Connect with us

Sicurezza Informatica

Giocatori e server di Minecraft a rischioper la vulnerabilità “BleedingPipe”

Tempo di lettura: 2 minuti. La popolare community di modding di Minecraft è a rischio a causa di una vulnerabilità chiamata “BleedingPipe”, che permette l’esecuzione di comandi malevoli su server e client.

Published

on

Tempo di lettura: 2 minuti.

I giocatori di Minecraft interessati alle mod sono potenzialmente a rischio di compromissione. Una vulnerabilità di esecuzione di codice remoto (RCE) in alcune mod di Minecraft permette l’invio di comandi malevoli sia sui server che sui client. La vulnerabilità, chiamata “BleedingPipe”, permette agli aggressori di prendere il controllo di un server bersaglio.

La popolarità delle mod e il problema della sicurezza

Il modding di Minecraft è immensamente popolare, con un potenzialmente enorme numero di server che fanno le loro cose. Il problema è che molti di essi sono stati configurati in modo da permettere a questa vulnerabilità di prendere piede. Con il server compromesso, gli aggressori possono poi rivolgere la loro attenzione ai giocatori che abitano quei server, sfruttando le problematiche presenti nelle mod utilizzate dai giocatori, permettendo loro di effettuare installazioni malevole sui loro PC.

Dettagli dell’attacco

“BleedingPipe” è un exploit utilizzato attivamente che permette l’esecuzione completa di codice remoto su client e server che eseguono popolari mod di Minecraft su versioni specifiche di Forge, insieme ad altre mod. L’articolo di sicurezza di Minecraft elenca alcune delle mod interessate, come EnderCore, LogisticsPipes, BDLib, Smart Moving, Brazier, DankNull e Gadomancy. Alcune di queste sono state corrette, mentre altre rimangono vulnerabili.

Risposta e protezione

Gli amministratori dei server sono invitati a controllare i file sospetti e ad aggiornare o rimuovere le mod vulnerabili. Per i giocatori, la notizia non è particolarmente rassicurante. Se non giocano su server, non sono interessati. Altrimenti, l’opzione è non giocare o eseguire varie scansioni dopo una sessione di Minecraft e sperare nel meglio. Esiste anche l’opzione di installare una mod chiamata “PipeBlocker” su server e client Forge, che protegge contro la vulnerabilità “BleedingPipe”.

Un rischio costante nel mondo dei videogiochi

Abusare dei server di gioco è una tecnica occasionalmente utilizzata per infettare quante più persone possibile. Qualcosa di simile è accaduto questa settimana quando i server di Call of Duty sono stati messi offline a causa di un approccio simile. Il collegamento ad altri dispositivi o server è sempre un rischio potenziale, e dove c’è il modding, non si può mai essere sicuri al 100% che tutto sia come dovrebbe essere.

Canale Telegram Matrice Digitale

Sicurezza Informatica

HubPhish, targeting politico e vulnerabilità critiche

Tempo di lettura: 3 minuti. HubPhish, targeting politico e vulnerabilità critiche: analisi delle minacce e linee guida di sicurezza di CISA per dispositivi mobili e reti.

Published

on

Tempo di lettura: 3 minuti.

Le recenti analisi di esperti di sicurezza mettono in evidenza campagne sofisticate come HubPhish, che sfrutta strumenti di HubSpot per attacchi di phishing su larga scala, e azioni legali contro pratiche di targeting politico illecito in Europa. Parallelamente, CISA introduce linee guida per comunicazioni mobili sicure e aggiunge nuove vulnerabilità critiche al suo catalogo.

HubPhish: campagne di phishing sofisticate tramite HubSpot

Il gruppo responsabile della campagna HubPhish, individuato da Palo Alto Networks Unit 42, ha preso di mira oltre 20.000 utenti aziendali in Europa, utilizzando i servizi di HubSpot Free Form Builder per ingannare le vittime. I cybercriminali inviavano email di phishing a tema DocuSign che reindirizzavano a falsi login di Office 365, mirati a sottrarre credenziali.

