I ricercatori di Infoblox hanno scoperto il gruppo Revolver Rabbit, che ha registrato più di 500.000 domini per le sue campagne dannose rivolte agli utenti Windows e macOS.

Gli esperti affermano che gli hacker utilizzano algoritmi per generare domini (RDGA), ovvero registrare automaticamente nomi di dominio in un breve periodo di tempo.

L’essenza di RDGA è simile al metodo DGA, utilizzato dal malware per creare elenchi di possibili posizioni per i server di controllo. La differenza è che DGA è integrato direttamente nel codice del malware e registra solo alcuni dei domini generati, mentre RDGA lavora dalla parte degli aggressori e registra tutti i domini generati.

E mentre i ricercatori possono scoprire un DGA e poi decodificare gli indirizzi di eventuali server di comando e controllo, con un RDGA tutto è segreto, e trovare un modello per generare domini diventa un compito più difficile.
Confronto tra DGA e RDGA
Secondo l’azienda, il gruppo controlla più di 500.000 domini di primo livello .BOND, che vengono utilizzati per creare server di controllo sia falsi che reali per il malware. Allo stesso tempo, Infoblox osserva che i domini nella zona .BOND sono semplicemente i più facili da rilevare, ma in totale gli hacker hanno già registrato più di 700.000 domini in una varietà di zone.

I ricercatori stimano che Revolver Rabbit utilizzi RDGA per acquistare centinaia di migliaia di domini e che la sua spesa abbia già superato 1 milione di dollari, dato che un singolo dominio .BOND costa circa 2 dollari.

Nelle loro operazioni, gli hacker distribuiscono il malware XLoader, in grado di rubare informazioni riservate ed eseguire file dannosi sui sistemi che eseguono Windows e macOS. “Il modello RDGA più comune utilizzato da questo gruppo è una serie di una o più parole del dizionario seguite da un numero di cinque cifre, con ogni parola o numero separato da un trattino”, hanno detto gli analisti di Infoblox.

I domini tendono a concentrarsi su un argomento o una regione specifica e hanno molta varietà. Ecco alcuni esempi:

• usa-online-laurea-29o[.]bond
• reggiseno-condizionatore-portatile-9o[.]bond
• crociere-fluviali-uk-8n[.]bond
• ai-courses-17621[.]bond
• app-sviluppo-software-formazione-52686[.]bond
• assistenza-alla-vita-11607[.]bond
• lavori-online-42681[.]bond
• profumi-76753[.]bond
• telecamere-di-sorveglianza-di-sicurezza-42345[.]bond
• lezioni-di-yoga-35904[.]bond

I ricercatori scrivono di aver monitorato Revolver Rabbit per circa un anno, ma l’uso di RDGA ha nascosto gli obiettivi degli aggressori fino a poco tempo fa.

L'articolo Revolver Rabbit: La Nuova Minaccia Cyber supportata da 500.000 Domini di primo livello proviene da il blog della sicurezza informatica.

Cisco ha risolto una vulnerabilità critica che poteva consentire agli aggressori di modificare la password di qualsiasi utente sui server vulnerabili Cisco Smart Software Manager On-Prem (Cisco SSM On-Prem), comprese le password di amministratore.

La vulnerabilità colpisce le versioni 8-202206 e precedenti, nonché le versioni precedenti di SSM On-Prem (precedenti alla versione 7.0), precedentemente note come Cisco Smart Software Manager Satellite (SSM Satellite).

Il bug critico viene tracciato con l’identificatore CVE-2024-20419 e ha ricevuto un punteggio di 10 su 10 sulla scala CVSS. È stato segnalato che è correlato a un bug nel processo di modifica della password nel sistema di autenticazione SSM On-Prem. Uno sfruttamento riuscito consente agli aggressori remoti e non autenticati di impostare nuove password per gli utenti senza conoscere le credenziali originali.

“La vulnerabilità è dovuta all’errata implementazione del processo di modifica della password. Un utente malintenzionato può sfruttare questo problema inviando richieste HTTP appositamente predisposte a un dispositivo vulnerabile, afferma Cisco. “Lo sfruttamento riuscito consente l’accesso a un’interfaccia web o API con i privilegi di un utente compromesso.”

Si consiglia ora a tutti gli amministratori di aggiornare Cisco SSM On-Prem alla versione 8-202212 o alla versione 9, che non è affatto interessata da questo problema, il prima possibile.

Vale anche la pena notare che questa settimana gli sviluppatori Cisco hanno risolto un’altra vulnerabilità critica nel Secure Email Gateway (SEG), che consentiva di aggiungere nuovi utenti con privilegi di root e disabilitare i dispositivi.

Questo problema, identificato come CVE-2024-20401 (punteggio CVSS 9.8), è dovuto alla scrittura arbitraria di file e alla gestione impropria degli allegati e-mail durante la scansione del contenuto e-mail e il filtraggio dei messaggi. In effetti, questo bug di attraversamento del percorso ne ha consentito la sostituzione in qualsiasi file del sistema operativo.

