Sicurezza Informatica
Iran, accusate di spionaggio per la CIA le giornaliste della notizia di Mahsa Amini
Tempo di lettura: 2 minuti. Niloofar Hamedi ed Elahe Mohammadi sono stati accusati di essere “fonti primarie di notizie per i media stranieri” e sarebbero attualmente detenuti nella famigerata prigione di Evin, dove all’inizio del mese sono scoppiati incendi
Niloofar Hamedi ed Elahe Mohammadi, le due giornaliste che per prime hanno dato la notizia della morte di Mahsa Amini per mano della polizia morale iraniana, sono state etichettate come agenti della CIA in una dichiarazione rilasciata dal Ministero dell’Intelligence iraniano e dall’organizzazione di intelligence del Corpo delle Guardie rivoluzionarie islamiche. Il comunicato accusa le due donne di essere “fonti primarie di notizie per i media stranieri” e sostiene che le proteste a livello nazionale sono state lanciate dalla CIA e dall’organizzazione di intelligence israeliana Mossad come un’operazione pre-pianificata. Hamedi e Mohammadi sarebbero attualmente detenute nella famigerata prigione di Evin, dove all’inizio del mese sono scoppiati incendi che hanno causato quattro morti e diversi feriti. Il primo, che è stato il primo giornalista a riferire dell’uccisione di Amini, è stato accusato di essersi finto giornalista e di aver spinto la famiglia della 22enne a rivelare informazioni sulla sua morte. Mohammadi è stata accusata di aver ricevuto una formazione come agente straniero all’estero in seguito al suo reportage sul funerale di Amini. I giornalisti di tutto il Paese sono rimasti scioccati dalla dichiarazione, mentre il regime cerca di reprimere le rivolte soffocando i media. “Ci stanno monitorando da vicino e mi è stato consigliato di tagliare tutti i legami con i corrispondenti stranieri. Ho ricevuto chiamate dall’estero sul mio cellulare e se controllassero i miei tabulati telefonici e scoprissero che qualcuno dall’Occidente ha chiamato, anche se si tratta di un amico, sarebbe un rischio enorme”, ha dichiarato un giornalista iraniano al Guardian. Un altro ha affermato che il regime “non perderà tempo a punire i giornalisti. Sanno che all’interno dell’Iran ci sono persone, come me, che sono in contatto con amici o media all’estero. Useranno questa dichiarazione e questa conclusione per fare altri arresti o, peggio, per giustiziare i loro stessi cittadini per spionaggio”. Le proteste popolari, iniziate oltre 40 giorni fa, hanno visto decine di manifestanti uccisi per mano dell’IRGC. Ciononostante, il movimento non ha mostrato segni di cedimento.
Sicurezza Informatica
Salt Thypoon e APT29: a rischio Signal e RDP
Tempo di lettura: 4 minuti. Da smishing a malware come Raccoon Stealer e attacchi MITM di APT29, scopri le minacce attuali e le raccomandazioni per proteggerti.
Recentemente, diverse campagne di cybercriminalità hanno messo in evidenza la necessità di rafforzare le difese informatiche. Tra le minacce, si segnalano campagne di smishing mirate agli utenti di Poste Italiane, malware Raccoon Stealer, attacchi MITM tramite RDP orchestrati da APT29 e la raccomandazione di CISA di adottare app di messaggistica cifrata come Signal.
CISA: utilizzo di app cifrate dopo violazioni nelle telecomunicazioni
Dopo una serie di violazioni ai danni di otto operatori statunitensi, incluse T-Mobile e AT&T, la CISA ha raccomandato l’adozione di app di messaggistica cifrata, come Signal, per proteggere le comunicazioni da intercettazioni. Le violazioni, attribuite al gruppo Salt Typhoon, hanno consentito l’accesso prolungato ai sistemi di telecomunicazioni, esponendo dati sensibili.
Le raccomandazioni di CISA includono:
- Uso di autenticazione multi-fattore basata su hardware, come Yubico o Google Titan.
- Abbandono delle VPN commerciali con scarse politiche di sicurezza.
- Adozione di funzioni di sicurezza avanzate come Apple Lockdown Mode o il programma di protezione avanzata (APP) di Google.
Questi suggerimenti mirano a proteggere le comunicazioni personali e aziendali in un contesto di minacce crescenti.
Smishing contro utenti Poste Italiane: attenzione ai falsi avvisi di consegna
Il CERT-AGID ha identificato una nuova campagna di smishing che sfrutta falsi messaggi SMS inviati agli utenti di Poste Italiane. L’SMS invita le vittime a cliccare su un link fraudolento per risolvere problemi di consegna.
