Sicurezza Informatica
Gli aggressori hanno creato un malware personalizzato per lo zero-day di Fortinet
Tempo di lettura: 4 minuti. La backdoor “BoldMove” dimostra un alto livello di conoscenza di FortiOS, secondo i ricercatori di Mandiant, secondo i quali l’attaccante sembra avere sede in Cina.
I ricercatori che hanno analizzato i dati associati a una vulnerabilità zero-day recentemente rivelata nella tecnologia FortiOS SSL-VPN di Fortinet hanno identificato una nuova e sofisticata backdoor specificamente progettata per funzionare sui firewall FortiGate di Fortinet. Il malware sembra essere opera di un attore di minacce con sede in Cina, impegnato in operazioni di cyberspionaggio che prendono di mira organizzazioni governative e coloro che lavorano con queste organizzazioni. È l’ultimo esempio di avversari provenienti da questo Paese che prendono di mira firewall, IPS, IDS e altre tecnologie rivolte a Internet che le aziende utilizzano per proteggere le loro reti, ha dichiarato Mandiant in un rapporto di questa settimana. I ricercatori della società si sono imbattuti nel malware in un repository pubblico a dicembre e sono riusciti a collegarlo al bug zero-day di Fortinet (CVE-2022-42475) sulla base delle informazioni che Fortinet ha rilasciato nella sua divulgazione iniziale della vulnerabilità. La vulnerabilità consente a un aggressore non autenticato di eseguire codice arbitrario sui sistemi interessati ed è presente in più versioni delle tecnologie FortiOS e FortiProxy di Fortinet. Quando Fortinet ha reso nota la vulnerabilità, l’azienda ha dichiarato di essere a conoscenza di almeno un caso in cui un utente malintenzionato ha sfruttato la falla in modo selvaggio.
Backdoor BoldMove
Mandiant ha dichiarato che il malware che ha scoperto a dicembre – e che sta monitorando come “BoldMove” – è associato allo sfruttamento di CVE-2022-42475. La telemetria disponibile suggerisce che l’attività di exploit associata al malware si è verificata già nell’ottobre 2022. Tra gli obiettivi vi sono un ente governativo in Europa e un fornitore di servizi gestiti in Africa. La backdoor BoldMove, scritta in C, è disponibile in due versioni: una versione Windows e una versione Linux che l’attore della minaccia sembra aver personalizzato per FortiOS, secondo Mandiant. Quando viene eseguita, la versione Linux del malware tenta innanzitutto di connettersi a un server di comando e controllo (C2) codificato. In caso di successo, BoldMove raccoglie informazioni sul sistema su cui è atterrato e le trasmette al C2. Il server C2 trasmette quindi le istruzioni al malware, che termina con l’ottenimento del pieno controllo remoto del dispositivo FortiOS interessato da parte dell’attore della minaccia. Ben Read, direttore delle analisi di cyberspionaggio di Mandiant, afferma che alcune delle funzioni principali del malware, come la capacità di scaricare file aggiuntivi o di aprire una shell inversa, sono abbastanza tipiche di questo tipo di malware. Ma la versione Linux personalizzata di BoldMove include anche capacità di manipolare caratteristiche specifiche di FortOS. “L’implementazione di queste funzionalità dimostra una conoscenza approfondita del funzionamento dei dispositivi Fortinet”, afferma Read. “È inoltre degno di nota il fatto che alcune delle funzioni delle varianti di Linux sembrano essere state riscritte per essere eseguite su dispositivi a bassa potenza”. L’avversario sembra aver compilato la versione Windows di BoldMove nel 2021, o molto prima della versione Linux. Finora Mandiant non ha rilevato alcuna attività di exploit in natura associata a questa versione. “Il campione Windows in nostro possesso è a 32 bit, quindi dovrebbe funzionare sulla maggior parte delle versioni moderne di Windows, ma potrebbe essere compilato per funzionare su macchine a 64 bit”, afferma Read. Tuttavia, non funzionerebbe su un dispositivo Fortinet.
