Sicurezza Informatica
Minaccia dalla Corea del Nord: nuovi malware MoonPeak e TodoSwift
Tempo di lettura: 4 minuti. Nuovi malware nordcoreani, MoonPeak e TodoSwift, mirano a compromettere sistemi Windows e macOS e Lazarus ha sfruttato exploit windows
Sono emerse nuove minacce informatiche legate alla Corea del Nord, con la scoperta di due nuovi malware, MoonPeak e TodoSwift. Questi attacchi mirano a compromettere sistemi Windows e macOS, rispettivamente, utilizzando tecniche avanzate di evasione e controllo remoto. Questi sviluppi sottolineano l’escalation delle operazioni di cyber-spionaggio nordcoreane, con implicazioni significative per la sicurezza informatica globale.
MoonPeak: Trojan di Accesso Remoto Sviluppato da un Gruppo Nordcoreano
Il malware MoonPeak, recentemente scoperto dagli esperti di sicurezza di Cisco Talos, è un trojan di accesso remoto (RAT) sviluppato e utilizzato da un gruppo di minaccia sponsorizzato dallo stato nordcoreano, noto come UAT-5394. Questo gruppo, che mostra somiglianze con il noto attore statale Kimsuky, ha sviluppato MoonPeak come variante del malware open-source Xeno RAT. Questo trojan è progettato per eseguire una vasta gamma di operazioni dannose, tra cui il caricamento di plugin aggiuntivi, l’avvio e la terminazione di processi, e la comunicazione con un server di comando e controllo (C2).
Una caratteristica distintiva di MoonPeak è la sua evoluzione continua, con ogni nuova versione che introduce tecniche di offuscamento più sofisticate per evitare l’analisi e la rilevazione. Questo malware è stato distribuito attraverso campagne mirate, utilizzando infrastrutture create appositamente per supportare queste operazioni, inclusi nuovi server C2 e siti di hosting per i payload dannosi.
Gli attacchi alimentati da MoonPeak sono indicativi di una strategia più ampia della Corea del Nord per sfruttare il cyber-spionaggio a fini di raccolta di intelligence e potenziale destabilizzazione di infrastrutture critiche in altri paesi. La continua evoluzione di MoonPeak dimostra l’impegno del gruppo UAT-5394 nel migliorare i propri strumenti di hacking per rendere le loro operazioni sempre più efficaci e difficili da contrastare.
TodoSwift: Nuovo Malware macOS legato al Gruppo Lazarus
Parallelamente agli sviluppi relativi a MoonPeak, è stato identificato un nuovo malware per macOS, denominato TodoSwift, che è stato collegato a noti gruppi di hacker nordcoreani, tra cui Lazarus e il suo sottogruppo BlueNoroff. TodoSwift condivide comportamenti simili con malware precedenti come RustBucket e KANDYKORN, noti per il loro utilizzo in attacchi contro l’industria delle criptovalute.
TodoSwift viene distribuito come un’applicazione macOS apparentemente innocua, travestita da file PDF legittimo che in realtà contiene codice dannoso. Questo malware utilizza una catena di infezione multistadio, in cui il file iniziale funge da dropper per scaricare ed eseguire ulteriori componenti maligni. Una volta installato, TodoSwift raccoglie informazioni sul sistema compromesso e comunica con un server C2 per ricevere ulteriori istruzioni.
Questo tipo di attacco rappresenta una minaccia particolare per gli utenti macOS, poiché sfrutta la fiducia in applicazioni apparentemente legittime per eseguire operazioni malevole. La continua attività del gruppo Lazarus nel targeting delle criptovalute suggerisce che la Corea del Nord stia cercando di aggirare le sanzioni internazionali finanziando le proprie operazioni attraverso il furto di criptovalute.
L’emergere di MoonPeak e TodoSwift evidenzia la sofisticazione e la persistenza delle operazioni di cyber-spionaggio della Corea del Nord. Questi malware, progettati per compromettere sistemi Windows e macOS, rispettivamente, dimostrano come le minacce cibernetiche nordcoreane continuino a evolversi, rappresentando un pericolo significativo per la sicurezza globale. È essenziale che le organizzazioni e gli utenti finali adottino misure di sicurezza proattive per proteggersi da queste minacce in continua evoluzione.
