Sicurezza Informatica
Cybercrime in USA: dagli attacchi APT al cryptojacking
Tempo di lettura: 2 minuti. Dal cryptojacking alle intrusioni hacker cinesi e Scattered Spider: tre casi che mostrano l’urgenza di rafforzare la sicurezza informatica globale.
Negli USA, un uomo è stato condannato per un’operazione di cryptojacking da 3,5 milioni di dollari, mentre hacker cinesi hanno compromesso per mesi una grande organizzazione americana. Nel frattempo, le autorità hanno arrestato un sospetto membro del gruppo Scattered Spider, coinvolto in attacchi a istituzioni finanziarie e aziende di telecomunicazioni. Questi episodi evidenziano l’urgenza di migliorare la sicurezza informatica a livello globale.
Cryptojacking da 3,5 milioni di dollari: il caso di Charles O. Parks III
Tra gennaio e agosto 2021, Charles O. Parks III, alias CP3O, ha orchestrato un’operazione di cryptojacking su vasta scala utilizzando risorse cloud ottenute illegalmente. L’uomo ha sfruttato alias e società di comodo per creare account presso due grandi provider di servizi cloud situati nello stato di Washington. Grazie a questo stratagemma, Parks ha avuto accesso a risorse di calcolo di altissimo livello, utilizzate per estrarre criptovalute come Ethereum, Litecoin e Monero.
Secondo i documenti del tribunale, Parks ha richiesto ai provider configurazioni avanzate di server, spesso destinate a scopi di mining. Ha anche ingannato le aziende promettendo pagamenti futuri e utilizzando strategie per eludere controlli sui consumi anomali. In questo modo, ha estratto criptovalute per un valore di circa 970.000 dollari senza pagare i servizi utilizzati, accumulando un debito di oltre 3,5 milioni di dollari.
Il denaro ottenuto è stato riciclato attraverso piattaforme di scambio di criptovalute e un marketplace NFT di New York, permettendogli di nascondere le tracce delle transazioni. Con i fondi illegali, Parks ha finanziato un tenore di vita lussuoso, acquistando auto di lusso, gioielli e viaggi in prima classe.
La sentenza sottolinea la serietà del crimine: Parks rischia fino a 20 anni di carcere. Il caso evidenzia l’importanza di monitorare l’uso delle risorse cloud, un obiettivo sempre più strategico per le organizzazioni che operano in ambiti tecnologici avanzati.
Hacker cinesi e intrusioni prolungate
Un’organizzazione statunitense di rilievo, con presenza significativa in Cina, è stata vittima di un attacco informatico durato oltre quattro mesi, tra aprile e agosto 2024. L’intrusione, attribuita a un gruppo hacker cinese noto come Crimson Palace, ha avuto come obiettivo principale il furto di dati sensibili e l’accesso a sistemi strategici come server Exchange.
Le indagini condotte da Symantec hanno rivelato che gli hacker hanno utilizzato strumenti sofisticati per garantire persistenza e raccogliere informazioni preziose. Tecniche avanzate come l’uso di PowerShell per interrogare Active Directory e query WMI per analizzare i log di eventi di Windows hanno permesso agli attaccanti di monitorare continuamente le attività della rete e acquisire credenziali critiche.
L’attacco ha mostrato un’organizzazione estremamente metodica. Ogni macchina compromessa aveva un ruolo specifico nel ciclo operativo degli hacker, che includeva l’estrazione di dati, la loro compressione e la successiva trasmissione verso server remoti. Inoltre, l’uso di strumenti open-source, come FileZilla e PsExec, ha reso più complesso identificare l’attacco.
La persistenza e il coordinamento degli attaccanti rappresentano un esempio lampante della pericolosità delle minacce sponsorizzate da stati-nazione. Questi attacchi mirano non solo al furto di dati ma anche a destabilizzare le infrastrutture critiche delle vittime.
I tre casi analizzati evidenziano la varietà e la complessità delle minacce informatiche odierne. Dal cryptojacking di Parks alle intrusioni dei gruppi cinesi e alle operazioni di Scattered Spider, queste attività sottolineano l’importanza di rafforzare le difese digitali e sviluppare strategie di contrasto efficaci. La cooperazione tra governi e aziende sarà fondamentale per proteggere dati, infrastrutture e sistemi globali.
Sicurezza Informatica
TA397: spionaggio internazionale con WmRAT e MiyaRAT
Tempo di lettura: 2 minuti. TA397 utilizza nuove tecniche di attacco per distribuire WmRAT e MiyaRAT, colpendo organizzazioni governative e della difesa.