La campagna sfrutta domini ospitati su TLD .buzz e infrastrutture come Bulletproof VPS per garantire persistenza nei sistemi compromessi. Gli attori aggiungono nuovi dispositivi sotto il loro controllo negli account compromessi, continuando con movimenti laterali verso infrastrutture Microsoft Azure per accedere a risorse cloud.

Questo esempio di phishing avanzato dimostra come i servizi legittimi possano essere abusati per campagne malevole, evidenziando la necessità di rigide misure di sicurezza, come il controllo di domini sconosciuti e l’uso di autenticazione a più fattori.

Targeting politico illecito e violazione del GDPR nell’UE

L’European Data Protection Supervisor (EDPS) ha dichiarato illegale il targeting politico dei cittadini basato sulle loro opinioni personali. La decisione segue una denuncia contro la Commissione Europea, accusata di utilizzare dati sensibili per una campagna a favore della regolamentazione CSAR (Child Sexual Abuse Regulation).

Le campagne di micro-targeting hanno sfruttato proxy data come parole chiave di interesse politico per segmentare il pubblico. La violazione del GDPR dimostra il rischio che pratiche simili possano influenzare la democrazia, spingendo i legislatori a considerare regolamenti più rigidi.

CISA: nuove linee guida per comunicazioni mobili sicure

La Cybersecurity and Infrastructure Security Agency (CISA) ha pubblicato un nuovo documento di riferimento con linee guida per migliorare la sicurezza delle comunicazioni mobili. Questo strumento è pensato per aiutare le organizzazioni a proteggere i dispositivi mobili aziendali e le reti wireless da minacce crescenti.

Le raccomandazioni principali includono:

  • Segmentazione delle reti mobili per separare dispositivi aziendali da quelli personali.
  • Autenticazione multi-fattore (MFA) per ridurre il rischio di compromissione delle credenziali.
  • Aggiornamenti regolari del firmware per mitigare vulnerabilità nei sistemi operativi mobili.
  • Monitoraggio continuo per identificare comportamenti anomali e attività sospette.

Le linee guida sottolineano anche l’importanza di educare i dipendenti sui rischi associati all’uso di dispositivi mobili per attività aziendali, enfatizzando il ruolo della consapevolezza nella protezione delle infrastrutture digitali.

Nuove vulnerabilità aggiunte al catalogo CISA

CISA ha aggiornato il proprio Known Exploited Vulnerabilities Catalog, aggiungendo quattro vulnerabilità critiche che sono già state sfruttate attivamente in attacchi mirati. Tra queste spiccano:

  • CVE-2018-14933 NUUO NVRmini Devices OS Command Injection Vulnerability
  • CVE-2022-23227 NUUO NVRmini 2 Devices Missing Authentication Vulnerability
  • CVE-2019-11001 Reolink Multiple IP Cameras OS Command Injection Vulnerability
  • CVE-2021-40407 Reolink RLC-410W IP Camera OS Command Injection Vulnerability

Queste vulnerabilità rappresentano rischi significativi per reti aziendali e infrastrutture governative. BOD 22-01, il Binding Operational Directive emesso da CISA, obbliga le agenzie federali a risolvere queste vulnerabilità entro scadenze specifiche. Tuttavia, CISA raccomanda a tutte le organizzazioni, pubbliche e private, di adottare lo stesso approccio per mitigare le minacce.

Le campagne di phishing come HubPhish, i rischi legati al targeting politico illecito e le vulnerabilità sfruttate attivamente evidenziano l’importanza di misure proattive di sicurezza. Con le nuove linee guida di CISA per le comunicazioni mobili e l’aggiornamento del catalogo di vulnerabilità, le organizzazioni possono rafforzare la propria difesa contro attacchi complessi e persistenti.

