Nov 20, 2024 Marina Londei Attacchi, Hacking, In evidenza, Minacce, News, RSS 0

---

Una campagna di spionaggio a opera di hacker cinesi ha colpito tra le più grandi aziende di telecomunicazioni statunitensi, tra le quali Verizon, Lumen Technologies, AT&T e T-Mobile. Proprio quest’ultima compagnia ha confermato di recente di essere stata una delle vittime del grave data breach.

A riportarlo è stato il Wall Street Journal: un referente della compagnia ha confermato il coinvolgimento alla testata, chiarendo però che “i sistemi e i dati T-Mobile non sono stati impattati in maniera significativa e non abbiamo prove che ci siano impatti sulle informazioni dei consumatori“.

In un avviso congiunto pubblicato pochi giorni fa, il governo statunitense e l’FBI avevano rivelato la scoperta della campagna di spionaggio a opera di gruppi affiliati al governo cinese. Stando alla comunicazione, il gruppo di cybercriminali ha sottratto dati riguardo alle chiamate dei consumatori e compromesso le comunicazioni private di alcune figure legate ad attività politiche e governative; inoltre, il gruppo è anche riuscito a copiare alcune informazioni oggetto di richieste delle forze dell’ordine statunitensi, effettuate tramite ordini giudiziari.

Stando alle informazioni raccolte finora, il gruppo responsabile dell’attacco sarebbe Salt Typhoon. La campagna andrebbe avanti da mesi, almeno otto, e, visto il raggio d’azione e le informazioni compromesse, il security breach appare di proporzioni catastrofiche.

Il The Wall Street Journal riporta che il gruppo ha usato tecniche sofisticate per ottenere l’accesso all’infrastruttura delle vittime. La gang avrebbe usato alcune vulnerabilità presenti nei router Cisco e, secondo le forze dell’ordine, il gruppo avrebbe anche fatto uso dell’intelligenza artificiale per eseguire gli attacchi su scala.

Il data breach ha colpito anche compagnie di telecomunicazioni al di fuori degli Stati Uniti. Al momento non sono stati rivelati i nomi di queste vittime, ma si tratta di realtà di Paesi che collaborano da vicino con l’intelligence americana.

È ormai più di un mese che le autorità statunitensi stanno lavorando per comprendere meglio gli impatti reali della campagna e contrastarla. John Moolenaar, presidente repubblicano della House Select Committee on China, e Raja Krishnamoorthi, democratica del pannello, hanno sottolineato la gravità della situazione: “Stiamo affrontando un cyberattaccante come non ne abbiamo mai affrontati prima. Sarebbe impossibile sovrastimare le conseguenze di qualsiasi breach di questo tipo“.

---

---

---

https://www.securityinfo.it/2024/11/20/una-grave-data-breach-ha-colpito-le-aziende-statunitensi-di-telecomunicazioni/?utm_source=rss&utm_medium=rss&utm_campaign=una-grave-data-breach-ha-colpito-le-aziende-statunitensi-di-telecomunicazioni

Nov 18, 2024 Marina Londei In evidenza, Minacce, News, RSS, Vulnerabilità 0

---

István Márton, ricercatore di Wordfence, ha individuato una vulnerabilità critica presente nel plugin Really Simple Security di WordPress. Il bug consente a un attaccante di ottenere i privilegi di amministratore e prendere il controllo dell’intero sito.

La vulnerabilità, tracciata come CVE-2024-10924, è infatti un bug di authentication bypass che permette a un attaccante di ottenere accesso a qualsiasi account registrato sul sito, anche di amministratore, quando è abilitata l’autenticazione a due fattori.

“Questa è una delle vulnerabilità più gravi che abbiamo segnalato nei nostri 12 anni di storia come fornitore di sicurezza per WordPress“ ha specificato Márton.

L’autenticazione a due fattori è stata aggiunta piuttosto di recente quando il plugin ha cambiato nome da “Really Simple SSL” a “Really Simple Security”. L’aggiornamento includeva anche funzionalità per la protezione del login e l’individuazione di vulnerabilità.

La feature di autenticazione però è stata implementata in maniera non sicura, col risultato che qualsiasi utente non autenticato può prendere il controllo degli account registrato sul sito usando una semplice API REST.

Secondo i dati riportati da Márton, il plugin viene usato da oltre 4 milioni di siti. Le versioni vulnerabili del plugin sono quelle dalla 9.0.0 alla 9.1.1.1.

Il ricercatore ha individuato il bug a inizio novembre e ha contattato immediatamente il team di Really Simple Security. Il team del plugin ha rilasciato una patch risolutiva pochi giorni dopo, disponibile nella versione 9.1.2.

