Connect with us

Sicurezza Informatica

Ucraina sotto attacco informatico: 70 siti web buttati giù dalla manina russa.

Pubblicato

in data

Tempo di lettura: < 1 minuto.

Non meno di 70 siti web gestiti dal governo ucraino sono andati offline venerdì per ore in quello che sembra essere un attacco informatico coordinato in mezzo alle crescenti tensioni con la Russia.

“Come risultato di un massiccio attacco informatico, i siti web del Ministero degli Affari Esteri e un certo numero di altre agenzie governative sono temporaneamente giù“, ha twittato Oleg Nikolenko, portavoce del MAE.

Il Servizio di sicurezza dell’Ucraina, l’autorità di polizia del paese, ha alluso a un possibile coinvolgimento russo, puntando il dito contro i gruppi apt associati ai servizi segreti russi, mentre marchiava le intrusioni come un attacco alla catena di approvvigionamento che ha riguardato la compromissione della “infrastruttura di una società commerciale che aveva accesso ai diritti di amministrare le risorse web colpite dall’attacco“.

Proprio nei giorni precedenti, vi è stato un annuncio dell’intelligence americana per quel che concerne il rischio delle infrastrutture informatiche kazake e ucraine di essere attaccate, mentre con questa ultima operazione di defacing dei siti web istituzionali torna alla memoria il periodo degli attacchi firmati dall’apt russo Sandworm.

Sicurezza Informatica

APT Nordcoreane aggiornano malware BeaverTail per MacOS

Pubblicato

in data

Tempo di lettura: 2 minuti.

Recentemente, sono stati scoperti aggiornamenti significativi al malware BeaverTail, utilizzato dalle APT nordcoreane per condurre campagne di cyber spionaggio. Questo malware è stato rilevato in un file immagine per macOS, denominato “MiroTalk.dmg”, che imita il servizio di videochiamate legittimo MiroTalk, ma serve a distribuire una variante nativa di BeaverTail.

Dettagli dell’Infezione

Il malware BeaverTail, originariamente documentato come un malware stealer JavaScript da Palo Alto Networks nel 2023, è stato ora aggiornato per includere funzionalità native per macOS. Questo aggiornamento è stato rilevato da Patrick Wardle, un ricercatore di sicurezza, che ha analizzato il file immagine “MiroTalk.dmg” non firmato.

L’infezione avviene attraverso un’app trojanizzata di nome “MiroTalk”, che una volta eseguita, tenta di esfiltrare dati sensibili dai browser web, portafogli di criptovalute e dal portachiavi di iCloud. Inoltre, è progettata per scaricare ed eseguire ulteriori script Python dal server remoto, come il backdoor InvisibleFerret.

Analisi Tecnica di MiroTalk.dmg

L’analisi statica del file immagine ha rivelato che il malware raccoglie informazioni sensibili da browser come Google Chrome, Brave e Opera, e tenta di esfiltrare questi dati al server di comando e controllo 95.164.17.24. Il malware cerca anche di scaricare ed eseguire ulteriori payload Python, come InvisibleFerret, per mantenere l’accesso remoto persistente.

Wardle ha sottolineato che, nonostante le tecniche di hacking nordcoreane si basino spesso sull’ingegneria sociale, sono comunque molto efficaci. Ha anche menzionato l’uso di strumenti open-source come BlockBlock e LuLu, che possono aiutare a bloccare queste minacce anche senza una conoscenza preliminare.

Campagne di Phishing e altre attività maligne

Il malware BeaverTail è stato distribuito in passato attraverso pacchetti npm falsi ospitati su GitHub e il registro npm, ma le ultime scoperte indicano un cambiamento nel vettore di distribuzione. Gli hacker nordcoreani hanno probabilmente invitato le vittime a partecipare a incontri di assunzione scaricando e eseguendo una versione infetta di MiroTalk ospitata su mirotalk[.]net.

Inoltre, Phylum ha recentemente scoperto un nuovo pacchetto npm malevolo denominato call-blockflow, sospettato di essere opera del gruppo Lazarus, collegato alla Corea del Nord. Questo pacchetto, quasi identico al legittimo call-bind, incorpora funzionalità per scaricare file binari remoti, eseguirli e poi coprire le tracce cancellando e rinominando i file.