Canale Telegram Matrice Digitale

Continue Reading

Sicurezza Informatica

TA397: spionaggio internazionale con WmRAT e MiyaRAT

Tempo di lettura: 2 minuti. TA397 utilizza nuove tecniche di attacco per distribuire WmRAT e MiyaRAT, colpendo organizzazioni governative e della difesa.

Published

on

Tempo di lettura: 2 minuti.

Il gruppo di cyber spionaggio TA397, noto anche come Bitter, ha introdotto nuove e sofisticate catene di attacco per colpire organizzazioni governative e del settore della difesa, principalmente nelle regioni EMEA (Europa, Medio Oriente e Africa) e APAC (Asia-Pacifico). Proofpoint ha analizzato una recente campagna che utilizza tecniche avanzate per distribuire i malware WmRAT e MiyaRAT, progettati per raccogliere informazioni sensibili.

Una catena di infezione mirata e ingannevole

Il 18 novembre 2024, TA397 ha condotto un attacco mirato contro un’organizzazione della difesa in Turchia, utilizzando un’esca sotto forma di email di spear phishing. L’email conteneva un archivio RAR con diversi file, tra cui:

  • Un documento PDF legittimo proveniente dalla World Bank che descrive un progetto infrastrutturale in Madagascar.
  • Un file di collegamento LNK mascherato da documento PDF.
  • Flussi di dati alternativi (ADS) nascosti che contenevano codice PowerShell dannoso.

L’utente, attirato dall’apparente legittimità del file PDF, eseguiva inavvertitamente il file LNK, attivando una catena di infezione che includeva:

  1. L’apertura del PDF come decoy per distrarre l’utente.
  2. L’esecuzione di script PowerShell tramite il flusso ADS.
  3. La creazione di un’attività pianificata che comunicava regolarmente con il server di comando e controllo (C2) jacknwoods[.]com.

Questa attività pianificata inviava informazioni di base sul dispositivo della vittima e scaricava ulteriori payload malevoli, tra cui i RAT (Remote Access Trojans) WmRAT e MiyaRAT.

WmRAT e MiyaRAT: strumenti di spionaggio avanzati

WmRAT, scritto in C++, offre funzionalità classiche di RAT, come la cattura di screenshot, l’esfiltrazione di file e l’esecuzione di comandi remoti. Il malware utilizza una semplice crittografia per comunicare con il server C2, rendendo difficile l’intercettazione da parte delle difese di rete.

MiyaRAT, introdotto più recentemente, include funzionalità simili, ma con una crittografia più sofisticata e un livello più elevato di offuscamento del codice. Questo strumento è riservato a obiettivi di alto valore, come evidenziato dalla distribuzione limitata in campagne selezionate.

Entrambi i malware sono stati utilizzati per raccogliere informazioni critiche, come dati sulle directory, processi in esecuzione e geolocalizzazione, e per interagire direttamente con la rete dell’organizzazione compromessa.

Tecniche di persistenza e copertura delle tracce

TA397 dimostra una notevole abilità nell’evadere le misure di sicurezza, utilizzando:

  • Attività pianificate per garantire la persistenza.
  • Offuscamento dei file esca, mascherati per sembrare innocui.
  • Crittografia personalizzata per proteggere le comunicazioni con i server C2.

Queste tecniche, combinate con un’infrastruttura di comando e controllo che utilizza domini legittimi e indirizzi IP non direttamente riconducibili al gruppo, complicano ulteriormente le indagini forensi.

TA397 “rappresenta una minaccia significativa per organizzazioni strategiche in tutto il mondo”. Le sue campagne mirate dimostrano una continua evoluzione delle tecniche di attacco, sottolineando la necessità di misure di difesa avanzate e un monitoraggio costante delle infrastrutture IT per rilevare attività sospette.

Canale Telegram Matrice Digitale

Continue Reading

Sicurezza Informatica

Careto: ritorna in scena lo storico APT

Tempo di lettura: 2 minuti. Careto APT torna in azione con nuove tecniche di attacco, sfruttando server email e malware avanzati come FakeHMP.