Visti gli impatti della vulnerabilità, Wordfence consiglia agli amministratori di siti WordPress che usano il plugin di aggiornarlo il prima possibile all’ultima versione.

---

---

---

https://www.securityinfo.it/2024/11/18/una-vulnerabilita-di-un-plugin-di-wordpress-mette-a-rischio-piu-di-4-milioni-di-siti/?utm_source=rss&utm_medium=rss&utm_campaign=una-vulnerabilita-di-un-plugin-di-wordpress-mette-a-rischio-piu-di-4-milioni-di-siti

Nov 15, 2024 Valentina Caruso Attacchi, News 0

---

La sicurezza dei toolkit ML continua a essere minacciata da una serie di vulnerabilità piuttosto diffuse. Un’analisi recente di JFrog, azienda specializzata nella sicurezza della catena di fornitura del software, ha rivelato una serie di debolezze presenti in 15 progetti open-source legati al mondo dei sistemi di apprendimento automatico (ML). Parliamo di falle che potrebbero compromettere sia server sia client.

Vulnerabilità di tutti i generi

Nel complesso, i ricercatori JFrog hanno individuato oltre venti vulnerabilità. Sfruttandole, i cybercriminali potrebbero prendere il controllo di componenti critiche dei sistemi ML, tra cui database e pipeline di addestramento. Una delle vulnerabilità individuate, CVE-2024-7340 (Weave ML), è una falla directory traversal. Questa fragilità permette agli utenti con pochi privilegi di accedere a file riservati eludendo le protezioni. Gli attacchi che la sfruttano vengono spesso sottovalutati rispetto ad altre minacce online ma sono in realtà altrettanto pericolosi.

Ci sono poi vulnerabilità legate a misure di accesso deboli o privilegi assegnati in modo errato. La prima tipologia (ZenML) permette agli utenti di ottenere autorizzazioni amministrative e manipolare il codice. La seconda, invece, si chiama CVE-2024-6507 (Deep Lake) ed è una vulnerabilità di tipo injection che consente ai malintenzionati di eseguire comandi di sistema su dataset remoti.

CVE-2024-45187 (Mage AI), grazie ai privilegi assegnati in modo errato, fa sì che utenti guest siano autorizzati ad eseguire codice arbitrario da remoto, anche dopo la loro cancellazione, per 30 giorni.

JFrog ha sottolineato che molte di queste falle possono portare a violazioni anche gravi. Questo perché i cybercriminali possono sfruttarle per accedere a dati, training e modelli. Una pipeline vulnerabile può permettere agli hacker di compromettere severamente i modelli ML, fare data poisoning o installare backdoor.

Servono protezioni per i toolkit ML

Le falle di cui abbiamo parlato sono state identificate in strumenti come Weave, ZenML, Deep Lake, Vanna.AI e Mage AI. Tutte consentono, potenzialmente, di accedere senza autorizzazione a dati sensibili e modelli ML.

Questo panorama di vulnerabilità dimostra quanto sia essenziale una protezione completa e aggiornata dei sistemi ML per contrastare proattivamente le minacce, prevenire eventuali attacchi e proteggere dati e modelli sensibili.

---

---

---

https://www.securityinfo.it/2024/11/15/le-falle-di-sicurezza-nei-toolkit-ml-piu-diffusi/?utm_source=rss&utm_medium=rss&utm_campaign=le-falle-di-sicurezza-nei-toolkit-ml-piu-diffusi

Nov 15, 2024 Marina Londei In evidenza, Leaks, Minacce, News, RSS 0

---

Aaron Costello, Chief of SaaS Security Research di AppOmni, ha individuato un problema nelle API di Microsoft Power Pages che, se configurata in maniera errata, espone informazioni sensibili degli utenti.

“Nel settembre 2024, ho scoperto che una quantità significativa di dati è stata esposta a Internet come risultato di controlli di accesso non configurati correttamente nei siti web di Microsoft Power Page” ha affermato Costello.

Power Pages è una piattaforma SaaS low-code che consente di creare siti web basati sull’infrastruttura Microsoft. Lo strumento consente di progettare siti web in poco tempo usando il sistema drag&drop, scegliendo tra componenti web pronti all’uso.

La vulnerabilità risiede in una configurazione errata dei controlli di accesso, legata a delle implementazioni non sicure. Nel dettaglio, gli utenti esterni hanno permessi troppo elevati, tanto da poter ottenere i record sensibili dal database della piattaforma sfruttando le API a disposizione.

