Alpha Team è un gruppo di hacker criminali che abbiano incontrato in passato. Spesso li abbiamo visti colpire con efficacia le aziende italiane. Abbiano anche conosciuto più da vicino il gruppo attraverso l’intervista al loro leader Z0rg.

Questa volta il gruppo ha rilevato un altro bug di sicurezza non documentato (0day) che affligge diverse piattaforme di Content Management System (CMS). Attraverso questo bug hanno iniziato ad utilizzarlo per rendere pubblica la falla di sicurezza individuata.

Su alcuni social sono iniziate a circolare delle print screen che riportano la violazione di alcune APP/backend con specifiche notifiche push.

La rivendicazione di Alpha Team

All’interno del noto forum underground Breach forum, Alpha Team ha pubblicato un post dove riporta una serie di aziende che utilizzano questa tecnologia CMS che è risultata essere affetta da tale bug di sicurezza.

Si parla di moltissime testate giornalistiche che utilizzano un preciso CMS su Cloud.

Alpha team ha riportato che ha a disposizione il database di 77 aziende e tra i dati disponibili sono presenti email, password, date di nascita e altro ancora.

Per attestare che i dati sottratti sono effettivamente reali, la cyber gang riporta all’interno del post dei samples che possono essere scaricati per verificarne la violazione.

Il gruppo Alpha Team

Il gruppo Alpha Team ha violato in precedenza diversi obiettivi italiani. Ricordiamo che Alpha Team ha violato in passato 10 organizzazioni italiane sempre con un bug di sicurezza non documentato. Successivamente ha rivendicato un attacco informatico alla Avantgate e a Federprivacy.

L'articolo ALPHA TEAM ha in mano 5 milioni di dati di italiani! Rivendica un attacco a 77 Aziende italiane proviene da il blog della sicurezza informatica.

We’re not sure what [Aaron Christophel] calls his automated chip glitching setup built from a 3D printer, but we’re going to go ahead and dub it the “Glitch-o-Matic 9000.” Has a nice ring to it.

Of course, this isn’t a commercial product, or even a rig that’s necessarily intended for repeated use. It’s more of a tactical build, which is still pretty cool if you ask us. It started with a proof-of-concept exploration, summarized in the first video below. That’s where [Aaron] assembled and tested the major pieces, which included a PicoEMP, the bit that actually generates the high-voltage pulses intended to scramble a running microcontroller temporarily, along with a ChipWhisperer and an oscilloscope.

The trouble with the POC setup was that glitching the target chip, an LPC2388 microcontroller, involved manually scanning the business end of the PicoEMP over the package. That’s a tedious and error-prone process, which is perfect for automation. In the second video below, [Aaron] has affixed the PicoEMP to his 3D printer, giving him three-axis control of the tip position. That let him build up a heat map of potential spots to glitch, which eventually led to a successful fault injection attack and a clean firmware dump.

It’s worth noting that the whole reason [Aaron] had to resort to such extreme measures in the first place was the resilience of the target chip against power supply-induced glitching attacks. You might not need to build something like the Glitch-o-Matic, but it’s good to keep in mind in case you run up against such a hard target.

youtube.com/embed/q9o9sKY2hk8?…

youtube.com/embed/tcqLgjmzUzM?…

Gli hacktivisti israeliani hanno rivendicato la responsabilità delle attuali interruzioni di Internet in Iran. Il gruppo, noto come WeRedEvils, esiste dall’ottobre 2023 ed è apparso probabilmente in risposta all’attacco di Hamas contro Israele che ha portato all’attuale guerra a Gaza.

Sulla loro pagina Telegram, WeRedEvils ha annunciato: “ Nei prossimi minuti attaccheremo sistemi e provider Internet in Iran. Si prevede un colpo potente .” Secondo loro, l’attacco ha avuto successo: sono riusciti a penetrare nei sistemi informatici iraniani, a rubare dati e a causare un’interruzione di Internet. Gli hacktivisti affermano di aver fornito informazioni rubate al governo israeliano.