Trucchi tecnici
La nuova campagna di cyberspionaggio e il malware BoldMove che gli aggressori stanno utilizzando per la campagna continuano un modello tra gli attori delle minacce con sede in Cina – e le minacce persistenti avanzate provenienti anche da altre nazioni – per colpire firewall, IPS, IDS e altri dispositivi di sicurezza di rete. Lo sviluppo di exploit per queste tecnologie può essere impegnativo e richiede notevoli risorse e capacità tecniche. Con BoldMove, “gli aggressori non hanno solo sviluppato un exploit, ma anche un malware che dimostra una conoscenza approfondita di sistemi, servizi, registrazioni e formati proprietari non documentati”, ha dichiarato Mandiant. Ma il guadagno per gli aggressori può essere elevato perché un exploit riuscito dà loro ampio accesso a una rete, senza richiedere alcuna interazione da parte dell’utente”, ha aggiunto il fornitore di sicurezza. Sebbene i prodotti di Fortinet siano stati un obiettivo particolarmente popolare in questo senso, gli attori delle minacce hanno preso di mira anche prodotti di altri fornitori, tra cui Pulse Secure VPN, Citrix ADC e SonicWall. Gli attacchi hanno provocato numerosi avvisi da parte dell’FBI, della Cybersecurity and Information Security Agency (CISA) statunitense e di altri enti.
Istruito in FortiOS
Nel frattempo, la settimana scorsa Fortinet stessa ha descritto il malware associato a CVE-2022-42475 come una variante di una backdoor Linux “generica” che l’attore delle minacce ha personalizzato per FortiOS. L’azienda ha dichiarato che la sua analisi ha dimostrato che il file dannoso potrebbe essere stato mascherato come un componente del motore IPS di Fortinet sui sistemi compromessi. Tra le funzionalità più avanzate del malware c’è quella di manipolare la registrazione di FortiOS per evitare il rilevamento, ha dichiarato Fortinet. Il malware è in grado di cercare i registri degli eventi in FortiOS, decomprimerli in memoria e cercare ed eliminare una stringa specifica che gli consenta di ricostruire i registri. Il malware può anche interrompere completamente i processi di registrazione. “La complessità dell’exploit suggerisce che si tratta di un attore avanzato e che è altamente mirato a obiettivi governativi o legati alla pubblica amministrazione”, ha dichiarato Fortinet. Secondo Fortinet, lo sviluppo dell’exploit avrebbe richiesto all’attore della minaccia una “profonda conoscenza” di FortiOS e dell’hardware sottostante. “L’uso di impianti personalizzati dimostra che l’attore possiede capacità avanzate, tra cui il reverse-engineering di varie parti di FortiOS”, ha dichiarato il fornitore.
Sicurezza Informatica
Windows, rischi Visual Studio Code, file MSC e kernel
Tempo di lettura: 3 minuti. Attacchi a Visual Studio Code e kernel di Windows: scopri come nuove minacce sfruttano estensioni malevole, file MSC e vulnerabilità critiche per colpire utenti globali.
Negli ultimi giorni, esperti di sicurezza hanno individuato nuove minacce che sfruttano estensioni malevole di Visual Studio Code, file MSC di Microsoft e una vulnerabilità critica nel kernel di Windows. Questi attacchi, sempre più sofisticati, rappresentano rischi significativi per sviluppatori, organizzazioni e utenti globali.
Visual Studio Code: estensioni malevole nel marketplace
Un’ampia campagna di attacchi è stata individuata su Visual Studio Code (VSCode), con oltre 18 estensioni malevole progettate per colpire sviluppatori e comunità legate alle criptovalute. Le estensioni, tra cui “Ethereum.SoliditySupport” e “ZoomWorkspace.Zoom,” mascherano funzioni dannose attraverso falsi numeri di installazioni e recensioni positive.
Le estensioni scaricano payload offuscati da domini fasulli come “microsoft-visualstudiocode[.]com”. Una volta installate, attivano comandi PowerShell che decriptano stringhe AES per eseguire codice dannoso. I rischi principali includono il furto di credenziali e movimenti laterali verso risorse cloud, specialmente su piattaforme come Microsoft Azure.
Gli esperti raccomandano di validare sempre le estensioni prima di installarle e di controllare i loro codici sorgente per evitare compromissioni della supply chain.