Power Pages infatti prevede una serie di ruoli, tra i quali “Anonymous User” e “Authenticated User”: il primo comprende tutti gli utenti che non si sono autenticati sul sito, il secondo invece è generico per tutti gli utenti che sono autenticati. Generalmente si usa il “Authenticated User” per consentire a chiunque di creare un account; una volta creato il profilo, l’utente ottiene tutti i permessi del ruolo, compresi quelli di accesso ai record interni delle organizzazioni.

L’errore è trattare il ruolo “Authenticated User” come se fosse un utente interno, quando in realtà dovrebbe esserci distinzione con quelli esterni: Power Pages dovrebbe usare invece il ruolo di “Anonymous User” per chi si registra dal web.

La gestione degli accessi in Microsoft Power Pages

Oltre alla definizione dei ruoli, Power Pages usa un sistema di controllo multi-livello: la gestione a livello di sito comprende le configurazioni globali che abilitano o disabilitano funzionalità quali la registrazione pubblica o l’autenticazione; a livello di tabella, si definiscono i ruoli e i permessi (lettura, modifica, cancellazione) per ogni tabella del database; infine, esiste il controllo degli accessi a livello di colonna che sfrutta profili di sicurezza per mascherare colonne di dati sensibili.

Quest’ultima funzionalità non è immediata da implementare e spesso viene ignorata dalle aziende; ciò significa che anche un utente esterno, classificato come “Authenticated”, può accedere a colonne contenenti informazioni sensibili sugli utenti.

Le cause principali delle esposizioni individuate da Costello risiedono in primis nei permessi eccessivi a livello di API, quando le colonne delle tabelle sono tutte accessibili. Anche lasciare la possibilità a chiunque di registrarsi aumenta il rischio di accessi non autorizzati, così come l’uso di configurazioni “Global Access” che abilitano tutti i permessi sulle tabelle.

“Senza sfruttare i profili di sicurezza delle colonne, tutte le colonne abilitate alle API web saranno mostrate agli utenti esterni se le autorizzazioni a livello di tabella non sono configurate correttamente” ha spiegato Costello. I profili di sicurezza relativi alle colonne permette di aggiungere un ulteriore livello di protezione, consentendo l’accesso ai dati sensibili solo agli utenti coi privilegi più elevati. Le organizzazioni però non danno abbastanza importanza al controllo: “In tutti i test che ho fatto non c’era una sola implementazione della sicurezza a livello di colonna per impedire l’accesso alle colonne sensibili“ ha specificato il ricercatore.

Costello ha scoperto milioni di record di dati sensibili accessibili dalla rete, sia di utenti interni a Microsoft che di clienti che usano Web Pages. Nella maggior parte dei casi, i dati includevano i nomi completi degli utenti, indirizzi email, numeri di telefono e indirizzi di casa.

Microsoft avverte i suoi utenti con una serie di alert quando individua una configurazione potenzialmente pericolosa in Power Pages, a cui le aziende però non prestano sufficiente attenzione. Costello specifica che l’unico modo per risolvere il problema è rimuovere del tutto i permessi elevati per gli utenti esterni. È comunque caldamente consigliato vagliare tutte le tabelle e le colonne per identificare i dati sensibili e definire profili di sicurezza precisi per gli accessi. 

Alcune organizzazioni potrebbero non riuscire a implementare questi controlli senza alterare le funzionalità del sito; in questi casi è consigliabile usare un endpoint personalizzato per validare le informazioni condivise con l’utente.

---

---

---

https://www.securityinfo.it/2024/11/15/lapi-di-microsoft-power-pages-puo-esporre-dati-sensibili/?utm_source=rss&utm_medium=rss&utm_campaign=lapi-di-microsoft-power-pages-puo-esporre-dati-sensibili

Nov 14, 2024 Marina Londei Approfondimenti, Attacchi, Attacchi, Campagne malware, In evidenza, News, Phishing, RSS 0

---

L’FBI ha lanciato un allarme: stando a un avviso pubblicato dall’agenzia governativa statunitense, è stato rilevato un aumento significativo di compromissioni di account email delle forze dell’ordine. Secondo l’alert le compromissioni non riguardano solo le forze dell’ordine degli Stati Uniti, ma anche indirizzi email di istituzioni governative estere.

I cybercriminali stanno utilizzando questi account per ottenere informazioni personali dei clienti di compagnie statunitensi. Dopo aver preso il controllo degli account delle vittime, gli attaccanti inviano email fraudolente dove richiedono ai consumatori di comunicare dati personali, giocando sul senso di urgenza.