Come prova, WeRedEvils ha sottolineato che il sito web del Ministero iraniano delle tecnologie dell’informazione e delle comunicazioni (ict.gov.ir) era inattivo, così come la maggior parte degli altri siti web del ministero iraniano che mostrano un errore “tempo di risposta troppo lungo“. Alcuni siti hanno mostrato anche un errore 403, che potrebbe indicare l’accesso negato.

WeRedEvils ha inoltre dichiarato su Telegram: “ Sappiamo che tra voi ci sono sostenitori del Corpo delle Guardie della Rivoluzione Islamica e desideriamo contattarvi personalmente. Smettila di alzare bandiere rosse e inizia ad alzare quelle bianche. Questa follia vi porterà tutti nella pattumiera della storia. L’Iran brucerà, Israele vincerà ”.

Tuttavia, non è noto quanti danni abbiano effettivamente causato WeRedEvils e se siano interamente responsabili delle attuali interruzioni di Internet, data la natura chiusa dell’Iran in tali questioni.

Il gruppo ha anche affermato di aver attaccato la rete elettrica iraniana lo scorso ottobre e di averla messa fuori uso per due ore. I WeRedEvils sono diventati così famosi anche in Israele che a giugno l’agenzia di sicurezza israeliana Shin Bet ha arrestato “diversi membri” del gruppo con l’accusa di spionaggio.

L'articolo Gli Hacktivisti Israeliani Rivendicano le Interruzioni di Internet in Iran proviene da il blog della sicurezza informatica.

There was a time — not so long ago — when a handheld terminal would have been an expensive and exotic piece of kit. Now, all it takes is a Raspberry Pi and an off-the-shelf TFT display, as [ZitaoTech] shows us.
The resemblance to a Blackberry isn’t a coincidence
Admittedly, we are now seeing these all over the place, but this build looks well thought out. It looks suspiciously like a Blackberry, which isn’t a bad thing. It also has an interesting dual-battery system that lets you swap between two identical Nokia BL-5C batteries without missing a beat.

The device looks like a Blackberry because it uses the Q10 or Q20 Blackberry keyboard. There is a pass-through switch that lets you use the keyboard and pointer as a USB device on a different host computer.

Rounding out the design are three USB ports, an I2C port, and a TF card slot. Size-wise, the device is about 140 mm tall and 82 mm wide. The thickness is less than 16 mm. Even with the batteries, it weighs a lot less than 200 grams.

In the “Something-you-can-try” directory, there are images for Windows 3.1, mini VMAC, and — of course — DOOM. As you might expect, most of the project is 3D printing the intricate case.

We’ve seen similar projects, including one that has a case inspired by the ZX Spectrum. Then there is Beepy.

Buon sabato e ben ritrovato caro cyber User.

Questa settimana ci concentreremo su importanti sviluppi nel campo della sicurezza informatica che hanno visto interventi significativi delle autorità, nuove minacce emergenti e iniziative per rafforzare le difese. Scopriamo insieme cosa è successo.

Smantellamento della piattaforma di spoofing Russian Coms

Il National Crime Agency (NCA) del Regno Unito ha raggiunto un importante traguardo nella lotta contro le frodi telefoniche smantellando Russian Coms, una piattaforma di spoofing utilizzata per effettuare oltre 1,8 milioni di chiamate fraudolente. Questa operazione, parte di "Operation Henhouse," ha portato all'arresto di 290 individui coinvolti in attività criminali, dimostrando l'impegno delle autorità nel contrastare le frodi e proteggere i cittadini.

NSA introduce la Penetration Testing autonoma con AI

La National Security Agency (NSA) degli Stati Uniti ha svelato una piattaforma di Penetration Testing autonoma alimentata da intelligenza artificiale. Questo strumento è progettato per migliorare la difesa cibernetica dei fornitori dell'industria dell'intelligence, permettendo di identificare e mitigare le vulnerabilità nei sistemi del Defense Industrial Base. L'uso dell'AI consente una valutazione più precisa e continua delle vulnerabilità di rete, proteggendo dati sensibili e classificati dalle minacce cibernetiche.