Gli hacker nordcoreani continuano a rappresentare una minaccia significativa per gli utenti macOS, utilizzando tecniche sofisticate e social engineering per distribuire malware come BeaverTail. Gli utenti sono invitati a rimanere vigili e utilizzare strumenti di sicurezza adeguati per proteggere i propri sistemi.

Prosegui la lettura

Sicurezza Informatica

FIN7: nuovi attacchi e strumenti automatizzati

Pubblicato

in data

Tempo di lettura: 3 minuti.

FIN7, noto gruppo di cybercriminali, continua a evolversi e rafforzare le sue operazioni con nuovi bypass EDR (Endpoint Detection and Response) e attacchi automatizzati. Originario della Russia e attivo dal 2012, il gruppo ha causato ingenti perdite finanziarie in vari settori industriali. Negli ultimi anni, ha spostato il focus verso le operazioni ransomware, affiliandosi con gruppi come REvil e Conti e lanciando programmi RaaS (Ransomware-as-a-Service) come Darkside e BlackMatter.

Operazioni Sotterranee di FIN7

FIN7 utilizza pseudonimi multipli per mascherare la propria identità e mantenere le operazioni criminali nel mercato clandestino. Recentemente, è stato osservato l’uso di attacchi SQL automatizzati per sfruttare le applicazioni pubbliche. Uno degli strumenti principali sviluppati da FIN7 è AvNeutralizer (noto anche come AuKill), un tool altamente specializzato per manipolare le soluzioni di sicurezza. Questo strumento è stato commercializzato nel mercato criminale sotterraneo ed è stato utilizzato da diversi gruppi ransomware.

FIN7 ha dimostrato una notevole adattabilità, utilizzando campagne di phishing sofisticate e tecniche di ingegneria sociale per ottenere accesso iniziale alle reti aziendali. Ha creato aziende di sicurezza fraudolente, come Combi Security e Bastion Secure, per ingannare i ricercatori di sicurezza e lanciare attacchi ransomware. Nonostante gli arresti di alcuni membri, le attività di FIN7 sono continuate, suggerendo cambiamenti nelle tecniche, tattiche e procedure (TTP) o la formazione di gruppi scissionisti.

Strumenti e Tecniche di FIN7

L’arsenale di FIN7 comprende strumenti come Powertrash, Diceloader, Core Impact e un backdoor basato su SSH. Powertrash è uno script PowerShell pesantemente offuscato, progettato per caricare riflessivamente un file PE incorporato in memoria, permettendo al gruppo di eseguire payload backdoor furtivamente. Diceloader, noto anche come Lizar o IceBot, è una backdoor minima che consente agli attaccanti di stabilire un canale di controllo. Core Impact è uno strumento di penetration testing utilizzato per attività di sfruttamento. Infine, il backdoor basato su SSH viene utilizzato per mantenere la persistenza sui sistemi compromessi.

Commercializzazione e impatti di AvNeutralizer

AvNeutralizer è stato osservato per la prima volta in attacchi condotti dal gruppo ransomware Black Basta nel 2022. Successivamente, è stato utilizzato da altri gruppi ransomware, tra cui AvosLocker, MedusaLocker, BlackCat, Trigona e LockBit. AvNeutralizer utilizza tecniche combinate per creare una condizione di denial of service (DoS) in alcune implementazioni di processi protetti, sfruttando il driver TTD Monitor Driver (ProcLaunchMon.sys) e versioni aggiornate del driver Process Explorer.

Il gruppo ha utilizzato pseudonimi come “goodsoft”, “lefroggy”, “killerAV” e “Stupor” per vendere AvNeutralizer su forum di hacking in lingua russa dal 2022, con prezzi variabili tra $4.000 e $15.000. L’uso di multiple identità e la collaborazione con altri enti criminali rendono difficile l’attribuzione delle attività di FIN7 e dimostrano le sue strategie operative avanzate.

Innovazioni e Minacce di FIN7

FIN7 continua a innovare, sviluppando tecniche sofisticate per eludere le misure di sicurezza. La commercializzazione dei suoi strumenti nei forum sotterranei criminali aumenta significativamente l’impatto del gruppo. Le recenti scoperte di SentinelOne mostrano che FIN7 ha aggiornato AvNeutralizer con nuove capacità, rendendolo uno strumento prezioso per i gruppi ransomware.