Le prime attività sono state rilevate nell’agosto 2023, quando un cybercriminale ha cominciato a vendere corsi per creare e inviare richieste alle vittime per ottenere dati sensibili. L’Agenzia ha individuato altre attività anche a ottobre e dicembre dello stesso anno.

Le ultime operazioni tracciate dall’FBI risalgono ad agosto scorso, quando un cybercriminale ha messo in vendita un database di email governative per scopi di “spionaggio, social engineering, data extortion, richieste Dada ecc.”. Il cybercriminale si offriva inoltre di aiutare gli acquirenti a inviare richieste di dati sensibili e vendere documenti rubati, tra i quali anche atti giudiziari.

Stando ai post individuati, alcuni cybercriminali possiedono email governative di oltre 25 Paesi, oltre a username, email, numero di telefono e altre informazioni private di vari utenti.

Matt Donahue, ex agente dell’FBI, ha dichiarato a KrebsOnSecurity che probabilmente gli account delle forze dell’ordine sono stati compromessi tramite email di phishing o sfruttando le credenziali rubate tramite altre infezioni malware. “Molte agenzie di polizia nel mondo non hanno una postura rigorosa di sicurezza informatica, ma anche le e-mail delle autorità statunitensi vengono violate. Negli ultimi nove mesi, ho contattato la CISA più di una dozzina di volte in merito a indirizzi e-mail .gov che erano stati compromessi e di cui la CISA non era a conoscenza” ha affermato Donahue.

L’FBI ha incluso nell’avviso anche numerose indicazioni per mitigare questo tipo di attacchi. Le attività più importanti includono l’uso di protocolli robusti per le credenziali e e l’utilizzo di tool per la gestione e la memorizzazione delle password.

Tutte le credenziali di default devono essere obbligatoriamente cambiate e si richiede inoltre l’implementazione dell’autenticazione multi-fattore per tutti i servizi. È importante inoltre monitorare attentamente gli accessi e definire i permessi degli account seguendo il principio del privilegio minimo.

L’accesso alle risorse andrebbe limitato e la rete andrebbe segmentata per evitare la diffusione di malware e ransomware. È necessario inoltre utilizzare sistemi di monitoraggio per identificare il prima possibile le attività sospette e bloccarle, isolando eventualmente i dispositivi compromessi.

Infine, sistemi operativi, software e firmware dovrebbe essere aggiornati regolarmente e occorre assicurarsi che i dispositivi siano configurati adeguatamente, con tutte le funzionalità di sicurezza abilitate.

---

---

---

https://www.securityinfo.it/2024/11/14/aumentano-le-compromissioni-di-account-email-delle-forze-dellordine-fbi-lancia-lallarme/?utm_source=rss&utm_medium=rss&utm_campaign=aumentano-le-compromissioni-di-account-email-delle-forze-dellordine-fbi-lancia-lallarme

Nov 13, 2024 Marina Londei Approfondimenti, Attacchi, Attacchi, In evidenza, Minacce, News, RSS 0

---

I ricercatori di Securonix hanno scoperto CRON#TRAP, una campagna che sfrutta un ambiente Linux emulato per installare una backdoor sul dispositivo della vittima e permettere agli attaccanti di mantenere la persistenza.

L’ambiente viene emulato tramite Quick Emulator (QEMU), un tool open-source di virtualizzazione che consente di emulare diverse architetture per eseguire vari sistemi operativi. Usato solitamente per scopi di test e sviluppo, essendo un tool legittimo non genera alert di sicurezza.

“Questa configurazione consente all’attaccante di mantenere una presenza furtiva sul computer della vittima, eseguendo ulteriori attività dannose in un ambiente nascosto, rendendo difficile il rilevamento da parte delle soluzioni antivirus tradizionali” spiegano i ricercatori.

Al momento non ancora stato accertato il vettore iniziale di attacco, anche se il team di Securonix ritiene che sia stata un’email di phishing contenente un link per scaricare un file malevolo. Una volta estratto, il file analizzato dai ricercatori e presumibilmente legato alla campagna di CRON#TRAP, esegue uno script per inizializzare QEMU e creare l’ambiente Linux.

Mentre all’utente viene presentato un messaggio di errore dopo l’apertura del file, l’ambiente Linux, chiamato “PivotBox”, viene eseguito in background. PivotBox consente agli attaccanti di eseguire numerosi comandi per interagire con l’host e inizializzare una comunicazione col server C2.