Lazarus Exploit Zero-Day in driver Windows per installare Rootkit
Il famigerato gruppo di hacker nordcoreani noto come Lazarus ha recentemente sfruttato una vulnerabilità zero-day nel driver AFD.sys di Windows per installare il rootkit FUDModule su sistemi mirati. Questa vulnerabilità, identificata come CVE-2024-38193, ha permesso al gruppo di elevare i privilegi e ottenere il controllo completo del sistema, compromettendo la sicurezza di numerosi dispositivi.
Exploit della Vulnerabilità AFD.sys e Installazione del Rootkit FUDModule
Il malware utilizzato, FUDModule, è progettato per evadere i rilevamenti di sicurezza disabilitando funzioni di monitoraggio di Windows, rendendo difficile l’individuazione dell’attacco. Il gruppo Lazarus ha sfruttato questa vulnerabilità, nota come “Bring Your Own Vulnerable Driver” (BYOVD), per installare driver vulnerabili su macchine bersaglio e ottenere privilegi a livello kernel. A differenza di altre vulnerabilità, il difetto era presente in un driver di sistema installato di default su tutti i dispositivi Windows, aumentando così la portata e la pericolosità dell’attacco.
Questo attacco è stato scoperto da Gen Digital, che ha notato l’uso della vulnerabilità da parte del gruppo Lazarus in una campagna mirata in Brasile. Il malware è stato distribuito attraverso una falsa offerta di lavoro, con un PDF benigno che portava successivamente all’installazione di una backdoor se specifiche condizioni venivano soddisfatte.
Nuovi Malware macOS: TodoSwift e la Connessione con Lazarus
Parallelamente agli sviluppi relativi al driver Windows, è stato identificato un nuovo malware per macOS, denominato TodoSwift, che è stato collegato a gruppi di hacker nordcoreani, tra cui Lazarus. Questo malware condivide comportamenti simili con malware precedenti come RustBucket e KANDYKORN, noti per il loro utilizzo in attacchi contro l’industria delle criptovalute.
TodoSwift viene distribuito come un’applicazione macOS apparentemente innocua, travestita da file PDF legittimo che in realtà contiene codice dannoso. Una volta installato, TodoSwift raccoglie informazioni sul sistema compromesso e comunica con un server di comando e controllo per ricevere ulteriori istruzioni.
Questo tipo di attacco rappresenta una minaccia particolare per gli utenti macOS, poiché sfrutta la fiducia in applicazioni apparentemente legittime per eseguire operazioni malevole. La continua attività del gruppo Lazarus nel targeting delle criptovalute suggerisce che la Corea del Nord stia cercando di aggirare le sanzioni internazionali finanziando le proprie operazioni attraverso il furto di criptovalute.
L’emergere di MoonPeak e TodoSwift evidenzia la sofisticazione e la persistenza delle operazioni di cyber-spionaggio della Corea del Nord. Questi malware, progettati per compromettere sistemi Windows e macOS, rispettivamente, dimostrano come le minacce cibernetiche nordcoreane continuino a evolversi, rappresentando un pericolo significativo per la sicurezza globale. È essenziale che le organizzazioni e gli utenti finali adottino misure di sicurezza proattive per proteggersi da queste minacce in continua evoluzione.
Sicurezza Informatica
Aggiornamenti Fortimanager e CISA per ICS e vulnerabilità note
Tempo di lettura: 2 minuti. CISA e Fortinet: aggiornamenti per FortiManager, ICS e nuove vulnerabilità conosciute. Scopri come proteggere sistemi critici e reti aziendali.
CISA ha rilasciato aggiornamenti fondamentali per rafforzare la sicurezza delle infrastrutture critiche, affrontando minacce rilevanti legate a FortiManager, sistemi di controllo industriale (ICS) e una nuova vulnerabilità aggiunta al catalogo delle vulnerabilità sfruttate attivamente. Questi aggiornamenti sono cruciali per la protezione di reti aziendali, infrastrutture pubbliche e private.
