey e Hamilton potrebbero affrontare l’ergastolo, soprattutto a causa delle accuse di traffico di droga, che prevedono una pena minima obbligatoria di 10 anni. Inoltre, se condannati, dovranno confiscare qualsiasi proprietà derivata dai proventi dei loro crimini, inclusa la proprietà personale. Se i beni originali sono irraggiungibili, saranno cercati beni sostitutivi.

Sequestri e indagini

L’annuncio del DoJ ha anche menzionato che le indagini hanno già portato al sequestro di 75 milioni di dollari in criptovaluta, oltre a contanti e metalli preziosi. Non sono stati condivisi dettagli su quando sono avvenuti gli arresti e se la chiusura improvvisa di Empire Market nel 2020 fosse dovuta all’azione delle forze dell’ordine.

Prosegui la lettura

Facebook

CYBERSECURITY

Sicurezza Informatica18 ore fa

Compromissione PowerShell: nuove tecniche di attacco

Tempo di lettura: 2 minuti. Meta descrizione: Una nuova tecnica di attacco utilizza ingegneria sociale per indurre gli utenti a...

Sicurezza Informatica1 giorno fa

ASUS risolve vulnerabilità critica su 7 modelli di router

Tempo di lettura: 2 minuti. ASUS risolve una vulnerabilità critica di bypass dell'autenticazione su sette modelli di router, invitando gli...

Sicurezza Informatica2 giorni fa

Linux in sofferenza con due malware: TIKTAG e DISGOMOJI

Tempo di lettura: 3 minuti. Nuovi attacchi TIKTAG e malware DISGOMOJI minacciano la sicurezza di Google Chrome, sistemi Linux e...

Sicurezza Informatica3 giorni fa

Modelli di machine learning con attacchi Sleepy a file Pickle

Tempo di lettura: 3 minuti. La tecnica Sleepy Pickle sfrutta i file Pickle per compromettere i modelli di machine learning,...

CISA logo CISA logo
Sicurezza Informatica4 giorni fa

CISA: vulnerabilità sfruttate e truffatori telefonici

Tempo di lettura: 2 minuti. La CISA avverte di una vulnerabilità di Windows sfruttata in attacchi ransomware e segnala truffe...

Sicurezza Informatica5 giorni fa

OpenAI nomina ex capo NSA nel Consiglio di Amministrazione

Tempo di lettura: 2 minuti. OpenAI nomina Paul M. Nakasone, ex capo NSA, nel Consiglio di Amministrazione: conflitto di interessi...

Sicurezza Informatica6 giorni fa

Analisi tecnica del malware SSLoad

Tempo di lettura: 2 minuti. L'analisi del malware SSLoad rivela la sua intricata capacità di evitare il rilevamento e distribuire...

Sicurezza Informatica6 giorni fa

WARMCOOKIE: pericolosa Backdoor multipiattaforma

Tempo di lettura: 2 minuti. WARMCOOKIE, nuovo backdoor multipiattaforma, utilizzato in campagne di phishing a tema lavorativo: le indicazioni di...

Sicurezza Informatica6 giorni fa

Noodle RAT: malware multipiattaforma colpisce Windows e Linux

Tempo di lettura: 2 minuti. Noodle RAT, nuovo malware multipiattaforma, colpisce sistemi Windows e Linux, utilizzato da attori di lingua...

Microsoft Patch Tuesday Microsoft Patch Tuesday
Sicurezza Informatica7 giorni fa

Microsoft Patch Tuesday di giugno risolve 51 vulnerabilità

Tempo di lettura: < 1 minuto. Scopri le ultime patch di sicurezza rilasciate da Microsoft per affrontare 51 vulnerabilità, inclusi...

Truffe recenti

fbi fbi
Sicurezza Informatica2 settimane fa

FBI legge Matrice Digitale? Avviso sulle truffe di lavoro Online

Tempo di lettura: 2 minuti. L'FBI segnala un aumento delle truffe lavoro da casa con pagamenti in criptovaluta, offrendo consigli...

Sicurezza Informatica3 settimane fa

Milano: operazione “Trust”, frodi informatiche e riciclaggio di criptovaluta

Tempo di lettura: 2 minuti. Scoperta un'organizzazione criminale transnazionale specializzata in frodi informatiche e riciclaggio di criptovaluta nell'operazione "Trust"

Inchieste3 settimane fa

Truffa lavoro Online: analisi metodo Mazarsiu e consigli

Tempo di lettura: 4 minuti. Mazarsiu e Temunao sono solo due portali di arrivo della truffa di lavoro online che...