La continua evoluzione di FIN7 e la sua capacità di adattamento alle difese avanzate rappresentano una minaccia significativa per le imprese in tutto il mondo. Gli esperti di sicurezza devono rimanere vigili e aggiornati sulle ultime tattiche e strumenti utilizzati da questo gruppo di cybercriminali.

Prosegui la lettura

Sicurezza Informatica

Cisco: aggiornamenti sulle vulnerabilità e misure di sicurezza

Pubblicato

in data

Cisco logo
Tempo di lettura: 2 minuti.

Cisco ha recentemente rilasciato aggiornamenti di sicurezza per affrontare diverse vulnerabilità nei suoi prodotti. Questi aggiornamenti sono cruciali per garantire la protezione dei sistemi contro potenziali minacce. Ecco una panoramica dettagliata delle vulnerabilità trattate e delle soluzioni proposte da Cisco.

Vulnerabilità di Caricamento Arbitrario di File in Cisco Identity Services Engine

Leggi l’avviso completo

Cisco ha identificato una vulnerabilità nel Cisco Identity Services Engine (ISE) che potrebbe consentire il caricamento arbitrario di file. Questo difetto potrebbe permettere a un attaccante di caricare file dannosi nel sistema, compromettendo la sicurezza.

Versioni Interessate e Risoluzioni:

  • 3.0 e versioni precedenti: Migrare a una versione corretta.
  • 3.1: Risolto in 3.1P10 (Gennaio 2025).
  • 3.2: Risolto in 3.2P7 (Settembre 2024).
  • 3.3: Risolto in 3.3P3.

Cisco raccomanda di aggiornare alla versione corretta per mitigare il rischio associato a questa vulnerabilità.

Vulnerabilità della Chiave Statica nel Cisco Intelligent Node Software

Leggi l’avviso completo

Una vulnerabilità nel Cisco Intelligent Node Software può permettere l’uso di chiavi crittografiche statiche, compromettendo la sicurezza dei dati.

Versioni Interessate e Risoluzioni:

  • 3.1.2 e versioni precedenti: Risolto in 4.0.0.
  • 23.1 e versioni precedenti (iNode Manager): Risolto in 24.1.

L’aggiornamento alle versioni fisse è essenziale per prevenire possibili compromissioni.

Vulnerabilità di Redirect Aperto nella Serie Cisco Expressway

Leggi l’avviso completo

Un difetto nella serie Cisco Expressway potrebbe consentire attacchi di redirect aperti, portando gli utenti a siti malevoli.

Versioni Interessate e Risoluzioni:

  • Versioni precedenti alla 15: Migrare a una versione corretta.
  • 15: Risolto in 15.0.2.

L’aggiornamento è necessario per evitare potenziali attacchi di phishing.

Vulnerabilità di Iniezione di Template Server-Side nel Cisco Secure Email Gateway

Leggi l’avviso completo

Una vulnerabilità nel Cisco Secure Email Gateway può permettere l’iniezione di codice dannoso tramite template server-side.

Versioni Interessate e Risoluzioni:

  • 14.2 e versioni precedenti: Risolto in 14.2.3-027.
  • 15.0: Risolto in 15.0.0-097.
  • 15.5: Non vulnerabile.

L’aggiornamento alla versione corretta è cruciale per mantenere la sicurezza del sistema.

Vulnerabilità di Scrittura Arbitraria di File nel Cisco Secure Email Gateway

Leggi l’avviso completo

Un’altra vulnerabilità nel Cisco Secure Email Gateway permette la scrittura arbitraria di file, con potenziali conseguenze di sicurezza.

Versioni Interessate e Risoluzioni:

  • AsyncOS 15.5.1-055 e successivi: Risolto.

Vulnerabilità di Cambio Password nel Cisco Smart Software Manager On-Prem

Leggi l’avviso completo

Una vulnerabilità nel Cisco Smart Software Manager On-Prem può permettere cambi di password non autorizzati.