Fortinet FortiManager: aggiornamento critico contro RCE
Fortinet ha rilasciato aggiornamenti per FortiManager, riportate da CISA, per mitigare una vulnerabilità critica che consente l’esecuzione remota di codice (RCE). Questa falla, se sfruttata, potrebbe permettere agli attori malevoli di prendere il controllo completo di un sistema compromesso, con il rischio di accesso non autorizzato e compromissione dei dati aziendali.
I dettagli tecnici e le istruzioni per l’aggiornamento sono disponibili nel bollettino ufficiale di Fortinet. Gli amministratori di sistema devono applicare immediatamente la patch per evitare potenziali exploit che potrebbero compromettere reti sensibili.
Sicurezza nei sistemi ICS: otto nuovi advisory da CISA
CISA ha pubblicato otto nuovi avvisi dedicati alla sicurezza dei sistemi di controllo industriale (ICS), evidenziando vulnerabilità in software e dispositivi utilizzati in settori critici, come energia, trasporti e sanità.
- ICSA-24-354-01 Hitachi Energy RTU500 series CMU
- ICSA-24-354-02 Hitachi Energy SDM600
- ICSA-24-354-03 Delta Electronics DTM Soft
- ICSA-24-354-04 Siemens User Management Component
- ICSA-24-354-05 Tibbo AggreGate Network Manager
- ICSA-24-354-06 Schneider Electric Accutech Manager
- ICSA-24-354-07 Schneider Electric Modicon Controllers
- ICSMA-24-354-01 Ossur Mobile Logic Application
Questi avvisi includono:
- Vulnerabilità nei firmware di dispositivi industriali.
- Problemi nei protocolli di comunicazione SCADA e in sistemi legacy non aggiornati.
- Rischi derivanti da configurazioni insicure o esposizioni involontarie su reti pubbliche.
Gli operatori di infrastrutture critiche sono incoraggiati a consultare i dettagli tecnici forniti da CISA e a implementare misure di mitigazione per ridurre i rischi di attacchi mirati.
Catalogo delle vulnerabilità conosciute: aggiunta di CVE-2024-12356
CISA ha aggiornato il Known Exploited Vulnerabilities Catalog aggiungendo la vulnerabilità CVE-2024-12356, che interessa BeyondTrust Privileged Remote Access (PRA) e Remote Support (RS). Questa falla consente un’injection command attivamente sfruttata da attori malevoli per accedere a sistemi critici.
L’inclusione nel catalogo fa parte della Binding Operational Directive (BOD) 22-01, che obbliga le agenzie federali statunitensi a correggere tali vulnerabilità entro una data stabilita. Tuttavia, CISA raccomanda anche alle organizzazioni private di prioritizzare la risoluzione di queste vulnerabilità come parte delle loro strategie di gestione del rischio.
Le iniziative di CISA e Fortinet dimostrano l’importanza di agire rapidamente per mitigare le vulnerabilità note, soprattutto in settori critici dove un attacco potrebbe avere conseguenze catastrofiche. Aggiornamenti regolari, analisi proattive e collaborazione tra enti pubblici e privati sono essenziali per rafforzare le difese contro minacce sempre più sofisticate.
Sicurezza Informatica
Italia, propaganda filonazista online: 12 indagati
Tempo di lettura: 2 minuti. Operazione della Polizia contro propaganda filonazista su Telegram: 12 indagati, armi e materiale sequestrato, piani di azioni violente scoperti.
La Polizia di Stato ha condotto una vasta operazione contro la propaganda neonazista e suprematista su internet, coordinata dal Centro operativo per la sicurezza cibernetica della Lombardia con il coinvolgimento di diverse regioni, tra cui Veneto, Lazio, Toscana, Puglia, Campania, Calabria e Basilicata.
L’operazione ha portato a 12 perquisizioni domiciliari, che hanno coinvolto studenti universitari e un minorenne, oltre a un 24enne impiegato in Svizzera. Gli indagati sono accusati di propaganda e istigazione a delinquere per motivi di discriminazione razziale, etnica e religiosa.
L’uso di Telegram per la diffusione di ideologie suprematiste
Le indagini sono partite dal monitoraggio costante delle attività online da parte della Polizia Postale, che ha individuato un gruppo attivo su Telegram, utilizzato per discutere temi di estrema destra suprematista, neonazista e per diffondere l’odio razziale. Gli indagati promuovevano la superiorità della razza bianca e ideologie antisemite, utilizzando il linguaggio della propaganda per alimentare tensioni e discriminazioni.