Il link reindirizza a un sito che imita quello ufficiale di Poste Italiane, richiedendo dati personali e delle carte di credito. Dopo aver inserito le informazioni, gli utenti possono subire furti finanziari e compromissioni di identità.
Si consiglia di:
- Verificare sempre i link prima di cliccarvi.
- Utilizzare i canali ufficiali delle organizzazioni per chiarire eventuali dubbi.
- Segnalare messaggi sospetti a malware@cert-agid.gov.it.
Raccoon Stealer: operatore condannato e implicazioni per la sicurezza
L’operatore dietro al noto malware Raccoon Stealer è stato condannato a cinque anni di prigione negli Stati Uniti dopo essersi dichiarato colpevole. Questo malware è stato responsabile di numerosi attacchi globali, con furti di credenziali, dati bancari e criptovalute, colpendo milioni di utenti dal 2019 al 2022.
Raccoon Stealer funzionava come Malware-as-a-Service (MaaS), con gli sviluppatori che vendevano abbonamenti agli attori malevoli. Una volta attivato, il malware raccoglieva informazioni sensibili dalle macchine infette, inviandole a server di comando e controllo.
La condanna dell’operatore rappresenta un passo importante nella lotta contro il cybercrimine. Tuttavia, gli esperti avvertono che varianti del malware potrebbero continuare a circolare, con la necessità di implementare difese più robuste, come software anti-malware aggiornati e una maggiore consapevolezza tra gli utenti.
APT29: attacchi MITM tramite RDP proxy
Il gruppo di cybercriminali APT29 (conosciuto anche come Midnight Blizzard o Earth Koshchei), associato alla Russia, sta utilizzando una rete di proxy RDP (Remote Desktop Protocol) per attacchi di tipo man-in-the-middle (MITM).
In questa campagna, gli aggressori inducono le vittime a connettersi a server RDP compromessi, consentendo loro di:
- Intercettare credenziali e sessioni di lavoro.
- Accedere a dati sensibili.
- Installare payload malevoli sui sistemi compromessi.
Il gruppo utilizza strumenti come PyRDP, una soluzione open-source originariamente pensata per scopi legittimi di simulazione red team, per sfruttare le connessioni RDP in modo illecito.
Gli attacchi sono stati mirati contro organizzazioni governative, militari e aziende tecnologiche in paesi come Stati Uniti, Francia, Germania e Australia. Per mitigare i rischi, si raccomanda di:
- Limitare l’uso dell’RDP solo a connessioni fidate.
- Applicare restrizioni di rete per impedire connessioni esterne non autorizzate.
- Monitorare le attività di rete per rilevare comportamenti anomali.
Le minacce descritte sottolineano la necessità di un approccio proattivo alla sicurezza informatica. Da campagne di smishing a malware avanzati come Raccoon Stealer, fino agli attacchi sofisticati di APT29, il panorama della sicurezza continua a evolversi. L’adozione di app cifrate, unita a pratiche di sicurezza solide, rappresenta una difesa fondamentale contro i rischi moderni.
Sicurezza Informatica
Windows, rischi Visual Studio Code, file MSC e kernel
Tempo di lettura: 3 minuti. Attacchi a Visual Studio Code e kernel di Windows: scopri come nuove minacce sfruttano estensioni malevole, file MSC e vulnerabilità critiche per colpire utenti globali.
Negli ultimi giorni, esperti di sicurezza hanno individuato nuove minacce che sfruttano estensioni malevole di Visual Studio Code, file MSC di Microsoft e una vulnerabilità critica nel kernel di Windows. Questi attacchi, sempre più sofisticati, rappresentano rischi significativi per sviluppatori, organizzazioni e utenti globali.
Visual Studio Code: estensioni malevole nel marketplace
Un’ampia campagna di attacchi è stata individuata su Visual Studio Code (VSCode), con oltre 18 estensioni malevole progettate per colpire sviluppatori e comunità legate alle criptovalute. Le estensioni, tra cui “Ethereum.SoliditySupport” e “ZoomWorkspace.Zoom,” mascherano funzioni dannose attraverso falsi numeri di installazioni e recensioni positive.
Le estensioni scaricano payload offuscati da domini fasulli come “microsoft-visualstudiocode[.]com”. Una volta installate, attivano comandi PowerShell che decriptano stringhe AES per eseguire codice dannoso. I rischi principali includono il furto di credenziali e movimenti laterali verso risorse cloud, specialmente su piattaforme come Microsoft Azure.