Il gruppo di cyber spionaggio TA397, noto anche come Bitter, ha introdotto nuove e sofisticate catene di attacco per colpire organizzazioni governative e del settore della difesa, principalmente nelle regioni EMEA (Europa, Medio Oriente e Africa) e APAC (Asia-Pacifico). Proofpoint ha analizzato una recente campagna che utilizza tecniche avanzate per distribuire i malware WmRAT e MiyaRAT, progettati per raccogliere informazioni sensibili.
Una catena di infezione mirata e ingannevole
Il 18 novembre 2024, TA397 ha condotto un attacco mirato contro un’organizzazione della difesa in Turchia, utilizzando un’esca sotto forma di email di spear phishing. L’email conteneva un archivio RAR con diversi file, tra cui:
- Un documento PDF legittimo proveniente dalla World Bank che descrive un progetto infrastrutturale in Madagascar.
- Un file di collegamento LNK mascherato da documento PDF.
- Flussi di dati alternativi (ADS) nascosti che contenevano codice PowerShell dannoso.
L’utente, attirato dall’apparente legittimità del file PDF, eseguiva inavvertitamente il file LNK, attivando una catena di infezione che includeva:
- L’apertura del PDF come decoy per distrarre l’utente.
- L’esecuzione di script PowerShell tramite il flusso ADS.
- La creazione di un’attività pianificata che comunicava regolarmente con il server di comando e controllo (C2) jacknwoods[.]com.
Questa attività pianificata inviava informazioni di base sul dispositivo della vittima e scaricava ulteriori payload malevoli, tra cui i RAT (Remote Access Trojans) WmRAT e MiyaRAT.
WmRAT e MiyaRAT: strumenti di spionaggio avanzati
WmRAT, scritto in C++, offre funzionalità classiche di RAT, come la cattura di screenshot, l’esfiltrazione di file e l’esecuzione di comandi remoti. Il malware utilizza una semplice crittografia per comunicare con il server C2, rendendo difficile l’intercettazione da parte delle difese di rete.
MiyaRAT, introdotto più recentemente, include funzionalità simili, ma con una crittografia più sofisticata e un livello più elevato di offuscamento del codice. Questo strumento è riservato a obiettivi di alto valore, come evidenziato dalla distribuzione limitata in campagne selezionate.
Entrambi i malware sono stati utilizzati per raccogliere informazioni critiche, come dati sulle directory, processi in esecuzione e geolocalizzazione, e per interagire direttamente con la rete dell’organizzazione compromessa.
Tecniche di persistenza e copertura delle tracce
TA397 dimostra una notevole abilità nell’evadere le misure di sicurezza, utilizzando:
- Attività pianificate per garantire la persistenza.
- Offuscamento dei file esca, mascherati per sembrare innocui.
- Crittografia personalizzata per proteggere le comunicazioni con i server C2.
Queste tecniche, combinate con un’infrastruttura di comando e controllo che utilizza domini legittimi e indirizzi IP non direttamente riconducibili al gruppo, complicano ulteriormente le indagini forensi.
TA397 “rappresenta una minaccia significativa per organizzazioni strategiche in tutto il mondo”. Le sue campagne mirate dimostrano una continua evoluzione delle tecniche di attacco, sottolineando la necessità di misure di difesa avanzate e un monitoraggio costante delle infrastrutture IT per rilevare attività sospette.
Sicurezza Informatica
Careto: ritorna in scena lo storico APT
Tempo di lettura: 2 minuti. Careto APT torna in azione con nuove tecniche di attacco, sfruttando server email e malware avanzati come FakeHMP.
Il leggendario gruppo APT Careto, noto anche come The Mask, è tornato in azione con nuove tecniche di attacco avanzate, dopo un decennio di silenzio. Questo attore, attivo almeno dal 2007, si concentra su attacchi altamente mirati contro organizzazioni governative, diplomatiche e di ricerca. L’ultimo rapporto di Kaspersky, presentato alla Virus Bulletin International Conference 2024, rivela dettagli inediti sulle campagne più recenti di Careto.
Nuove tecniche di persistenza: attacchi al server MDaemon
Una delle campagne più recenti, osservata nel 2022, ha preso di mira un’organizzazione in America Latina, utilizzando un metodo sofisticato per mantenere la persistenza nei sistemi compromessi. Gli attaccanti hanno sfruttato una funzionalità del server email MDaemon, nota come WorldClient, che consente l’aggiunta di estensioni personalizzate per gestire richieste HTTP.