Materiale sequestrato durante le perquisizioni
Le perquisizioni hanno portato al sequestro di:
- Armi ad aria compressa e da soft-air.
- Bandiere con simboli nazisti e fascisti.
- Volantini di propaganda filonazista.
- Account social e dispositivi elettronici.
Grazie all’uso di strumenti di digital forensics, le analisi effettuate sul materiale elettronico hanno confermato l’appartenenza degli indagati al movimento “Terza Posizione”, un gruppo neofascista eversivo nato negli anni ’70.
Piani per azioni violente e raduni
Le indagini hanno rivelato che il gruppo progettava di passare all’azione, organizzando raduni e promuovendo attività concrete per “tirare fuori i camerati dal virtuale”. Questi intenti includevano azioni violente dirette contro persone percepite come non conformi alla cosiddetta “razza ariana”.
Tra i sequestri, sono stati ritirati tre fucili da caccia, considerati un potenziale pericolo e trattenuti a scopo cautelativo.
Questa operazione dimostra l’efficacia delle attività di prevenzione e repressione della Polizia di Stato, che continua a monitorare il web per contrastare le ideologie estremiste e prevenire azioni violente. L’impegno nel controllo delle piattaforme online e nell’identificazione delle reti di propaganda è essenziale per garantire la sicurezza e la coesione sociale.
Sicurezza Informatica
Minacce npm, firewall Sophos e spyware su Android
Tempo di lettura: 3 minuti. Ultime minacce informatiche: pacchetti npm malevoli, vulnerabilità nei firewall Sophos e spyware Android su Amazon Appstore.
Le minacce informatiche continuano a evolversi, colpendo piattaforme diverse come repository di sviluppo, firewall aziendali e app store per dispositivi mobili. Recentemente, sono emersi casi di pacchetti npm malevoli, vulnerabilità critiche nei firewall Sophos e un’app spyware su Amazon Appstore mascherata da strumento per la salute.
Pacchetti npm malevoli: compromessi gli sviluppatori
Gli attori malevoli hanno pubblicato pacchetti su npm utilizzando token rubati, diffondendo codice malevolo in librerie popolari come Rspack e Vant. Questi pacchetti erano progettati per eseguire codice arbitrario sui sistemi degli sviluppatori, aprendo potenzialmente la strada al furto di dati sensibili o all’inserimento di vulnerabilità nei progetti software.
La compromissione di token npm rappresenta un pericolo crescente per l’integrità del software open source, sottolineando la necessità di una migliore gestione delle chiavi e l’adozione di strumenti di monitoraggio delle dipendenze. Gli sviluppatori sono invitati a verificare i pacchetti installati e a implementare pratiche di sicurezza più rigorose, come l’uso di strumenti per il rilevamento automatico delle vulnerabilità.
Vulnerabilità nei firewall Sophos: rischi per le reti aziendali
Sophos ha recentemente risolto tre vulnerabilità critiche nei suoi firewall, identificate come CVE-2024-12727, CVE-2024-12728 e CVE-2024-12729. Questi problemi includevano:
- Un’iniezione SQL pre-autenticazione nel modulo di protezione email.
- Credenziali SSH prevedibili nei cluster ad alta disponibilità (HA).
- Esecuzione remota di codice attraverso il portale utente.
Queste falle, presenti nelle versioni precedenti alla 21.0, consentivano ad attori non autenticati di accedere ai sistemi e comprometterli. Sophos ha distribuito hotfix automatici e patch permanenti, oltre a suggerire misure di mitigazione, come limitare l’accesso SSH e disabilitare l’esposizione di interfacce critiche al WAN.
Spyware su Amazon Appstore: una minaccia nascosta
McAfee ha scoperto un’app Android chiamata BMI CalculationVsn sull’Amazon Appstore, progettata per rubare dati sensibili come SMS e OTP. L’app, pubblicata da “PT Visionet Data Internasional”, simulava una calcolatrice BMI ma registrava segretamente lo schermo e scansionava le app installate per pianificare ulteriori attacchi.