Gli esperti raccomandano di validare sempre le estensioni prima di installarle e di controllare i loro codici sorgente per evitare compromissioni della supply chain.
Attacchi tramite file MSC: una minaccia emergente
Un’altra campagna, denominata FLUX#CONSOLE, sfrutta file MSC (Microsoft Common Console Document) per distribuire backdoor mirate. Questi file, mascherati da documenti PDF (“Tax Reductions, Rebates and Credits 2024”), eseguono JavaScript integrato per caricare DLL dannose come “DismCore.dll.”
Gli attacchi sono stati osservati principalmente in Pakistan, dove gli aggressori utilizzano documenti a tema fiscale come esca. Questi file MSC rappresentano un’evoluzione dei tradizionali file LNK, offrendo agli attori malevoli un metodo stealth per infiltrarsi nei sistemi.
Le analisi suggeriscono che il malware installato tramite questi attacchi consente la raccolta di dati sensibili e l’esecuzione di comandi remoti, rendendo necessario un monitoraggio continuo e la segmentazione delle reti aziendali.
Kernel di Windows: vulnerabilità sfruttata per ottenere privilegi SYSTEM
Una vulnerabilità critica del kernel di Windows, identificata come CVE-2024-35250, è attivamente sfruttata per ottenere privilegi SYSTEM. Questa falla, presente nel componente Microsoft Kernel Streaming Service (MSKSSRV.SYS), permette a un attore locale di eseguire attacchi a bassa complessità senza richiedere l’interazione dell’utente.
Originariamente scoperta dal team di ricerca DEVCORE e dimostrata durante il Pwn2Own Vancouver 2024, la vulnerabilità è stata corretta da Microsoft nel Patch Tuesday di giugno 2024. Tuttavia, con la recente pubblicazione di exploit Proof-of-Concept (PoC) su GitHub, gli attacchi sono aumentati in frequenza, rendendo necessario un intervento urgente per mitigare i rischi.
Meccanismo dell’attacco e conseguenze
Gli aggressori sfruttano un untrusted pointer dereference, un tipo di debolezza che consente loro di manipolare la memoria del kernel e di ottenere un controllo completo sul sistema. Durante i test, questa tecnica è stata utilizzata per compromettere dispositivi con Windows 11 versione 23H2, eseguendo comandi con i massimi privilegi.
CISA ha classificato questa vulnerabilità come prioritaria, aggiungendola al suo catalogo Known Exploited Vulnerabilities (KEV) e imponendo alle agenzie federali di aggiornare i propri sistemi entro il 6 gennaio 2025. L’agenzia raccomanda anche alle organizzazioni private di applicare immediatamente le patch e di implementare controlli di accesso rigorosi.
Queste campagne, che spaziano dall’abuso di estensioni di Visual Studio Code alle vulnerabilità nel kernel di Windows, dimostrano la crescente sofisticazione degli attacchi informatici. Proteggersi richiede un approccio proattivo, che includa l’aggiornamento regolare dei software, il monitoraggio delle attività di rete e la segmentazione delle risorse sensibili.
Sicurezza Informatica
HubPhish, targeting politico e vulnerabilità critiche
Tempo di lettura: 3 minuti. HubPhish, targeting politico e vulnerabilità critiche: analisi delle minacce e linee guida di sicurezza di CISA per dispositivi mobili e reti.
Le recenti analisi di esperti di sicurezza mettono in evidenza campagne sofisticate come HubPhish, che sfrutta strumenti di HubSpot per attacchi di phishing su larga scala, e azioni legali contro pratiche di targeting politico illecito in Europa. Parallelamente, CISA introduce linee guida per comunicazioni mobili sicure e aggiunge nuove vulnerabilità critiche al suo catalogo.
HubPhish: campagne di phishing sofisticate tramite HubSpot
Il gruppo responsabile della campagna HubPhish, individuato da Palo Alto Networks Unit 42, ha preso di mira oltre 20.000 utenti aziendali in Europa, utilizzando i servizi di HubSpot Free Form Builder per ingannare le vittime. I cybercriminali inviavano email di phishing a tema DocuSign che reindirizzavano a falsi login di Office 365, mirati a sottrarre credenziali.
La campagna sfrutta domini ospitati su TLD .buzz e infrastrutture come Bulletproof VPS per garantire persistenza nei sistemi compromessi. Gli attori aggiungono nuovi dispositivi sotto il loro controllo negli account compromessi, continuando con movimenti laterali verso infrastrutture Microsoft Azure per accedere a risorse cloud.