“La vulnerabilità è dovuta all’elaborazione errata degli allegati e-mail quando sono abilitati l’analisi dei file e i filtri dei contenuti. Uno sfruttamento riuscito potrebbe consentire a un utente malintenzionato di sostituire qualsiasi file nel file system, hanno scritto gli sviluppatori. “L’aggressore potrebbe quindi eseguire una delle seguenti operazioni: aggiungere utenti con privilegi root, modificare le impostazioni del dispositivo, eseguire codice arbitrario o causare un rifiuto di servizio permanente (DoS) sul dispositivo interessato.”

CVE-2024-20401 colpisce i dispositivi SEG se eseguono una versione vulnerabile di Cisco AsyncOS e sono soddisfatte le seguenti condizioni:

• La funzionalità di analisi dei file (parte di Cisco Advanced Malware Protection) o la funzionalità di filtro dei contenuti è abilitata e utilizzata per la posta in arrivo;
• Content Scanner Tools ha una versione fino alla 23.3.0.4823.

Il problema è stato risolto in Content Scanner Tools versione 23.3.0.4823 e successive. La versione aggiornata è inclusa per impostazione predefinita con Cisco AsyncOS per il software Cisco Secure Email versione 15.5.1-055 e successive.

L'articolo Risolta Vulnerabilità Critica in Cisco SSM On-Prem: Aggiorna Subito! proviene da il blog della sicurezza informatica.

We were talking about a sweet hack this week, wherein [Alex] busts the encryption for his IP web cam firmware so that he can modify it later. He got a number of lucky breaks, including getting root on the device just by soldering on a serial terminal, but was faced with having to reverse-engineer a binary that implemented RSA encryption and decryption.

Especially when they’re done right, and written to avoid side-channel attacks, encryption routines aren’t intuitive, even when you’re looking at the C source. Reversing it from the binary would be a tremendous hurdle.

That’s when [Alex] started plugging in strings he found in the binary into a search engine. And that’s when he found exactly the open source project that the webcam used, which gave him the understanding he needed to crack the rest of the nut.

Never forget! When you’re doing some reverse engineering, whether hardware or software, do a search for every part number and every string you find in memory. If you’re like me, it might feel like cheating a little bit, but it’s just being efficient. It’s what all your hacker heroes say they do, and if you’re lucky, it might just be the break you need too.

[Ahron Wayne] succeeded in something he’s been trying to accomplish for some time: figuring out what’s inside a sealed Pokémon card packet without opening it. There’s a catch, however. It took buying an X-ray CT scanner off eBay, refurbishing and calibrating it, then putting a load of work into testing and scanning techniques. Then finally combining the data with machine learning in order to make useful decisions. It’s a load of work but [Ahron] succeeded by developing some genuinely novel techniques.

While using an X-ray machine to peek inside a sealed package seems conceptually straightforward, there are in fact all kinds of challenges in actually pulling it off. There’s loads of noise. So much that the resulting images give a human eyeball very little to work with. Luckily, there are also some things that make the job a little easier.

For example, it’s not actually necessary to image an entire card in order to positively identify it. Teasing out the individual features such as a fist, a tentacle, or a symbol are all useful to eliminate possibilities. Interestingly, as a side effect the system can easily spot counterfeit cards; the scans show up completely different.

When we first covered [Ahron]’s fascinating journey of bringing CT scanners back to life, he was able to scan cards but made it clear he wasn’t able to scan sealed packages. We’re delighted that he ultimately succeeded, and also documented the process. Check it out in the video below.

youtube.com/embed/j7hkmrk63xc?…

Nell’aprile 2024, la società Cellebrite ha dovuto affrontare un problema. Secondo i documenti trapelati e confermati da 404 Media, una parte significativa dei moderni iPhone era inaccessibile ai loro strumenti di jailbreak.

I documenti mostrano a quali smartphone Android e versioni del sistema operativo Cellebrite può accedere e fornisce uno sguardo dettagliato sullo stato attuale della tecnologia forense mobile.

L’analisi dei documenti è stata effettuata dopo che l’FBI ha annunciato di essere riuscita ad avere accesso al cellulare di Thomas Matthew Crooks, sospettato dell’attentato a Donald Trump. L’FBI non ha specificato quale marca di telefono utilizzasse Crooks o come fosse stato sbloccato il dispositivo.

I documenti, intitolati “Cellebrite iOS Support Matrix” e “Cellebrite Android Support Matrix“, sono stati inviati a 404 Media da una fonte anonima. A maggio, GrapheneOS, un sistema operativo basato su Android incentrato sulla privacy e sulla sicurezza, aveva precedentemente pubblicato screenshot degli stessi documenti, ma non avevano ricevuto un’attenzione diffusa al di fuori della comunità forense mobile.

Tabella delle versioni di iPhone e iOS supportate

Tutti gli iPhone bloccati con iOS 17.4 e versioni successive sono elencati come “In ricerca” nei documenti di Cellebrite, il che significa che i modelli che eseguono quella versione non possono essere sbloccati utilizzando gli strumenti dell’azienda.