Attacchi tramite file MSC: una minaccia emergente
Un’altra campagna, denominata FLUX#CONSOLE, sfrutta file MSC (Microsoft Common Console Document) per distribuire backdoor mirate. Questi file, mascherati da documenti PDF (“Tax Reductions, Rebates and Credits 2024”), eseguono JavaScript integrato per caricare DLL dannose come “DismCore.dll.”
Gli attacchi sono stati osservati principalmente in Pakistan, dove gli aggressori utilizzano documenti a tema fiscale come esca. Questi file MSC rappresentano un’evoluzione dei tradizionali file LNK, offrendo agli attori malevoli un metodo stealth per infiltrarsi nei sistemi.
Le analisi suggeriscono che il malware installato tramite questi attacchi consente la raccolta di dati sensibili e l’esecuzione di comandi remoti, rendendo necessario un monitoraggio continuo e la segmentazione delle reti aziendali.
Kernel di Windows: vulnerabilità sfruttata per ottenere privilegi SYSTEM
Una vulnerabilità critica del kernel di Windows, identificata come CVE-2024-35250, è attivamente sfruttata per ottenere privilegi SYSTEM. Questa falla, presente nel componente Microsoft Kernel Streaming Service (MSKSSRV.SYS), permette a un attore locale di eseguire attacchi a bassa complessità senza richiedere l’interazione dell’utente.
Originariamente scoperta dal team di ricerca DEVCORE e dimostrata durante il Pwn2Own Vancouver 2024, la vulnerabilità è stata corretta da Microsoft nel Patch Tuesday di giugno 2024. Tuttavia, con la recente pubblicazione di exploit Proof-of-Concept (PoC) su GitHub, gli attacchi sono aumentati in frequenza, rendendo necessario un intervento urgente per mitigare i rischi.
Meccanismo dell’attacco e conseguenze
Gli aggressori sfruttano un untrusted pointer dereference, un tipo di debolezza che consente loro di manipolare la memoria del kernel e di ottenere un controllo completo sul sistema. Durante i test, questa tecnica è stata utilizzata per compromettere dispositivi con Windows 11 versione 23H2, eseguendo comandi con i massimi privilegi.
CISA ha classificato questa vulnerabilità come prioritaria, aggiungendola al suo catalogo Known Exploited Vulnerabilities (KEV) e imponendo alle agenzie federali di aggiornare i propri sistemi entro il 6 gennaio 2025. L’agenzia raccomanda anche alle organizzazioni private di applicare immediatamente le patch e di implementare controlli di accesso rigorosi.
Queste campagne, che spaziano dall’abuso di estensioni di Visual Studio Code alle vulnerabilità nel kernel di Windows, dimostrano la crescente sofisticazione degli attacchi informatici. Proteggersi richiede un approccio proattivo, che includa l’aggiornamento regolare dei software, il monitoraggio delle attività di rete e la segmentazione delle risorse sensibili.
Sicurezza Informatica
HubPhish, targeting politico e vulnerabilità critiche
Tempo di lettura: 3 minuti. HubPhish, targeting politico e vulnerabilità critiche: analisi delle minacce e linee guida di sicurezza di CISA per dispositivi mobili e reti.
Le recenti analisi di esperti di sicurezza mettono in evidenza campagne sofisticate come HubPhish, che sfrutta strumenti di HubSpot per attacchi di phishing su larga scala, e azioni legali contro pratiche di targeting politico illecito in Europa. Parallelamente, CISA introduce linee guida per comunicazioni mobili sicure e aggiunge nuove vulnerabilità critiche al suo catalogo.
HubPhish: campagne di phishing sofisticate tramite HubSpot
Il gruppo responsabile della campagna HubPhish, individuato da Palo Alto Networks Unit 42, ha preso di mira oltre 20.000 utenti aziendali in Europa, utilizzando i servizi di HubSpot Free Form Builder per ingannare le vittime. I cybercriminali inviavano email di phishing a tema DocuSign che reindirizzavano a falsi login di Office 365, mirati a sottrarre credenziali.