Questo esempio di phishing avanzato dimostra come i servizi legittimi possano essere abusati per campagne malevole, evidenziando la necessità di rigide misure di sicurezza, come il controllo di domini sconosciuti e l’uso di autenticazione a più fattori.
Targeting politico illecito e violazione del GDPR nell’UE
L’European Data Protection Supervisor (EDPS) ha dichiarato illegale il targeting politico dei cittadini basato sulle loro opinioni personali. La decisione segue una denuncia contro la Commissione Europea, accusata di utilizzare dati sensibili per una campagna a favore della regolamentazione CSAR (Child Sexual Abuse Regulation).
Le campagne di micro-targeting hanno sfruttato proxy data come parole chiave di interesse politico per segmentare il pubblico. La violazione del GDPR dimostra il rischio che pratiche simili possano influenzare la democrazia, spingendo i legislatori a considerare regolamenti più rigidi.
CISA: nuove linee guida per comunicazioni mobili sicure
La Cybersecurity and Infrastructure Security Agency (CISA) ha pubblicato un nuovo documento di riferimento con linee guida per migliorare la sicurezza delle comunicazioni mobili. Questo strumento è pensato per aiutare le organizzazioni a proteggere i dispositivi mobili aziendali e le reti wireless da minacce crescenti.
Le raccomandazioni principali includono:
- Segmentazione delle reti mobili per separare dispositivi aziendali da quelli personali.
- Autenticazione multi-fattore (MFA) per ridurre il rischio di compromissione delle credenziali.
- Aggiornamenti regolari del firmware per mitigare vulnerabilità nei sistemi operativi mobili.
- Monitoraggio continuo per identificare comportamenti anomali e attività sospette.
Le linee guida sottolineano anche l’importanza di educare i dipendenti sui rischi associati all’uso di dispositivi mobili per attività aziendali, enfatizzando il ruolo della consapevolezza nella protezione delle infrastrutture digitali.
Nuove vulnerabilità aggiunte al catalogo CISA
CISA ha aggiornato il proprio Known Exploited Vulnerabilities Catalog, aggiungendo quattro vulnerabilità critiche che sono già state sfruttate attivamente in attacchi mirati. Tra queste spiccano:
- CVE-2018-14933 NUUO NVRmini Devices OS Command Injection Vulnerability
- CVE-2022-23227 NUUO NVRmini 2 Devices Missing Authentication Vulnerability
- CVE-2019-11001 Reolink Multiple IP Cameras OS Command Injection Vulnerability
- CVE-2021-40407 Reolink RLC-410W IP Camera OS Command Injection Vulnerability
Queste vulnerabilità rappresentano rischi significativi per reti aziendali e infrastrutture governative. BOD 22-01, il Binding Operational Directive emesso da CISA, obbliga le agenzie federali a risolvere queste vulnerabilità entro scadenze specifiche. Tuttavia, CISA raccomanda a tutte le organizzazioni, pubbliche e private, di adottare lo stesso approccio per mitigare le minacce.
Le campagne di phishing come HubPhish, i rischi legati al targeting politico illecito e le vulnerabilità sfruttate attivamente evidenziano l’importanza di misure proattive di sicurezza. Con le nuove linee guida di CISA per le comunicazioni mobili e l’aggiornamento del catalogo di vulnerabilità, le organizzazioni possono rafforzare la propria difesa contro attacchi complessi e persistenti.
-
Smartphone1 settimana ago
Realme GT 7 Pro vs Motorola Edge 50 Ultra: quale scegliere?
-
Smartphone1 settimana ago
OnePlus 13 vs Google Pixel 9 Pro XL: scegliere o aspettare?
-
Smartphone1 settimana ago
Samsung Galaxy Z Flip 7: il debutto dell’Exynos 2500
-
Smartphone1 settimana ago
Redmi Note 14 Pro+ vs 13 Pro+: quale scegliere?
-
Sicurezza Informatica22 ore ago
Nvidia, SonicWall e Apache Struts: vulnerabilità critiche e soluzioni
-
Economia1 settimana ago
Controversie e investimenti globali: Apple, Google e TikTok
-
Sicurezza Informatica5 giorni ago
BadBox su IoT, Telegram e Viber: Germania e Russia rischiano
-
Sicurezza Informatica7 giorni ago
Vulnerabilità Cleo: attacchi zero-day e rischi di sicurezza