Tra i comandi ci sono inoltre indicazioni per installare tool quali vim, file e openssh, eseguire crondx, ottenere persistenza ed elevare i privilegi, creare e manipolare chiavi SSH e stabilire un canale per l’esfiltrazione dei dati.

Secondo i ricercatori di Securonix, la campagna di CRON#TRAP è di particolare interesse perché, pur cominciando con una serie di azioni standard, come l’e-mail di phishing, in seguito utilizza un approccio molto sofisticato e furtivo, oltre che altamente personalizzato.

Oltre a evitare di scaricare file sospetti e aprire link malevoli, i ricercatori della compagnia ricordano di monitorare l’eventuale esecuzione di software non previsto sull’host, anche se legittimo, e di affidarsi a soluzioni robuste per la protezione degli endpoint.

---

---

---

https://www.securityinfo.it/2024/11/13/scoperto-crontrap-un-ambiente-linux-emulato-che-installa-una-backdoor/?utm_source=rss&utm_medium=rss&utm_campaign=scoperto-crontrap-un-ambiente-linux-emulato-che-installa-una-backdoor

Nov 12, 2024 Marina Londei Approfondimenti, Attacchi, Attacchi, Campagne malware, Hacking, In evidenza, News, RSS 0

---

Le minacce APT sono in aumento e in molti casi stanno estendendo il proprio raggio d’azione: secondo quanto riportato dall’APT Activity Report di ESET, i gruppi filo-cinesi stanno ampliando i propri confini d’attacco, mentre l’Iran ha intensificato lo spionaggio diplomatico.

Nel dettaglio, ESET ha individuato un’espansione significativa di MirrorFace, un gruppo allineato alla Cina. Il gruppo, solitamente concentrato solo su obiettivi giapponesi, ha esteso le proprie operazioni a un’organizzazione diplomatica dell’UE. In generale, i gruppi APT filo-cinesi stanno usando sempre di più SoftEther, VPN open-source e multipiattaforma, per mantenere l’accesso alle reti delle vittime.

I gruppi allineati all’Iran hanno invece colpito diverse società di servizi finanziari in Africa, condotto operazioni di spionaggio informatico contro Iraq e Azerbaigian e intensificato l’interesse verso il settore dei trasporti israeliano. Questi gruppi mantengono comunque un focus globale, prendendo di mira soprattutto organizzazioni diplomatiche in Francia e istituzioni educative negli Stati Uniti.

Anche i gruppi legati alla Corea del Nord stanno continuando con i tentativi di furto di fondi, soprattutto contro contro aziende dei settori della difesa e dell’aerospaziale in Europa e negli Stati Uniti, e prendono di mira sviluppatori di criptovalute, think tank e ONG. Diversi gruppi di attaccanti hanno spesso abusato di popolari servizi basati su cloud.

Infine, ESET ha rilevato che i gruppi di cyberspionaggio allineati alla Russia prendono spesso di mira i server webmail, come Roundcube e Zimbra, di solito con email di spearphishing che attivano vulnerabilità XSS note. Oltre a Sednit, ESET ha identificato GreenCube, un altro gruppo cybercriminale russo che sottrae messaggi email tramite vulnerabilità XSS in Roundcube.

Altre entità concentrano i loro attacchi sull’Ucraina; un esempio è Gamaredon che ha effettuato campagne di spearphishing e continua ad aggiornare i propri strumenti utilizzando anche app di messaggistica come Telegram e Signal. Sandworm ha invece utilizzato una nuova backdoor per Windows chiamata WrongSens.

Il dettaglio geografico degli attacchi APT

In Asia le campagne continuano a concentrarsi sulle organizzazioni governative, anche se c’è stato un aumento di attacchi verso il settore educativo, in particolare contro ricercatori e accademici della penisola coreana e del Sud-est asiatico.

Lazarus, uno dei gruppi allineati alla Corea del Nord, ha continuato a colpire organizzazioni in tutto il mondo nei settori finanziario e tecnologico. Nel Medio Oriente, diversi gruppi APT iraniani hanno continuato a prendere di mira organizzazioni governative, soprattutto in Israele.

Poiché l’Africa è diventata un partner geopolitico importante per la Cina, i gruppi cinesi stanno ampliando le proprie attività in quel continente. Infine, in Ucraina i gruppi allineati alla Russia sono rimasti i più attivi, colpendo enti governativi, il settore della difesa e quello dei servizi essenziali.