Gli utenti che avevano installato l’app sono stati invitati a rimuoverla immediatamente e a eseguire una scansione completa del dispositivo. Questo caso dimostra che anche piattaforme affidabili come Amazon Appstore possono ospitare minacce, enfatizzando l’importanza di controllare attentamente le autorizzazioni richieste dalle app.
Implicazioni e consigli per la sicurezza degli utenti e delle aziende
Questi recenti episodi di minacce evidenziano la complessità del panorama della sicurezza informatica, con attacchi che colpiscono sviluppatori, reti aziendali e dispositivi mobili. Affrontare queste sfide richiede un approccio multiplo che comprenda aggiornamenti regolari, formazione sulla sicurezza e l’uso di strumenti avanzati per il rilevamento delle minacce.
Per gli sviluppatori: proteggere i propri ambienti di lavoro
Il caso dei pacchetti npm malevoli sottolinea la necessità di adottare pratiche di sviluppo sicure:
- Gestione dei token: Utilizzare sistemi di gestione delle chiavi per proteggere i token di autenticazione e limitare i permessi a quelli strettamente necessari.
- Monitoraggio delle dipendenze: Integrare strumenti di scansione delle vulnerabilità nei workflow di sviluppo per identificare rapidamente pacchetti compromessi.
- Verifica delle fonti: Evitare di installare pacchetti da sviluppatori sconosciuti o non verificati.
Queste misure possono prevenire compromissioni che potrebbero propagarsi attraverso l’intera catena di distribuzione del software.
Per le aziende: rafforzare la sicurezza delle reti
Le vulnerabilità critiche nei firewall Sophos dimostrano l’importanza di una gestione proattiva della sicurezza delle reti aziendali. I passi fondamentali includono:
- Aggiornamenti tempestivi: Applicare patch di sicurezza non appena vengono rilasciate dal produttore, soprattutto per dispositivi esposti a internet.
- Segmentazione della rete: Limitare l’accesso ai sistemi critici, riducendo il rischio di compromissioni laterali.
- Monitoraggio continuo: Utilizzare soluzioni di rilevamento delle intrusioni (IDS) e monitoraggio dei log per individuare attività sospette.
Con l’aumento della complessità degli attacchi, un approccio integrato alla sicurezza informatica è indispensabile per proteggere dati e infrastrutture.
Per gli utenti mobile: difendersi dalle app malevole
L’incidente del spyware su Amazon Appstore evidenzia l’importanza di un comportamento consapevole nella gestione delle app:
- Controllo delle autorizzazioni: Evitare di concedere permessi non necessari, come l’accesso agli SMS o alla fotocamera, senza una chiara motivazione.
- Scansioni regolari: Utilizzare software antivirus e antimalware per rilevare applicazioni potenzialmente pericolose.
- Installazione da fonti fidate: Limitarsi a installare app di sviluppatori noti e con recensioni verificate.
Questi accorgimenti possono proteggere i dispositivi mobili, che rappresentano un obiettivo sempre più attraente per i criminali informatici.
Dal furto di token su npm alle vulnerabilità nei firewall Sophos e allo spyware su Amazon Appstore, questi episodi dimostrano che nessun settore è immune dalle minacce informatiche. Con un impegno collettivo per migliorare la sicurezza digitale, sia da parte delle aziende che degli utenti, è possibile mitigare i rischi e costruire un ecosistema tecnologico più sicuro e affidabile.
-
Economia3 giorni ago
Sanzioni per violazioni del GDPR per Meta e Netflix
-
Smartphone1 settimana ago
Redmi Note 14 Pro+ vs 13 Pro+: quale scegliere?
-
Sicurezza Informatica20 ore ago
Minacce npm, firewall Sophos e spyware su Android
-
Sicurezza Informatica3 giorni ago
NodeStealer e phishing via Google Calendar: nuove minacce
-
Sicurezza Informatica3 giorni ago
HubPhish, targeting politico e vulnerabilità critiche
-
Sicurezza Informatica3 giorni ago
Windows, rischi Visual Studio Code, file MSC e kernel
-
Sicurezza Informatica4 giorni ago
Nvidia, SonicWall e Apache Struts: vulnerabilità critiche e soluzioni
-
Sicurezza Informatica1 settimana ago
BadBox su IoT, Telegram e Viber: Germania e Russia rischiano