Per le versioni precedenti di iOS 17 (da 17.1 a 17.3.1), sono supportati i modelli iPhone XR e iPhone 11. Tuttavia, per iPhone 12 e versioni successive da 17.1 a 17.3.1, è contrassegnato come “Prossimamente“, il che significa che. il supporto “arriverà presto”. Queste versioni di iOS hanno recentemente aggiunto anche il supporto per Supersonic BF (forza bruta), che consente un rapido accesso ai telefoni, afferma l’azienda .

Secondo i dati di giugno di Apple , la maggior parte degli utenti iPhone ha effettuato l’aggiornamento a iOS 17: il 77% di tutti gli iPhone e l’87% degli iPhone rilasciati negli ultimi 4 anni utilizzano iOS 17.

Cellebrite offre una varietà di strumenti forensi mobili, tra cui UFED, un dispositivo hardware in grado di estrarre dati da uno smartphone fisicamente connesso. L’UFED è ampiamente utilizzato dalla polizia. Cellebrite vende anche Cellebrite Premium, un servizio che offre ai clienti UFED più opzioni, viene elaborato nel cloud Cellebrite o viene offerto come soluzione autonoma.

Cellebrite afferma che Cellebrite Premium è in grado di recuperare la password per “quasi tutti i dispositivi mobili moderni, comprese le ultime versioni di iOS e Android”. Tuttavia, i documenti trapelati non supportano questa affermazione, dimostrando che ad aprile 2024 Cellebrite non era in grado di accedere agli iPhone bloccati con iOS 17.4.

Il secondo documento mostra che Cellebrite non ha il supporto completo per i dispositivi Android bloccati, sebbene copra la maggior parte di quelli elencati. Ad esempio, Cellebrite non può forzare i Google Pixel 6, 7 o 8 se sono spenti.

Tabella dei dispositivi Android supportati

Cellebrite ha confermato l’autenticità dei documenti in un’e-mail a 404 Media. Un portavoce dell’azienda ha affermato che i documenti hanno lo scopo di aiutare i clienti a comprendere le capacità delle tecnologie Cellebrite nella conduzione di indagini etiche e legali. Il rappresentante ha inoltre osservato che l’azienda non vende i suoi prodotti a paesi soggetti a sanzioni da parte di Stati Uniti, UE, Regno Unito o Israele.

Cellebrite non è l’unica azienda forense mobile. Grayshift realizza un prodotto chiamato GrayKey, inizialmente focalizzato sui dispositivi iOS e successivamente esteso ad Android. Le attuali capacità di GrayKey non sono chiare.

L'articolo I nuovi iPhone non possono essere hackerati da Cellebrite proviene da il blog della sicurezza informatica.

Su basta!, un media indipendente francese, c’è un interessante articolo che presenta l’esperienza delle “banche del tempo libero“ (Fritidsbanken), in particolare la sede di Malmoe, nel sud della Svezia: basta.media/Suede-recycleries-…

La sede si trova in un centro commerciale eha l’aspetto di un normale negozio di articoli sportivi, ma lì sci, pattini in linea, racchette da tennis, palloni, tende e altri articoli sportivi sono di seconda mano e non si vendono, ma si prestano gratuitamente per due settimane, basta lasciare il proprio nome e il proprio numero di telefono.
Nella sede di Malmoe c’è spazio anche per accese partite ai due tavoli da ping pong e non mancano le attività per la riparazione delle attrezzature, secondo la responsabile al momento nel negozio si prestano circa 150 oggetti al giorno, d’inverno, il doppio.

L’associazione delle Fritidsbanken è nata nel 2013 ed ora è diffusa in molti centri del paese, ha come scopo dare nuova vita ad attrezzature sportive usate, prestandole gratuitamente per promuovere l'attività sportiva e all'aria aperta. Le “banche del tempo libero” vengono finanziate dalle amministrazioni locali da associazioni per la promozione dello sport, da fondazioni e da alcune regioni.

L’associazione ha un suo sito con una versione anche in inglese dove spiega che cosa sono e come funzionano le Fritidsbanken: fritidsbanken.se/en/how-it-wor…

Un grand merci, un grosso grazie a @Basta! per la segnalazione di questa bella iniziativa.
#EconomiaCircolare #biblioteche #Svezia #sport #ambiente #condivisione #BancheDelTempoLibero @macfranc

tl;dr
Per sapere di più su di me: dmi.unict.it/nfarceri?page=com…

---

Un secondo grande aggiornamento è stato apportato alla piattaforma. L'area community è stata rafforzata, così come il look&feel generale. Inoltre, ora puoi scegliere come contribuire al progetto, ad esempio scrivere i tuoi articoli, condividere le tue creazioni, accedere a più discussioni di prima su #freedom in #computing #opensource #computerscience #math #programming #machinelearning #forensics, # linux #freesoftware e molto altro.