La campagna sfrutta domini ospitati su TLD .buzz e infrastrutture come Bulletproof VPS per garantire persistenza nei sistemi compromessi. Gli attori aggiungono nuovi dispositivi sotto il loro controllo negli account compromessi, continuando con movimenti laterali verso infrastrutture Microsoft Azure per accedere a risorse cloud.
Questo esempio di phishing avanzato dimostra come i servizi legittimi possano essere abusati per campagne malevole, evidenziando la necessità di rigide misure di sicurezza, come il controllo di domini sconosciuti e l’uso di autenticazione a più fattori.
Targeting politico illecito e violazione del GDPR nell’UE
L’European Data Protection Supervisor (EDPS) ha dichiarato illegale il targeting politico dei cittadini basato sulle loro opinioni personali. La decisione segue una denuncia contro la Commissione Europea, accusata di utilizzare dati sensibili per una campagna a favore della regolamentazione CSAR (Child Sexual Abuse Regulation).
Le campagne di micro-targeting hanno sfruttato proxy data come parole chiave di interesse politico per segmentare il pubblico. La violazione del GDPR dimostra il rischio che pratiche simili possano influenzare la democrazia, spingendo i legislatori a considerare regolamenti più rigidi.
CISA: nuove linee guida per comunicazioni mobili sicure
La Cybersecurity and Infrastructure Security Agency (CISA) ha pubblicato un nuovo documento di riferimento con linee guida per migliorare la sicurezza delle comunicazioni mobili. Questo strumento è pensato per aiutare le organizzazioni a proteggere i dispositivi mobili aziendali e le reti wireless da minacce crescenti.
Le raccomandazioni principali includono:
- Segmentazione delle reti mobili per separare dispositivi aziendali da quelli personali.
- Autenticazione multi-fattore (MFA) per ridurre il rischio di compromissione delle credenziali.
- Aggiornamenti regolari del firmware per mitigare vulnerabilità nei sistemi operativi mobili.
- Monitoraggio continuo per identificare comportamenti anomali e attività sospette.
Le linee guida sottolineano anche l’importanza di educare i dipendenti sui rischi associati all’uso di dispositivi mobili per attività aziendali, enfatizzando il ruolo della consapevolezza nella protezione delle infrastrutture digitali.
Nuove vulnerabilità aggiunte al catalogo CISA
CISA ha aggiornato il proprio Known Exploited Vulnerabilities Catalog, aggiungendo quattro vulnerabilità critiche che sono già state sfruttate attivamente in attacchi mirati. Tra queste spiccano:
- CVE-2018-14933 NUUO NVRmini Devices OS Command Injection Vulnerability
- CVE-2022-23227 NUUO NVRmini 2 Devices Missing Authentication Vulnerability
- CVE-2019-11001 Reolink Multiple IP Cameras OS Command Injection Vulnerability
- CVE-2021-40407 Reolink RLC-410W IP Camera OS Command Injection Vulnerability
Queste vulnerabilità rappresentano rischi significativi per reti aziendali e infrastrutture governative. BOD 22-01, il Binding Operational Directive emesso da CISA, obbliga le agenzie federali a risolvere queste vulnerabilità entro scadenze specifiche. Tuttavia, CISA raccomanda a tutte le organizzazioni, pubbliche e private, di adottare lo stesso approccio per mitigare le minacce.
Le campagne di phishing come HubPhish, i rischi legati al targeting politico illecito e le vulnerabilità sfruttate attivamente evidenziano l’importanza di misure proattive di sicurezza. Con le nuove linee guida di CISA per le comunicazioni mobili e l’aggiornamento del catalogo di vulnerabilità, le organizzazioni possono rafforzare la propria difesa contro attacchi complessi e persistenti.
Sicurezza Informatica
TA397: spionaggio internazionale con WmRAT e MiyaRAT
Tempo di lettura: 2 minuti. TA397 utilizza nuove tecniche di attacco per distribuire WmRAT e MiyaRAT, colpendo organizzazioni governative e della difesa.