Careto ha creato un’estensione malevola configurata per caricare payload e mantenere il controllo del server tramite richieste HTTP indirizzate a una URL specifica. Questa tecnica ha permesso al gruppo di raccogliere informazioni sensibili e di diffondere l’infezione all’interno della rete tramite movimenti laterali.
FakeHMP e altre innovazioni per il movimento laterale
Un elemento centrale delle nuove campagne di Careto è il malware FakeHMP, progettato per eseguire azioni avanzate come:
- Registrare input da tastiera,
- Catturare screenshot,
- Estrarre file e distribuirli su sistemi compromessi.
Per diffondersi, Careto ha utilizzato file legittimi del software di sicurezza HitmanPro Alert, sfruttandone un driver vulnerabile (hmpalert.sys) per caricare un DLL malevolo. Questo ha permesso agli attaccanti di iniettare codice in processi privilegiati come winlogon.exe, garantendo un controllo persistente.
Una variante di questa tecnica è stata osservata nel 2024, quando gli attaccanti hanno sfruttato il processo di aggiornamento di Google per distribuire il malware.
Attacchi storici e sovrapposizioni tattiche
Il gruppo Careto è stato associato a diverse campagne storiche, tra cui attacchi documentati nel 2019 e tra il 2007 e il 2013. Le tattiche utilizzate, come il COM hijacking per la persistenza e l’uso di sistemi virtuali per archiviare plugin, sono rimaste coerenti nel tempo, suggerendo una continuità operativa.
Nel 2019, Careto ha utilizzato due framework malevoli denominati Careto2 e Goreto. Questi strumenti implementavano funzionalità avanzate, come keylogger e screenshot taker, e sfruttavano servizi cloud come Google Drive per caricare ed eseguire comandi in remoto.
Il ritorno di Careto APT dimostra la resilienza e l’evoluzione del gruppo, che continua a sviluppare tecniche innovative e malware multi-componente. La comunità di sicurezza deve restare vigile, poiché le future campagne di questo attore saranno probabilmente altrettanto sofisticate.
Sicurezza Informatica
Nvidia, SonicWall e Apache Struts: vulnerabilità critiche e soluzioni
Tempo di lettura: 3 minuti. Nvidia, SonicWall e Apache Struts: vulnerabilità critiche e le soluzioni consigliate per migliorare la sicurezza dei sistemi informatici.
Negli ultimi giorni, sono emerse importanti problematiche di sicurezza e prestazioni legate a software e dispositivi di uso comune. Nvidia sta affrontando difficoltà con la sua nuova app che impatta negativamente sulle prestazioni dei giochi, mentre SonicWall e Apache Struts si trovano al centro di vulnerabilità critiche che potrebbero mettere a rischio migliaia di sistemi aziendali e server globali.
Problemi di prestazioni con la nuova app Nvidia
L’app Nvidia, lanciata lo scorso novembre per migliorare l’esperienza di gioco e garantire aggiornamenti automatici dei driver, ha invece creato problemi significativi. Gli utenti hanno riportato un calo delle prestazioni fino al 15% nei giochi, particolarmente evidente quando si utilizzano funzioni come Game Filters e Photo Mode. Questi strumenti, progettati per migliorare la grafica dei giochi, sembrano invece sovraccaricare il sistema, causando lag, cali di frame rate e crash in alcuni titoli.
Nvidia ha riconosciuto il problema e proposto una soluzione temporanea: disabilitare le funzioni incriminate tramite il menu impostazioni dell’app. Tuttavia, questa soluzione ha lasciato insoddisfatti molti utenti, che richiedono un aggiornamento definitivo per risolvere il problema senza compromettere le funzionalità dell’app. Nvidia ha promesso di rilasciare una patch entro il primo trimestre del 2025, ma fino ad allora, molti giocatori potrebbero optare per software alternativi.
Questo problema solleva preoccupazioni anche sull’affidabilità della gestione delle risorse da parte dell’app Nvidia, un elemento critico per i giocatori competitivi e gli utenti professionali che dipendono da una grafica fluida e senza interruzioni.
SonicWall: oltre 25.000 firewall esposti a gravi vulnerabilità
Un’indagine condotta da esperti di sicurezza ha rivelato che oltre 25.000 firewall SonicWall SSL VPN sono vulnerabili a falle di sicurezza critiche. Molti di questi dispositivi operano con firmware non aggiornati o non più supportati, esponendo reti aziendali e dati sensibili a potenziali attacchi.
Le vulnerabilità rilevate sono state già sfruttate da gruppi di ransomware per accedere ai sistemi delle vittime. Le configurazioni errate, che rendono pubbliche le interfacce di gestione, amplificano il rischio. Gli amministratori di sistema sono stati invitati ad aggiornare immediatamente il firmware e a implementare misure di sicurezza più rigorose per mitigare la minaccia.
