Schemi fraudolenti come la il “pig butchering” sono diventati una minaccia globale, che colpisce milioni di persone ogni anno. Il termine è una truffa complessa che si basa sulla creazione di relazioni di fiducia online per attirare le vittime verso investimenti fasulli, spesso utilizzando criptovaluta. Di norma, le vittime rimangono senza fondi e gli aggressori scompaiono.
L’epicentro di tali schemi sono i centri criminali nel sud-est asiatico. Secondo l’Istituto statunitense per la pace, circa 300mila persone sono coinvolte in questa attività sotto costrizione e il costo annuo delle frodi supera i 64 miliardi di dollari. I truffatori attirano ignari cercatori di lavoro con un “lavoro da sogno” e poi li ingannano con minacce di violenza.
Dal 2021 Meta si oppone attivamente a questi schemi. Inizialmente l’attenzione dell’azienda era rivolta alla Cambogia, ma con l’espansione delle reti criminali, l’operazione di contromisure si è estesa al Laos, al Myanmar, agli Emirati Arabi Uniti e alle Filippine. Nell’ultimo anno, la società ha rimosso più di due milioni di account associati a questi gruppi criminali e continua a sviluppare soluzioni tecniche per identificarli.
Gli schemi di inganno coprono molte piattaforme, dai social network alla messaggistica istantanea. I truffatori creano profili falsi fingendo di essere persone attraenti, funzionari governativi o aziende famose. Nella fase iniziale, alla vittima è consentito prelevare piccole somme per acquisire fiducia, ma in seguito scompaiono insieme a tutti i fondi.
Meta collabora con le forze dell’ordine e le aziende tecnologiche di tutto il mondo. Ad esempio, grazie agli sforzi del team OpenAI, è stato possibile identificare e fermare l’attività dei truffatori che utilizzavano strumenti automatizzati per creare contenuti in giapponese e cinese. Questi dati hanno contribuito non solo a bloccare le attività dei criminali, ma anche ad espandere le indagini oltre una piattaforma.
Nell’ambito dell’iniziativa Tech Against Scams, Meta ha ospitato un vertice sulle frodi online in collaborazione con organizzazioni internazionali, governi e altre società, tra cui Coinbase e Match Group. I partecipanti hanno discusso delle opportunità per rafforzare il coordinamento per contrastare la minaccia transnazionale.
Meta sta inoltre introducendo nuove funzionalità per proteggere gli utenti. Pertanto, Messenger e Instagram stanno introducendo avvisi sui messaggi sospetti e WhatsApp sta aggiungendo strumenti per verificare le informazioni sui gruppi e sui loro membri. Tali misure aiutano a prevenire l’interazione con i truffatori prima che inizi la comunicazione.
Queste iniziative fanno parte di una strategia globale per proteggere gli utenti. Meta continua a migliorare i prodotti e a condividere il proprio lavoro per combattere le frodi e migliorare l’alfabetizzazione digitale.
Nel plugin anti-spam sviluppato da CleanTalk sono state scoperte due vulnerabilità critiche. Questi bug consentono a un utente malintenzionato non autorizzato di installare e attivare plug-in dannosi su siti vulnerabili, il che può portare all’esecuzione di codice in modalità remota e al completo controllo della risorsa.
Le vulnerabilità nei plugin Protezione spam, Anti-Spam e FireWall, installati più di 200.000 volte, hanno ricevuto gli identificatori CVE-2024-10542 e CVE-2024-10781 (9,8 punti su 10 possibili sulla scala CVSS). È stato riferito che sono già stati corretti nelle versioni 6.44 e 6.45.
Il plug-in CleanTalk Spam è pubblicizzato come uno “strumento anti-spam tutto in uno” che blocca lo spam nei commenti, nei sondaggi, nelle registrazioni e altro ancora.
Secondo gli specialisti di Wordfence, entrambe le vulnerabilità sono associate a un problema di bypass dell’autorizzazione, che alla fine consente a un utente malintenzionato di installare e attivare plug-in di terze parti. Ciò potrebbe portare all’esecuzione di codice in modalità remota se il nuovo plugin contiene anche una vulnerabilità sfruttata dall’hacker.
I ricercatori spiegano che il primo bypass di autorizzazione (CVE-2024-10542) ha interessato una funzione che gestisce le chiamate remote e le installazioni di plug-in, che eseguivano l’autorizzazione del token per queste azioni. E altre due funzioni utilizzate per verificare l’indirizzo IP e il nome di dominio erano vulnerabili allo spoofing IP e DNS, che consentiva agli hacker di specificare un IP e un sottodominio sotto il loro controllo e aggirare l’autorizzazione.