Il gruppo di cyber spionaggio TA397, noto anche come Bitter, ha introdotto nuove e sofisticate catene di attacco per colpire organizzazioni governative e del settore della difesa, principalmente nelle regioni EMEA (Europa, Medio Oriente e Africa) e APAC (Asia-Pacifico). Proofpoint ha analizzato una recente campagna che utilizza tecniche avanzate per distribuire i malware WmRAT e MiyaRAT, progettati per raccogliere informazioni sensibili.
Una catena di infezione mirata e ingannevole
Il 18 novembre 2024, TA397 ha condotto un attacco mirato contro un’organizzazione della difesa in Turchia, utilizzando un’esca sotto forma di email di spear phishing. L’email conteneva un archivio RAR con diversi file, tra cui:
- Un documento PDF legittimo proveniente dalla World Bank che descrive un progetto infrastrutturale in Madagascar.
- Un file di collegamento LNK mascherato da documento PDF.
- Flussi di dati alternativi (ADS) nascosti che contenevano codice PowerShell dannoso.
L’utente, attirato dall’apparente legittimità del file PDF, eseguiva inavvertitamente il file LNK, attivando una catena di infezione che includeva:
- L’apertura del PDF come decoy per distrarre l’utente.
- L’esecuzione di script PowerShell tramite il flusso ADS.
- La creazione di un’attività pianificata che comunicava regolarmente con il server di comando e controllo (C2) jacknwoods[.]com.
Questa attività pianificata inviava informazioni di base sul dispositivo della vittima e scaricava ulteriori payload malevoli, tra cui i RAT (Remote Access Trojans) WmRAT e MiyaRAT.
WmRAT e MiyaRAT: strumenti di spionaggio avanzati
WmRAT, scritto in C++, offre funzionalità classiche di RAT, come la cattura di screenshot, l’esfiltrazione di file e l’esecuzione di comandi remoti. Il malware utilizza una semplice crittografia per comunicare con il server C2, rendendo difficile l’intercettazione da parte delle difese di rete.
MiyaRAT, introdotto più recentemente, include funzionalità simili, ma con una crittografia più sofisticata e un livello più elevato di offuscamento del codice. Questo strumento è riservato a obiettivi di alto valore, come evidenziato dalla distribuzione limitata in campagne selezionate.
Entrambi i malware sono stati utilizzati per raccogliere informazioni critiche, come dati sulle directory, processi in esecuzione e geolocalizzazione, e per interagire direttamente con la rete dell’organizzazione compromessa.
Tecniche di persistenza e copertura delle tracce
TA397 dimostra una notevole abilità nell’evadere le misure di sicurezza, utilizzando:
- Attività pianificate per garantire la persistenza.
- Offuscamento dei file esca, mascherati per sembrare innocui.
- Crittografia personalizzata per proteggere le comunicazioni con i server C2.
Queste tecniche, combinate con un’infrastruttura di comando e controllo che utilizza domini legittimi e indirizzi IP non direttamente riconducibili al gruppo, complicano ulteriormente le indagini forensi.
TA397 “rappresenta una minaccia significativa per organizzazioni strategiche in tutto il mondo”. Le sue campagne mirate dimostrano una continua evoluzione delle tecniche di attacco, sottolineando la necessità di misure di difesa avanzate e un monitoraggio costante delle infrastrutture IT per rilevare attività sospette.
-
Smartphone1 settimana ago
Realme GT 7 Pro vs Motorola Edge 50 Ultra: quale scegliere?
-
Smartphone1 settimana ago
OnePlus 13 vs Google Pixel 9 Pro XL: scegliere o aspettare?
-
Smartphone1 settimana ago
Samsung Galaxy Z Flip 7: il debutto dell’Exynos 2500
-
Smartphone7 giorni ago
Redmi Note 14 Pro+ vs 13 Pro+: quale scegliere?
-
Sicurezza Informatica5 giorni ago
BadBox su IoT, Telegram e Viber: Germania e Russia rischiano
-
Sicurezza Informatica16 ore ago
Nvidia, SonicWall e Apache Struts: vulnerabilità critiche e soluzioni
-
Economia1 settimana ago
Controversie e investimenti globali: Apple, Google e TikTok
-
Sicurezza Informatica1 settimana ago
Vulnerabilità cavi USB-C, Ivanti, WPForms e aggiornamenti Adobe