Inchieste4 settimane fa

Mazarsiu e Temunao: non solo truffa, ma un vero metodo

Tempo di lettura: 4 minuti. Le inchieste su Temunao e Marasiu hanno attivato tante segnalazioni alla redazione di persone che...

Pharmapiuit.com Pharmapiuit.com
Inchieste1 mese fa

Pharmapiuit.com : sito truffa online dal 2023

Tempo di lettura: 2 minuti. Pharmapiuit.com è l'ultimo sito truffa ancora online di una serie di portali che promettono forti...

Temunao.Top Temunao.Top
Inchieste1 mese fa

Temunao.Top: altro sito truffa che promette lavoro OnLine

Tempo di lettura: 2 minuti. Temunao.top è l'ennesimo sito web truffa che promette un premio finale a coloro che effettuano...

Inchieste1 mese fa

Attenti a Mazarsiu.com : offerta lavoro truffa da piattaforma Adecco

Tempo di lettura: 2 minuti. Dalla piattaforma Adecco ad un sito che offre lavoro attraverso le Google Ads: è la...

Sicurezza Informatica1 mese fa

BogusBazaar falsi e-commerce usati per una truffa da 50 milioni

Tempo di lettura: 2 minuti. Oltre 850,000 persone sono state ingannate da una rete di 75,000 falsi negozi online, con...

Sicurezza Informatica1 mese fa

Truffatori austriaci scappano dagli investitori, ma non dalla legge

Tempo di lettura: 2 minuti. Le forze dell'ordine hanno smascherato e arrestato un gruppo di truffatori austriaci dietro una frode...

Shein Shein
Truffe online2 mesi fa

Truffa dei buoni SHEIN da 300 euro, scopri come proteggerti

Tempo di lettura: < 1 minuto. La truffa dei buoni SHEIN da 300 euro sta facendo nuovamente vittime in Italia,...

Tech

Xiaomi 14 series Xiaomi 14 series
Smartphone13 ore fa

Xiaomi 15: nuovo flagship compatto da battere

Tempo di lettura: < 1 minuto. Il Xiaomi 15 promette di essere un flagship compatto da battere con batteria da...

Edge 50 Ultra specifiche Edge 50 Ultra specifiche
Smartphone13 ore fa

Motorola Edge 50 Ultra ufficiale e Moto G85 5G arriva presto

Tempo di lettura: 3 minuti. Motorola lancia Edge 50 Ultra in India con Snapdragon 8s Gen 3 e ricarica rapida...

Tech15 ore fa

HMD Slate Tab: design nostalgico Lumia e tecnologia moderna

Tempo di lettura: 2 minuti. HMD Slate Tab combina il design iconico dei Lumia con tecnologia moderna, offrendo specifiche avanzate...

Smartphone16 ore fa

Novità Samsung A25, Galaxy Buds 3 e Wear OS

Tempo di lettura: 3 minuti. Samsung aggiorna il Galaxy A25 a One UI 6.1, nuove funzionalità nel browser Internet per...

Tech16 ore fa

Snapdragon 680 vs Snapdragon 695: confronto prestazioni

Tempo di lettura: 2 minuti. Snapdragon 680, Snapdragon 695, benchmark, Qualcomm, processori, AnTuTu, Geekbench, 5G, Snapdragon X,

Tech17 ore fa

Samsung Galaxy Book 4 Edge: specifiche e novità sulla versione economica

Tempo di lettura: 4 minuti. Samsung lancia il Galaxy Book 4 Edge con Snapdragon X Elite, disponibile globalmente con specifiche...

Caviar Galaxy S24 Ultra Caviar Galaxy S24 Ultra
Smartphone19 ore fa

Samsung: novità per Galaxy S22 e S24 Ultra

Tempo di lettura: 3 minuti. Samsung introduce sfondi generativi AI per Galaxy S22 e una nuova colorazione Titanium Yellow per...

Tech19 ore fa

watchOS 11 e Galaxy Watch 7 Ultra: le novità da non perdere

Tempo di lettura: 2 minuti. Le novità di watchOS 11 e Galaxy Watch 7 Ultra: nuove suonerie per Apple Watch...

Intelligenza Artificiale19 ore fa

DeepMind di Google guida la classifica europea delle citazioni AI

Tempo di lettura: 2 minuti. DeepMind di Google guida la classifica europea delle citazioni AI, superando le principali istituzioni con...

Smartphone19 ore fa

Redmi Note 11: Aggiornamento di Giugno 2024 con HyperOS

Tempo di lettura: 2 minuti. Xiaomi rilascia l'aggiornamento HyperOS di giugno 2024 per Redmi Note 11 con miglioramenti e patch...

Tendenza