Allo stesso tempo, il problema originale CVE-2024-10542 è stato scoperto alla fine di ottobre e risolto il 1° novembre con il rilascio della versione 6.44. Tuttavia, la versione corretta del plugin si è rivelata vulnerabile a CVE-2024-10781, un altro modo per aggirare l’autorizzazione.
Come nel caso della prima vulnerabilità, lo sfruttamento riuscito del CVE-2024-10781 ha consentito l’installazione e l’attivazione di plugin arbitrari, quindi sfruttati per un attacco RCE. Una patch per questo bug è stata rilasciata con la versione 6.45 il 14 novembre 2024.
Secondo le statistiche ufficiali, al 27 novembre 2024, circa la metà delle installazioni attive del plugin non sono ancora state aggiornate alla versione corretta, il che significa che sono potenzialmente vulnerabili agli attacchi.
The games consoles which came out of Japan in the 1980s are the stuff of legend, with the offerings from Nintendo and Sega weaving themselves into global popular culture. Most of us can recite a list of the main players in the market, but how many of us would have Epoch and their Super Cassette Vision on that list? [Nicole Express] is here with a look at this forgotten machine which tried so hard and yet missed the target when competing with the NES or Master System.
Before the arrival of the Sega and Nintendo cartridge based systems, one of the better known Japanese consoles was the Epoch Cassette Vision. This was something of a hybrid between single-game TV games and an Atari 2600 style computing device for games, in that it used pre-programmed microcontrollers in its cartridges rather than the ROMs of the 2600. For the late-70s gamer this was still hot stuff, but by 1983 as the Master System and NES hove into view it was definitely past its best. Epoch’s response for 1984 was the Super Cassette Vision, a much more conventional 8-bit console with on the face of it some respectable graphics and sound hardware.
The article looks at the console’s capabilities in detail, highlighting the multi-colored sprites and smooth sprite movement, but also the tilemap limitations and the somewhat awful sound chip shared with handheld games and sounding very much like it. Coupled with its inferior controllers and TV game style aesthetic, it’s not difficult to see why it would be the last console from this manufacturer.
If forgotten consoles are your thing, have a read about the Fairchild Channel F, the machine that gave us console cartridges.
In questa prospettiva, le fratture delle colonne di Arnaldo Pomodoro denunciano una sconosciuta fragilità della materia adrianomaini.altervista.org/in…
Le forze dell’ordine africane hanno annunciato l’operazione Serengeti, durante la quale sono state arrestate più di 1.000 persone sospettate di coinvolgimento in attività di criminalità informatica. L’importo totale del danno finanziario causato è stimato a 193 milioni di dollari.
L’operazione è stata coordinata da Interpol e Afripol ed è stata effettuata tra il 2 settembre e il 31 ottobre 2024. È stato riferito che il Serengeti “prendeva di mira principalmente i criminali associati a ransomware, attacchi BEC (compromissione della posta elettronica aziendale), estorsione digitale e frode online”.
Distrutte 134.089 infrastrutture informatiche
In totale, le autorità di 19 paesi africani hanno arrestato 1.006 sospetti e distrutto 134.089 infrastrutture e reti dannose, sulla base delle informazioni operative fornite loro da partner di società di sicurezza informatica come Cybercrime Atlas, Fortinet, Group-IB, Kaspersky Lab, Team Cymru, Trend Micro e la sicurezza di Uppsala. Gli investigatori hanno scoperto che i sospettati e le loro infrastrutture erano collegati ad almeno 35.224 vittime identificate che hanno perso circa 193 milioni di dollari a causa di vari attacchi di hacking e frode. Durante l’operazione Serengeti, le vittime riuscirono a recuperare circa 44 milioni di dollari.
Una vasta operazione che copre tutta l’Africa
Le forze dell’ordine in regioni specifiche riferiscono che le seguenti azioni sono il risultato del Serengeti.
Kenya : risolto un caso di frode con carta di credito che comportava perdite per 8,6 milioni di dollari. I fondi sono stati rubati utilizzando script fraudolenti e reindirizzati tramite il sistema SWIFT ad aziende negli Emirati Arabi Uniti, Nigeria e Cina. Sono state effettuate circa due dozzine di arresti.
Senegal : Scoperto uno schema Ponzi che ha coinvolto 1.811 vittime che hanno perso circa sei milioni di dollari. Sono state sequestrate più di 900 carte SIM, 11.000 dollari in contanti, telefoni, computer portatili e carte d’identità delle vittime. Otto persone sono state arrestate (tra cui cinque cittadini cinesi).
Nigeria : un uomo è stato arrestato per aver gestito una truffa sugli investimenti online e aver guadagnato 300.000 dollari con false promesse di criptovalute.
Camerun: è stata smascherata una truffa di network marketing che ha coinvolto vittime provenienti da sette paesi. Alle vittime era stato promesso un lavoro, ma alla fine sono state tenute prigioniere e costrette a reclutare altre persone per essere rilasciate. Il gruppo ha raccolto almeno 150.000 dollari in quote associative.