Published

on

Tempo di lettura: 2 minuti.

Il leggendario gruppo APT Careto, noto anche come The Mask, è tornato in azione con nuove tecniche di attacco avanzate, dopo un decennio di silenzio. Questo attore, attivo almeno dal 2007, si concentra su attacchi altamente mirati contro organizzazioni governative, diplomatiche e di ricerca. L’ultimo rapporto di Kaspersky, presentato alla Virus Bulletin International Conference 2024, rivela dettagli inediti sulle campagne più recenti di Careto.

Nuove tecniche di persistenza: attacchi al server MDaemon

Una delle campagne più recenti, osservata nel 2022, ha preso di mira un’organizzazione in America Latina, utilizzando un metodo sofisticato per mantenere la persistenza nei sistemi compromessi. Gli attaccanti hanno sfruttato una funzionalità del server email MDaemon, nota come WorldClient, che consente l’aggiunta di estensioni personalizzate per gestire richieste HTTP.

Careto ha creato un’estensione malevola configurata per caricare payload e mantenere il controllo del server tramite richieste HTTP indirizzate a una URL specifica. Questa tecnica ha permesso al gruppo di raccogliere informazioni sensibili e di diffondere l’infezione all’interno della rete tramite movimenti laterali.

FakeHMP e altre innovazioni per il movimento laterale

Un elemento centrale delle nuove campagne di Careto è il malware FakeHMP, progettato per eseguire azioni avanzate come:

  • Registrare input da tastiera,
  • Catturare screenshot,
  • Estrarre file e distribuirli su sistemi compromessi.

Per diffondersi, Careto ha utilizzato file legittimi del software di sicurezza HitmanPro Alert, sfruttandone un driver vulnerabile (hmpalert.sys) per caricare un DLL malevolo. Questo ha permesso agli attaccanti di iniettare codice in processi privilegiati come winlogon.exe, garantendo un controllo persistente.

Una variante di questa tecnica è stata osservata nel 2024, quando gli attaccanti hanno sfruttato il processo di aggiornamento di Google per distribuire il malware.

Attacchi storici e sovrapposizioni tattiche

Il gruppo Careto è stato associato a diverse campagne storiche, tra cui attacchi documentati nel 2019 e tra il 2007 e il 2013. Le tattiche utilizzate, come il COM hijacking per la persistenza e l’uso di sistemi virtuali per archiviare plugin, sono rimaste coerenti nel tempo, suggerendo una continuità operativa.

Nel 2019, Careto ha utilizzato due framework malevoli denominati Careto2 e Goreto. Questi strumenti implementavano funzionalità avanzate, come keylogger e screenshot taker, e sfruttavano servizi cloud come Google Drive per caricare ed eseguire comandi in remoto.

Il ritorno di Careto APT dimostra la resilienza e l’evoluzione del gruppo, che continua a sviluppare tecniche innovative e malware multi-componente. La comunità di sicurezza deve restare vigile, poiché le future campagne di questo attore saranno probabilmente altrettanto sofisticate.

Canale Telegram Matrice Digitale

Continue Reading

Facebook

CYBERSECURITY

Sicurezza Informatica1 ora ago

HubPhish, targeting politico e vulnerabilità critiche

Tempo di lettura: 3 minuti. HubPhish, targeting politico e vulnerabilità critiche: analisi delle minacce e linee guida di sicurezza di...

Sicurezza Informatica8 ore ago

Nvidia, SonicWall e Apache Struts: vulnerabilità critiche e soluzioni

Tempo di lettura: 3 minuti. Nvidia, SonicWall e Apache Struts: vulnerabilità critiche e le soluzioni consigliate per migliorare la sicurezza...

Sicurezza Informatica4 giorni ago

BadBox su IoT, Telegram e Viber: Germania e Russia rischiano

Tempo di lettura: < 1 minuto. Malware preinstallati su dispositivi IoT e sanzioni russe contro Telegram e Viber: scopri le...