Versioni Interessate e Risoluzioni:

  • 8-202206 e versioni precedenti: Risolto in 8-202212.
  • 9: Non vulnerabile.
Prosegui la lettura

Facebook

CYBERSECURITY

Sicurezza Informatica3 ore fa

Addio Kaspersky: aggiornamenti gratuiti per sei mesi negli USA

Tempo di lettura: 2 minuti. Kaspersky, azienda di sicurezza informatica russa, sta offrendo ai suoi clienti statunitensi sei mesi di...

Cisco logo Cisco logo
Sicurezza Informatica18 ore fa

Vulnerabilità Cisco: aggiornamenti critici e raccomandazioni

Tempo di lettura: 2 minuti. Cisco ha recentemente pubblicato una serie di advisory di sicurezza riguardanti diverse vulnerabilità critiche nei...

CISA logo CISA logo
Sicurezza Informatica18 ore fa

CISA: vulnerabilità Magento, VMware, SolarWinds e ICS

Tempo di lettura: 2 minuti. La Cybersecurity and Infrastructure Security Agency (CISA) ha recentemente aggiornato il suo catalogo delle vulnerabilità...

Sicurezza Informatica19 ore fa

Vulnerabilità critica in Apache HugeGraph: aggiornate subito

Tempo di lettura: 2 minuti. Apache HugeGraph, un sistema di database a grafo open-source, è attualmente soggetto a sfruttamenti attivi...

Sicurezza Informatica3 giorni fa

HardBit Ransomware: analisi e mitigazione delle minacce

Tempo di lettura: 3 minuti. HardBit Ransomware 4.0 introduce protezione con passphrase e obfuscazione avanzata. Scopri come proteggerti da questa...

Sicurezza Informatica5 giorni fa

Vulnerabilità in Modern Events Calendar: migliaia di WordPress a rischio

Tempo di lettura: 2 minuti. Vulnerabilità critica nel plugin Modern Events Calendar consente il caricamento arbitrario di file da parte...

Sicurezza Informatica5 giorni fa

Attacco RADIUS: panoramica dettagliata

Tempo di lettura: 3 minuti. Il protocollo RADIUS può essere compromesso utilizzando tecniche avanzate di collisione MD5 per eseguire attacchi...

Sicurezza Informatica5 giorni fa

ViperSoftX sfrutta AutoIt e CLR per l’esecuzione Stealth di PowerShell

Tempo di lettura: 3 minuti. ViperSoftX utilizza AutoIt e CLR per eseguire comandi PowerShell in modo stealth, eludendo i meccanismi...

Sicurezza Informatica5 giorni fa

Malware Poco RAT mira vittime di lingua spagnola

Tempo di lettura: 3 minuti. Poco RAT, nuovo malware che prende di mira le vittime di lingua spagnola con campagne...

Microsoft teams Microsoft teams
Sicurezza Informatica5 giorni fa

Falso Microsoft Teams per Mac distribuisce Atomic Stealer

Tempo di lettura: 2 minuti. Un falso Microsoft Teams per Mac distribuisce il malware Atomic Stealer tramite una campagna di...

Truffe recenti

Inchieste1 settimana fa

Idealong.com chiuso, ma attenti a marketideal.xyz e bol-it.com

Tempo di lettura: 2 minuti. Dopo aver svelato la truffa Idealong, abbiamo scoperto altri link che ospitano offerte di lavoro...

Inchieste2 settimane fa

Idealong.com spilla soldi ed assolda lavoratori per recensioni false

Tempo di lettura: 4 minuti. Il metodo Idealong ha sostituito Mazarsiu e, dalle segnalazioni dei clienti, la truffa agisce su...

Sicurezza Informatica2 settimane fa

Truffa lavoro online: Mazarsiu sparito, attenti a idealong.com

Tempo di lettura: 2 minuti. Dopo il sito Mazarsiu, abbandonato dai criminali dopo le inchieste di Matrice Digitale, emerge un...

fbi fbi
Sicurezza Informatica1 mese fa

FBI legge Matrice Digitale? Avviso sulle truffe di lavoro Online

Tempo di lettura: 2 minuti. L'FBI segnala un aumento delle truffe lavoro da casa con pagamenti in criptovaluta, offrendo consigli...