Angola: sono state interrotte le attività di un gruppo internazionale che gestisce un casinò virtuale a Luanda. Centinaia di persone sono state ingannate con promesse di vincite in cambio dell’attrazione di nuovi membri. Sono stati effettuati 150 arresti, sequestrati 200 computer e più di 100 telefoni cellulari.
All’operazione Serengeti hanno preso parte anche Algeria, Benin, Costa d’Avorio, RDC, Gabon, Ghana, Mauritius, Mozambico, Ruanda, Sud Africa, Tanzania, Tunisia, Zambia e Zimbabwe.
Kaspersky’s Global Research and Analysis Team (GReAT) has been releasing quarterly summaries of advanced persistent threat (APT) activity for over seven years now. Based on our threat intelligence research, these summaries offer a representative overview of what we’ve published and discussed in more detail in our private APT reports. They are intended to highlight the significant events and findings that we think are important for people to know about. This is our latest roundup, covering activity we observed during Q3 2024.
If you’d like to learn more about our intelligence reports or request more information about a specific report, please contact intelreports@kaspersky.com.
The most remarkable findings
In the second half of 2022, a wave of attacks from an unknown threat actor targeted victims with a new type of attack framework that we dubbed P8. The campaign targeted Vietnamese victims, mostly from the financial sector, with some from the real estate sector. Later, in 2023, Elastic Lab published a report about an OceanLotus APT (aka APT32) attack that leveraged a new set of malicious tools called Spectral Viper. Although the campaigns are the same, we cannot conclusively attribute P8 to OceanLotus.
The P8 framework includes a loader and multiple plugins. Except for the first-stage loader and the PipeShell plugin, all plugins are downloaded from the C2 and then loaded into memory, leaving no trace on disk. After a thorough analysis of the framework and its modules, we believe P8 was developed based on the open source project C2Implant, which is a red teaming C2 framework. However, P8 contains many built-in functions and redesigns of the communication protocol and encryption algorithm, making it a well-designed and powerful espionage platform. Based on the implemented supported commands, we suspect the goal is to implement another Cobalt Strike-like post-exploitation platform. Methods to gain persistence on affected systems are not built in and depend on commands received from the C2.
Unfortunately, we were unable to obtain any bait files or initial infection vectors. Based on limited telemetry, we believe with medium to low confidence that some of the initial infections were spear-phishing emails. Notably, these attacks use an obsolete version of the Kaspersky Removal Tool to side-load the P8 beacon. We also observed SMB and printer driver vulnerabilities being used to move laterally through the network.
We published a follow-up report on P8 that describes the plugins used in the attacks. Each time the system restarts, or as required by the operation, P8 downloads additional plugins from the C2 or loads them from disk into memory. So far, we have collected 12 plugins or modules that are used to support the operation by adding functionality for lateral movement, exfiltration, file management, credential stealing, taking screenshots or custom loading capabilities. In particular, two plugins are used to upload files of interest; one plugin is used for small files, while a second is used to upload large files to another server, presumably to reduce the network load on the C2.
We subsequently detected new attacks from this threat actor. While carrying out these attacks, the actor changed its TTPs from those outlined in our previous reports. For example, new persistence mechanisms were detected and we found that the loading mechanism of the final payload, the P8 beacon, also changed. In terms of victimology, there was little change. Most of the infections were still at financial institutions in Vietnam, with one victim active in the manufacturing industry. The infection vector has still not been found, nor have we been able to link these attacks to OceanLotus (APT32).
Earlier in 2024, a secure USB drive was found to be compromised and malicious code was injected into the access management software installed on the USB drive. The secure USB drive was developed by a government entity in Southeast Asia to securely store and transfer files between machines in sensitive environments. The access management software facilitates access to the encrypted partition of the drive. A Trojanized version of the software module was found to be used in these attacks. The malicious code injected into it is designed to steal sensitive files saved on the secure partition of the drive, while also acting as a USB worm and spreading the infection to USB drives of the same type.
Last year we investigated attacks against another different type of secure USB drive. Similarly, the attacks were delivered via a Trojanized USB management software called UTetris. We are tracking the threat actor behind the UTetris software attack as TetrisPhantom. In addition to the Trojanized UTetris software, TetrisPhantom uses a number of other malicious tools that have been in use for a few years. TetrisPhantom is still active and new samples of its tools have recently been detected.
While both the tactic of targeting a secure USB drive by compromising the software module installed on the drive and the victim profile in the recent attacks are similar to TetrisPhantom attacks, the malicious code implanted in the drive bears little similarity to the code injected into the utetris.exe program.
Our report provided an initial analysis of the Trojanized USB management program.