Sicurezza Informatica5 giorni ago

PUMAKIT: analisi del RootKit malware Linux

Tempo di lettura: 3 minuti. PUMAKIT, il sofisticato rootkit per Linux, sfrutta tecniche avanzate di stealth e privilege escalation. Scopri...

Sicurezza Informatica6 giorni ago

Vulnerabilità Cleo: attacchi zero-day e rischi di sicurezza

Tempo di lettura: 2 minuti. Cleo, azienda leader nel software di trasferimento file gestito (MFT), è al centro di una...

Sicurezza Informatica1 settimana ago

Vulnerabilità cavi USB-C, Ivanti, WPForms e aggiornamenti Adobe

Tempo di lettura: 3 minuti. Vulnerabilità nei cavi USB-C, WPForms e Ivanti; aggiornamenti Adobe per Acrobat e Illustrator. Rischi e...

Microsoft Patch Tuesday Microsoft Patch Tuesday
Sicurezza Informatica1 settimana ago

Microsoft Patch Tuesday dicembre 2024: sicurezza e funzionalità

Tempo di lettura: 2 minuti. Microsoft dicembre 2024: aggiornamenti Windows 11 e 10 con patch per vulnerabilità zero-day, nuove funzionalità...

Windows 11 Recall Windows 11 Recall
Tech1 settimana ago

Windows 11 e le novità di Copilot+: funzionalità avanzate e nuove esperienze

Tempo di lettura: 5 minuti. Microsoft amplia le funzionalità di Windows 11 con Copilot+ e Recall, mentre iFixit introduce pezzi...

Editoriali1 settimana ago

Cybersicurezza: perchè c’è clamore sulle parole di Gratteri?

Tempo di lettura: 2 minuti. Nicola Gratteri critica il sistema IT italiano, paragonandolo agli acquedotti con il 45% di dati...

Sicurezza Informatica2 settimane ago

CISA: avvisi su ICS e tecnologie verificabili e aggiornamenti Cisco

Tempo di lettura: 2 minuti. CISA pubblica avvisi ICS, linee guida per tecnologie sicure e aggiornamenti Cisco NX-OS per affrontare...

Truffe recenti

Sicurezza Informatica2 mesi ago

Qualcomm, LEGO e Arc Browser: Sicurezza sotto attacco e misure di protezione rafforzate

Tempo di lettura: 3 minuti. Qualcomm corregge una vulnerabilità zero-day, LEGO affronta una truffa in criptovalute e Arc Browser lancia...

Sicurezza Informatica3 mesi ago

Truffa “Il tuo partner ti tradisce”: chiedono di pagare per vedere le prove

Tempo di lettura: < 1 minuto. Una nuova truffa "Il tuo partner ti tradisce" chiede il pagamento per vedere prove...

Sicurezza Informatica5 mesi ago

Scam internazionale tramite Facebook e app: ERIAKOS e malware SMS stealer

Tempo di lettura: 4 minuti. Analisi delle campagne di scam ERIAKOS e del malware SMS Stealer che mirano gli utenti...

Sicurezza Informatica5 mesi ago

Meta banna 60.000 Yahoo Boys in Nigeria per sextortion

Tempo di lettura: 3 minuti. Meta combatte le truffe di estorsione finanziaria dalla Nigeria, rimuovendo migliaia di account e collaborando...

Inchieste5 mesi ago

Idealong.com chiuso, ma attenti a marketideal.xyz e bol-it.com

Tempo di lettura: 2 minuti. Dopo aver svelato la truffa Idealong, abbiamo scoperto altri link che ospitano offerte di lavoro...

Inchieste6 mesi ago

Idealong.com spilla soldi ed assolda lavoratori per recensioni false

Tempo di lettura: 4 minuti. Il metodo Idealong ha sostituito Mazarsiu e, dalle segnalazioni dei clienti, la truffa agisce su...