Sicurezza Informatica2 mesi fa

Milano: operazione “Trust”, frodi informatiche e riciclaggio di criptovaluta

Tempo di lettura: 2 minuti. Scoperta un'organizzazione criminale transnazionale specializzata in frodi informatiche e riciclaggio di criptovaluta nell'operazione "Trust"

Inchieste2 mesi fa

Truffa lavoro Online: analisi metodo Mazarsiu e consigli

Tempo di lettura: 4 minuti. Mazarsiu e Temunao sono solo due portali di arrivo della truffa di lavoro online che...

Inchieste2 mesi fa

Mazarsiu e Temunao: non solo truffa, ma un vero metodo

Tempo di lettura: 4 minuti. Le inchieste su Temunao e Marasiu hanno attivato tante segnalazioni alla redazione di persone che...

Pharmapiuit.com Pharmapiuit.com
Inchieste2 mesi fa

Pharmapiuit.com : sito truffa online dal 2023

Tempo di lettura: 2 minuti. Pharmapiuit.com è l'ultimo sito truffa ancora online di una serie di portali che promettono forti...

Temunao.Top Temunao.Top
Inchieste2 mesi fa

Temunao.Top: altro sito truffa che promette lavoro OnLine

Tempo di lettura: 2 minuti. Temunao.top è l'ennesimo sito web truffa che promette un premio finale a coloro che effettuano...

Inchieste2 mesi fa

Attenti a Mazarsiu.com : offerta lavoro truffa da piattaforma Adecco

Tempo di lettura: 2 minuti. Dalla piattaforma Adecco ad un sito che offre lavoro attraverso le Google Ads: è la...

Tech

Smartphone2 ore fa

Galaxy Z Fold 7 Slim sarà spesso quanto un S24 Ultra

Tempo di lettura: 2 minuti. Samsung sta sviluppando nuovi modelli di smartphone pieghevoli e ha recentemente annunciato alcune novità importanti...

Smartphone2 ore fa

Nubia Z60 Ultra Leading Version e Z60S Pro: lancio Imminente

Tempo di lettura: 2 minuti. Nubia, il brand di proprietà di ZTE, si prepara al lancio globale due dei suoi...

Smartphone2 ore fa

Aggiornamento luglio 2024 per Galaxy A14 5G e S24

Tempo di lettura: 2 minuti. Samsung ha iniziato a distribuire l’aggiornamento di sicurezza di luglio 2024 per diversi modelli di...

Intelligenza Artificiale18 ore fa

Nuovo metodo di Intelligenza Artificiale per creare “Impronte” dei Materiali

Tempo di lettura: 2 minuti. Un team di scienziati presso il laboratorio nazionale Argonne ha sviluppato un nuovo metodo basato...

Smartphone19 ore fa

Realme 13 Pro 5G: specifiche rivelate prima del lancio

Tempo di lettura: 3 minuti. Realme è pronta al lancio il Realme 13 Pro 5G, che promette di essere uno...

Smartphone19 ore fa

Samsung rivela One UI 7 e migliora la sicurezza con One UI 6.1.1

Tempo di lettura: 2 minuti. Samsung sta preparando il lancio di One UI 7, che promette di essere uno degli...

Tech19 ore fa

Novità su AMD, Snapdragon e la compatibilità con Linux

Tempo di lettura: 3 minuti. Le ultime notizie nel campo della tecnologia includono importanti sviluppi da parte di AMD, Qualcomm...

VirtualBox VirtualBox
Tech20 ore fa

VirtualBox 7.0.20: manutenzione e aggiornamenti

Tempo di lettura: < 1 minuto. VirtualBox 7.0.20, rilasciato il 16 luglio 2024, è un aggiornamento di manutenzione che introduce...

Smartphone24 ore fa

Samsung lancia il Galaxy M35 5G in India

Tempo di lettura: 2 minuti. Samsung ha ufficialmente lanciato il Galaxy M35 5G in India, poco dopo il suo debutto...

Tech1 giorno fa

Audacity 3.6.0: novità e miglioramenti

Tempo di lettura: 2 minuti. Audacity, il popolare software di editing audio open-source, ha rilasciato la versione 3.6.0 con numerose...

Tendenza