---

---

---

https://www.securityinfo.it/2024/11/12/report-apt-eset-i-gruppi-filo-cinesi-e-iraniani-intensificano-le-attivita/?utm_source=rss&utm_medium=rss&utm_campaign=report-apt-eset-i-gruppi-filo-cinesi-e-iraniani-intensificano-le-attivita

Nov 12, 2024 Valentina Caruso Attacchi, News 0

---

Le aziende di criptovalute sono prese di mira da una campagna malware in grado di infettare i dispositivi macOS. Gli autori di questa minaccia sembrano essere legati alla Repubblica Popolare Democratica di Corea (DPRK). Secondo gli specialisti in cybersicurezza di SentinelOne, infatti, si tratterebbe di BlueNoroff. Un gruppo nordcoreano specializzato in phishing che prima del 2020 ha portato a termine un furto del valore di 3 miliardi di dollari in fondi. Negli anni, BlueNoroff è stato collegato alla diffusione di alcune famiglie di malware tra cui figurano TodoSwift, RustDoor e ObjCShellz.

La campagna Hidden Risk

L’attuale campagna sembra essere iniziata a luglio 2024 ed è stata soprannominata Hidden Risk. Il malware si nasconde in un’applicazione dannosa che si spaccia per un file pdf e opera sfruttando attacchi multi-fase.

Tutto parte da una mail che ha come oggetto proprio le criptovalute e adesca le sue vittime grazie a titoli sensazionalistici. L’esca, spesso, è rappresentata da false opportunità di investimento o di lavoro nel mondo crypto.

Alta ingegneria sociale

L’FBI ha sottolineato, in una comunicazione che risale allo scorso settembre, come questi attacchi siano difficili da rilevare e ben congegnati. Si rivolgono a dipendenti che lavorano nel settore delle criptovalute e della finanza o ad appassionati del tema. E sono altamente personalizzati.

Tra gli aspetti più pericolosi c’è quello del coinvolgimento di lunga durata: i cybercriminali inviano mail non sospette per lungo tempo, conquistando la fiducia dei malcapitati, e solo alla fine distribuiscono il malware.

Le osservazioni di SentinelOne

In particolare, il singolo attacco Hidden Risk osservato analizzato da SentinelOne risale alla fine di ottobre 2024. L’applicazione malevola ha scaricato un file PDF esca recuperato da Google Drive ma allo stesso tempo ha anche recuperato un file eseguibile da un server remoto, aprendo una backdoor.

L’applicazione era scritta nel linguaggio di programmazione Swift, firmata e autenticata da una ID sviluppatore Apple. Tra le attività criminali di BlueNoroff c’è, infatti, anche quella del dirottamento di account sviluppatori validi. Vengono usati per diffondere in modo più efficace il malware. 

La backdoor si distingue poi per la presenza di un nuovo meccanismo di persistenza pensato per sopravvivere ai reboot. Il meccanismo sfrutta il file di configurazione zshenv. Gli APT (Advanced Persistent Threat) riescono a mantenere l’accesso non autorizzato ai sistemi, senza essere rintracciati, anche per lungo tempo, continuando a spiare le vittime e rubare dati.

La notifica di Apple non si attiva

Il meccanismo degli attacchi Hidden Risk alle aziende di criptovalute è in parte simile a quello che era stato usato da questo o da altri gruppi hacker per distribuire TodoSwift. Il sistema è particolarmente astuto perché Apple ha introdotto, a partire macOS Ventura, delle notifiche di minaccia. Gli utenti, cioè, vengono avvisati quando vengono installati nel sistema metodi persistenti e applicazioni sospette. L’abuso di zshenv però non allerta il sistema macOS e non comporta nessuna notifica.

Meno sofisticato ma comunque efficace

Negli ultimi 12 mesi, i criminali informatici nordcoreani stanno sferrando attacchi contro una serie di aziende legate al mondo delle criptovalute sfruttando approcci anche molto complessi che hanno previsto, ad esempio, di avvicinarsi gradualmente alle vittime usando i social network.

Hidden Risk da questo punto di vista è una campagna meno sofisticata perché sfrutta in modo più tradizionale una serie di email. Non per questo, però, si dimostra meno efficace.

Il furto di codici privati e informazioni relative ai portafogli digitali è una minaccia molto seria che coinvolge non solo le singole aziende del settore ma potenzialmente l’intero ecosistema delle criptovalute.

---

---

---

https://www.securityinfo.it/2024/11/12/aziende-di-criptovalute-sotto-attacco-bluenoroff-colpisce-ancora/?utm_source=rss&utm_medium=rss&utm_campaign=aziende-di-criptovalute-sotto-attacco-bluenoroff-colpisce-ancora

Nov 11, 2024 Stefano Silvestri Hacking, Intrusione, Malware, News, Phishing, Tecnologia, Vulnerabilità 0

---

Questa settimana, il CERT-AGID ha rilevato e analizzato complessivamente 41 campagne malevole all’interno del contesto italiano.