SonicWall ha rilasciato aggiornamenti per i modelli ancora supportati, ma migliaia di dispositivi restano a rischio, specialmente quelli che non ricevono più assistenza. Questa situazione evidenzia l’importanza di mantenere i dispositivi aggiornati e di ridurre al minimo le esposizioni pubbliche delle reti aziendali.
Apache Struts: una vulnerabilità critica che mette a rischio server globali
Il framework Apache Struts, ampiamente utilizzato per lo sviluppo di applicazioni web, è stato recentemente colpito da una grave vulnerabilità identificata come CVE-2024-53677. Questa falla permette il caricamento di file dannosi sui server vulnerabili, aprendo la strada all’esecuzione di codice remoto (RCE). Attori malevoli stanno già sfruttando questa vulnerabilità per scansionare e attaccare server esposti, utilizzando Proof-of-Concept (PoC) pubblicati online.
La vulnerabilità interessa tutte le versioni di Apache Struts precedenti alla 6.4.0. Sebbene gli sviluppatori abbiano rilasciato un aggiornamento per risolvere il problema, molti server non sono ancora stati aggiornati, rendendo la minaccia particolarmente diffusa.
La natura critica di questa falla evidenzia la necessità di aggiornare immediatamente i server vulnerabili. Tuttavia, il solo aggiornamento potrebbe non bastare: è fondamentale implementare il nuovo sistema di caricamento file Action File Upload, poiché le configurazioni predefinite rimangono vulnerabili.
I server che non verranno aggiornati rischiano di diventare bersagli principali di attacchi, con potenziali conseguenze devastanti, tra cui perdita di dati, downtime prolungati e compromissione di informazioni sensibili.
Avvisi CISA sui sistemi di controllo industriale (ICS)
La Cybersecurity and Infrastructure Security Agency (CISA) ha pubblicato cinque avvisi relativi a vulnerabilità nei sistemi di controllo industriale (ICS). Questi avvisi riguardano infrastrutture critiche in settori come energia, trasporti e manifatturiero.
Tra le vulnerabilità segnalate, alcune riguardano difetti nell’autenticazione, esposizioni di rete non autorizzate e la possibilità di eseguire attacchi di tipo denial-of-service. La gravità di queste vulnerabilità sottolinea la necessità di implementare misure di mitigazione immediate, come aggiornamenti software, segmentazione delle reti ICS e rafforzamento delle politiche di autenticazione.
- ICSA-24-352-01 ThreatQuotient ThreatQ Platform
- ICSA-24-352-02 Hitachi Energy TropOS Devices Series 1400/2400/6400
- ICSA-24-352-03 Rockwell Automation PowerMonitor 1000 Remote
- ICSA-24-352-04 Schneider Electric Modicon
- ICSMA-24-352-01 BD Diagnostic Solutions Products
Questi avvisi rappresentano un richiamo all’importanza della protezione delle infrastrutture critiche, in un contesto in cui le minacce cyber continuano a evolversi e a colpire settori strategici.
Dalle problematiche di prestazioni della nuova app Nvidia alle vulnerabilità di SonicWall e Apache Struts, passando per gli avvisi ICS di CISA, queste situazioni evidenziano l’urgenza di una gestione proattiva della sicurezza informatica. È fondamentale mantenere software e dispositivi aggiornati, rafforzare le configurazioni di rete e implementare le patch appena disponibili per mitigare i rischi e garantire la sicurezza delle infrastrutture digitali.
-
Smartphone1 settimana ago
Realme GT 7 Pro vs Motorola Edge 50 Ultra: quale scegliere?
-
Smartphone1 settimana ago
OnePlus 13 vs Google Pixel 9 Pro XL: scegliere o aspettare?
-
Smartphone7 giorni ago
Samsung Galaxy Z Flip 7: il debutto dell’Exynos 2500
-
Smartphone6 giorni ago
Redmi Note 14 Pro+ vs 13 Pro+: quale scegliere?
-
Sicurezza Informatica4 giorni ago
BadBox su IoT, Telegram e Viber: Germania e Russia rischiano
-
Economia7 giorni ago
Controversie e investimenti globali: Apple, Google e TikTok
-
Smartphone2 giorni ago
Galaxy S25 Slim e iPhone 17: nuovi dettagli su produzione e prezzi
-
Sicurezza Informatica1 settimana ago
Microsoft Patch Tuesday dicembre 2024: sicurezza e funzionalità