Sicurezza Informatica6 mesi ago

Truffa lavoro online: Mazarsiu sparito, attenti a idealong.com

Tempo di lettura: 2 minuti. Dopo il sito Mazarsiu, abbandonato dai criminali dopo le inchieste di Matrice Digitale, emerge un...

fbi fbi
Sicurezza Informatica7 mesi ago

FBI legge Matrice Digitale? Avviso sulle truffe di lavoro Online

Tempo di lettura: 2 minuti. L'FBI segnala un aumento delle truffe lavoro da casa con pagamenti in criptovaluta, offrendo consigli...

Sicurezza Informatica7 mesi ago

Milano: operazione “Trust”, frodi informatiche e riciclaggio di criptovaluta

Tempo di lettura: 2 minuti. Scoperta un'organizzazione criminale transnazionale specializzata in frodi informatiche e riciclaggio di criptovaluta nell'operazione "Trust"

Inchieste7 mesi ago

Truffa lavoro Online: analisi metodo Mazarsiu e consigli

Tempo di lettura: 4 minuti. Mazarsiu e Temunao sono solo due portali di arrivo della truffa di lavoro online che...

Tech

Smartphone24 secondi ago

OnePlus Ace 5 Pro e Moto G05 Series: innovazione e affidabilità

Tempo di lettura: 3 minuti. OnePlus Ace 5 Pro vs Moto G05 Series: scopri i dettagli sui nuovi flagship e...

Robotica11 minuti ago

Microrobot magnetico nel trattamento dell’infertilità femminile

Tempo di lettura: 2 minuti. Microrobot magnetico per l’infertilità: una soluzione meno invasiva per trattare le ostruzioni delle tube di...

Smartphone54 minuti ago

Vivo X200 Pro vs Google Pixel 9 Pro: quale flagship scegliere?

Tempo di lettura: 4 minuti. Vivo X200 Pro vs Google Pixel 9 Pro: confronto tra design, fotocamere, autonomia e prestazioni....

Intelligenza Artificiale1 ora ago

L’intelligenza artificiale: strumenti e trattamenti personalizzati in medicina

Tempo di lettura: 2 minuti. L’intelligenza artificiale trasforma la sanità con il Reinforcement Learning e le QuantNets. Strumenti innovativi per...

Galaxy S25 Plus Galaxy S25 Plus
Smartphone2 ore ago

Galaxy S25: colori inediti, aggiornamenti per S22 e S21

Tempo di lettura: 3 minuti. Galaxy S25 con colori inediti e patch di dicembre per Galaxy S22 e S21: scopri...

Tech2 ore ago

Google Chrome Beta 132: aggiornamenti per iOS e Android

Tempo di lettura: < 1 minuto. Google Chrome Beta 132 per iOS e Android introduce miglioramenti alle prestazioni e stabilità....

iPhone 17 Pro iPhone 17 Pro
Smartphone7 ore ago

iPhone 17 Pro: evoluzione del design e incertezze sul modulo fotocamera

Tempo di lettura: 4 minuti. iPhone 17: nuovi sensori fotografici, design raffinato e prestazioni migliorate con il chip A18 Bionic.

Smartphone9 ore ago

Galaxy S25, Z Fold 7 e Instagram Night Mode: novità Android

Tempo di lettura: 3 minuti. Samsung e Instagram introducono novità che migliorano l’esperienza utente, tra innovazioni nel design del Galaxy...

Tech1 giorno ago

Apple e Samsung: altre Beta iOS 18.3 e One UI 7

Tempo di lettura: 4 minuti. Apple rilascia iOS 18.3 e macOS 15.3 Beta, mentre Samsung prepara il Galaxy S25 con...

Intelligenza Artificiale1 giorno ago

L’intelligenza artificiale interpreta lingua dei segni in tempo reale

Tempo di lettura: 2 minuti. L’AI interpreta la lingua dei segni americana con il 98% di accuratezza. Lo studio FAU...

Tendenza