Di queste 26 sono state mirate specificamente a obiettivi in Italia mentre 15 hanno avuto natura generica, coinvolgendo comunque il territorio nazionale.

A seguito delle analisi, sono stati resi disponibili ai suoi enti accreditati 255 indicatori di compromissione (IoC) identificati.

I temi della settimana

Per quanto riguarda i temi sfruttati nelle campagne, sono stati identificati 20 argomenti utilizzati per diffondere attacchi malevoli in Italia.

Tra questi, il tema del Rinnovo è stato usato nelle campagne di phishing rivolte agli utenti di Aruba, mentre l’argomento degli Ordini è stato centrale in numerose campagne, sia italiane che generiche, per distribuire i malware VIP Keylogger, Snake Keylogger, AgentTesla e Remcos.

Gli Avvisi di Sicurezza sono stati invece sfruttati in campagne di phishing generiche mirate agli utenti di AVG e in due campagne italiane, che hanno abusato dei brand Zimbra e Aruba.

Inoltre, il tema dei Documenti è stato impiegato in una campagna generica contro utenti Microsoft, in una campagna italiana che imitava una comunicazione di Webmail e in una destinata agli utenti di Telegram.

Gli altri temi rilevati sono stati utilizzati per la diffusione di ulteriori campagne di malware e phishing di vario genere.

Tra gli eventi di particolare rilievo di questa settimana, è stata rilevata una nuova ondata di malspam PEC in Italia, destinata a diffondere il malware Vidar tramite link per il download di file VBS.

Inoltre, è stata identificata una campagna di phishing mirata all’Università di Pisa, volta al furto di credenziali d’accesso tramite una pagina fraudolenta con il logo dell’ateneo, ospitata su un dominio Weebly.

Gli IoC associati sono stati condivisi con le pubbliche amministrazioni accreditate, e si è richiesto il takedown del sito malevolo.

Infine, è emersa una campagna di phishing italiana veicolata tramite chat Telegram, in cui le vittime ricevono messaggi che le spingono a cliccare su un link, con l’obiettivo di sottrarre la sessione Telegram.

Malware della settimana

Durante la settimana, sono state individuate otto famiglie di malware che hanno colpito l’Italia.

Tra le campagne più rilevanti, si segnalano quella relativa ad AgentTesla, distribuita tramite diverse campagne generiche a tema “Ordine” e “Preventivo” veicolate con email contenenti allegati ZIP e TAR.

La campagna FormBook, invece, ha utilizzato il tema “Contratti” per diffondersi in Italia, inviando email con allegati IMG.

Il malware Vidar, come scrivevamo poc’anzi, è stato diffuso attraverso una campagna italiana a tema “Pagamenti”, veicolata tramite PEC con link per scaricare file VBS, mentre Irata ha sfruttato il tema “Banking” inviando APK malevoli tramite SMS.

Remcos è stato individuato in una campagna generica a tema “Ordine”, distribuito tramite email con allegato RAR, e VIPKeylogger è stato diffuso in una campagna italiana simile, ma con allegato DOC.

Infine, BingoMod e Snake Keylogger, entrambi legati al tema “Banking”, sono stati diffusi rispettivamente tramite SMS con allegato APK e email con allegato Z.

Phishing della settimana

Nella settimana appena trascorsa, sono stati coinvolti ben 17 brand in campagne di phishing, un dato che riflette l’ampiezza e la varietà delle strategie messe in atto dai cybercriminali.

I marchi maggiormente bersagliati sono stati Aruba, Webmail generica, Zimbra e Microsoft, ognuno preso di mira con tattiche studiate per sfruttare la fiducia degli utenti nei servizi di posta elettronica e collaborazione online.

Aruba e Microsoft, in particolare, rappresentano servizi di uso quotidiano per molte persone e organizzazioni in Italia, motivo per cui le campagne malevole che li coinvolgono tendono ad avere maggiore impatto, arrivando a un pubblico vasto e potenzialmente vulnerabile.

Formati e canali di diffusione

L’analisi settimanale del CERT-AGID ha identificato 9 diversi formati di file utilizzati per veicolare contenuti malevoli.

Tra questi, i formati ZIP, SHTML e APK sono risultati i preferiti dai cybercriminali, impiegati in due campagne ciascuno.