Nuova iniziativa per rafforzare la cybersecurity federale negli USA

Il Center for Federal Civilian Executive Branch Resilience ha lanciato un'iniziativa per migliorare le difese informatiche delle agenzie federali statunitensi. In risposta a incidenti come l'attacco SolarWinds, questa iniziativa mira a proteggere i lavoratori governativi dai cybercriminali e dagli attacchi di stati-nazione attraverso educazione, soluzioni tecnologiche e raccomandazioni politiche. Un obiettivo chiave è l'adozione di un'architettura di zero trust da parte delle agenzie federali.

Campagne di cyber spionaggio e phishing sofisticato

La scena globale delle minacce informatiche continua a evolversi. Il gruppo APT41, ritenuto composto da cittadini cinesi, ha lanciato una campagna di cyber-spionaggio contro un istituto di ricerca taiwanese, utilizzando malware avanzati come ShadowPad e Cobalt Strike. Allo stesso tempo, falsi siti Google Authenticator promossi tramite Google ads stanno installando malware sui dispositivi degli utenti, mentre una nuova campagna di phishing con il kit Tycoon 2FA utilizza Amazon SES per ingannare le vittime.

Malware e attacchi alle piccole e medie imprese

I cybercriminali stanno prendendo di mira le piccole e medie imprese in Europa con campagne di phishing che utilizzano malware come Agent Tesla e Remcos RAT. Utilizzando account email compromessi, queste campagne diffondono malware attraverso nove ondate di attacchi, cercando di compromettere i sistemi delle aziende e rubare dati sensibili.

Nuove minacce DNS e malware Android

Un nuovo vettore di attacco DNS, chiamato Sitting Ducks, è stato sfruttato da attori di minaccia russi per dirottare oltre un milione di domini. Questo sfruttamento deriva da verifiche inadeguate della proprietà dei domini da parte dei provider DNS. Nel campo della sicurezza mobile, un nuovo malware Android chiamato BingoMod non solo ruba denaro dai conti bancari delle vittime ma cancella anche i dispositivi compromessi.

Aggiornamenti di sicurezza Apple e nuovi ransomware

Apple ha rilasciato aggiornamenti di sicurezza per iOS, macOS, tvOS, visionOS, watchOS e Safari, correggendo numerose vulnerabilità. Nel frattempo, Microsoft ha avvertito che diversi attori ransomware stanno sfruttando una vulnerabilità negli hypervisor ESXi per ottenere permessi amministrativi completi, portando a distribuzioni di ransomware come Akira e Black Basta.

Attacco ransomware a OneBlood e impatto sulla fornitura di sangue

OneBlood, una grande organizzazione di donazione di sangue negli Stati Uniti sudorientali, ha subito un attacco ransomware che ha compromesso la sua capacità di fornire sangue agli ospedali. In risposta, l'organizzazione ha implementato processi manuali e ha chiesto l'attivazione di protocolli di carenza critica di sangue nelle oltre 250 strutture ospedaliere servite. La comunità nazionale della donazione di sangue sta assistendo OneBlood per garantire la fornitura di sangue ai pazienti.

😋 FunFact

Hackerare e sbloccare nel 2024 il primo tablet Amazon basato su MediaTek: Amazon Fire HD6/HD7 del 2014.

In chiusura

Questi eventi recenti sottolineano la natura dinamica e in continua evoluzione delle minacce cibernetiche. La cooperazione internazionale, l'adozione di tecnologie avanzate e l'implementazione di strategie di difesa robuste sono essenziali per affrontare le sfide del panorama della sicurezza informatica.

Anche quest'oggi abbiamo concluso, ti ringrazio per il tempo e l'attenzione che mi hai dedicato, augurandoti buon fine settimana, ti rimando al mio blog e alla prossima settimana per un nuovo appuntamento con NINAsec.

buttondown.email/ninasec/archi…