Altri formati, come IMG, TAR, VBS, RAR, DOC e Z, sono stati usati una sola volta, ma la loro presenza testimonia la varietà di tecniche utilizzate per evitare rilevamenti e massimizzare il potenziale di attacco.

Le email tradizionali confermano il loro ruolo centrale come vettore di diffusione dei malware, con ben 36 campagne distribuite tramite questo canale.

Nonostante l’evoluzione di nuovi mezzi di comunicazione, l’email rimane uno strumento efficace per i cybercriminali, in particolare quando riescono a personalizzare i messaggi e a renderli convincenti agli occhi degli utenti.

Gli attacchi veicolati tramite SMS sono stati meno frequenti, ma hanno comunque registrato 3 campagne diverse, mentre la Posta Elettronica Certificata (PEC) e le Chat, pur utilizzate solo una volta ciascuna, evidenziano la tendenza dei criminali a diversificare i canali di attacco.

---

---

---

https://www.securityinfo.it/2024/11/11/cert-agid-2-8-novembre-luniversita-di-pisa-il-malware-vidar-e-telegram-protagonisti-della-settimana/?utm_source=rss&utm_medium=rss&utm_campaign=cert-agid-2-8-novembre-luniversita-di-pisa-il-malware-vidar-e-telegram-protagonisti-della-settimana

Nov 08, 2024 Valentina Caruso Attacchi, News 0

---

Il furto di credenziali è l’attacco hacker più diffuso dei mesi estivi appena trascorsi. Secondo i dati di Cisco Talos Incident Response, i cybercriminali continuano ad accanirsi sull’identità degli utenti. Il motivo è facile da comprendere: compromettere questi dati è piuttosto semplice.

Username è password non sono un sistema di autenticazione forte e chi fa cracking se ne impossessa per eseguire ulteriori attacchi, che prevedono la modifica dei privilegi per entrare nei sistemi aziendali e fare danni, così come la creazione di nuovi account fraudolenti. Vengono spesso utilizzate anche le tecniche di ingegneria sociale: queste ultime mirano a rubare ulteriori informazioni sensibili con l’inganno. 

Account validi per sferrare gli attacchi

Da un anno a questa parte, per gli hacker, l’accesso iniziale agli account e ai sistemi aziendali è stato possibile soprattutto grazie all’uso di account validi. Nel 66% dei casi, infatti, il gruppo di esperti in sicurezza di Cisco Talos è intervenuto proprio contro questo tipo di strategie di attacco. Nel 20% delle interazioni, inoltre, l’ingresso fraudolento dei criminali informatici ha sfruttato vulnerabilità note presenti nelle applicazioni.    

Campagne di password spray

Nell’ultimo trimestre, secondo i dati di Cisco Talos IR, 1 intervento su 4 contro attività cybercriminali è stato diretto a contrastare campagne di password spray, progettate per carpire credenziali valide a partire da un elenco di password comuni. Questo tipo di attacchi è in aumento e molto spesso riesce a compromettere più account contemporaneamente.

Quali sono i punti deboli nella sicurezza aziendale

Tra i principali punti deboli nelle strategie di sicurezza ci sono una mancata o errata configurazione dell’autenticazione MFA (a più fattori). Nel 40% dei casi è proprio la compromissione di questo metodo di autenticazione complesso a causare il furto di credenziali e dati sensibili.

Il 30% degli interventi per motivi di sicurezza ha riguardato una configurazione poco attenta delle Endpoint Detection and Response solutions. Mentre nel 20% dei casi i sistemi di sicurezza sono stati usati in modo poco preciso o errato.

Purtroppo, l’autenticazione a più fattori non mette totalmente al riparo da problemi di sicurezza. Gli hacker puntano ad attaccare proprio gli account protetti con MFA perché è con questi che riescono a penetrare nei sistemi aziendali.

Nuovi ransomware

Tra le minacce Cisco Talos ha rilevato la diffusione di tre nuovi ransomware: DragonForce, RCRU64 e RansomHub, che hanno colpito soprattutto i settori dell’istruzione, quello finanziario e quello manifatturiero.

Complessivamente, l’insieme di attacchi ransomware e pre-ransomware assieme alle estorsioni basate sul furto di dati hanno rappresentato quasi il 40% degli interventi di salvataggio e contrasto al cybercrimine condotti dagli esperti di Cisco Talos. 

---

---

---

https://www.securityinfo.it/2024/11/08/furto-di-credenziali-la-minaccia-di-cracking-piu-diffusa/?utm_source=rss&utm_medium=rss&utm_campaign=furto-di-credenziali-la-minaccia-di-cracking-piu-diffusa