Chinese-speaking activity
In July 2021, we detected a campaign called ExCone targeting government entities in Russia. The attackers leveraged the VLC media player to deploy the FourteenHi backdoor after exploiting MS Exchange vulnerabilities. We also found Cobalt Strike beacons and several traces tying this actor to the ShadowPad malware and UNC2643 activity, which is in turn associated with the HAFNIUM threat actor.
Later that year, we discovered a new set of activities. This time the victimology changed: victims were also found in Europe, Central Asia and Southeast Asia. We also found new samples that we linked to Microcin, a Trojan used exclusively by SixLittleMonkeys. Shortly after, another campaign called DexCone was discovered, with similar TTPs to the ExCone campaign. Several new backdoors such as Pangolin and Iguania were discovered, both of which have similarities to FourteenHi.
Then, in 2022, we discovered another campaign by the same threat actor targeting Russia, with a special interest in government institutions, using spear-phishing emails as an infection vector and deploying an updated version of the Pangolin Trojan.
After that, we did not observe any new activity related to this actor until mid-July 2024. In this most recent campaign, the actor uses spear-phishing emails, embedding a JavaScript loader as the initial infection vector. The JavaScript loader loads yet another loader from a ZIP file, which in turn downloads a BMP image containing shellcode and an embedded PE file, which is the final payload. This is a new backdoor with limited functionality, reading and writing to files and injecting code into the msiexec.exe process. In this campaign, the actor decided to attack Russian educational institutions instead of government entities as it had previously.
The Scieron backdoor, a tool commonly used in cyber-espionage campaigns by the Scarab group, was detected in a new campaign. This campaign introduces novel decoders and loaders that use machine-specific information to decode and decrypt the Scieron backdoor and run it in memory. The campaign has specifically targeted a government entity in an African country and a telecoms provider in Central Asia. Notably, the infections within the telecoms provider have been traced back to 2022.
More recently, in June 2024, an updated infection chain was identified, with an updated set of decoders and loaders designed to run the Scieron backdoor and make it persistent. Our private report also provides a detailed description of the attackers’ post-compromise activities.
Europe
Awaken Likho is an APT campaign, active since at least July 2021, primarily targeting government organizations and contractors. To date, we have detected more than 120 targets in Russia, but there are also targets in other countries and territories such as India, China, Vietnam, Taiwan, Turkey, Slovakia, the Philippines, Australia, Switzerland and the Czech Republic, among others. Based on our findings, we would like to highlight two specific features of this campaign: all attacks are well prepared, and the hackers rely on the use of the legitimate remote administration tool UltraVNC. While this approach is rather simplistic, the attackers have been using this technique successfully for years.
We discovered a new Awaken Likho campaign that emerged in May 2024, in which the threat actor adjusted its TTPs slightly. The threat actor cleaned up its Golang SFX-based archives by removing unused files and also switched to executing AutoIT scripts after file extraction. UltraVNC remained the final payload, but in this campaign it was made to look like a OneDrive update utility. The targeting remained the same as in the earlier campaign – mainly government organizations and their contractors located in Russia.
Awaken Likho then adjusted its TTPs again, in a campaign uncovered in June 2024 that is still ongoing. The threat actor continued to favor the use of AutoIT scripts and also began using protectors such as Themida to protect its samples. While most of the samples we found still deployed the UltraVNC module, the attackers changed the final payload from UltraVNC to MeshAgent in several samples. Unlike previous campaigns, we did not observe the Golang SFX droppers this time. The nature of the threat actor, leveraging open source and free tools, allows it to quickly change its arsenal during active campaigns.
Epeius is a commercial spyware tool developed by an Italian company that claims to provide intelligence solutions to law enforcement agencies and governments. In recent years, the malware attracted the attention of the community due to the publication of two articles. The first, published in 2021 by Motherboard and Citizen Lab, shared the first evidence and indicators related to the software. The second, an article published in 2024 by the Google Threat Analysis Group, described the business model of various companies that provide commercial surveillance solutions. Knowledge of this threat is sparse and the Epeius malware has never been publicly described in detail. Our own threat hunting efforts to obtain related samples started in 2021, and last year we discovered a DEX file that we attribute with medium to high confidence to Epeius. Our private report describes what we know about Epeius and provides a technical description of its main Android component.
Middle East
In September 2023, our colleagues at ESET published a report on a newly discovered and sophisticated backdoor used by the FruityArmor threat actor, which they named DeadGlyph. The same month, we released an APT report detailing the ShadowWhisperer and NightmareLoader tools used in conjunction with the DeadGlyph malware. More recently, we identified what appears to be the latest version of the native DeadGlyph Executor backdoor module, with changes to both its architecture and workflow components.
MuddyWater is an APT actor that surfaced in 2017 and has traditionally targeted countries in the Middle East, Europe and the USA. The actor typically uses multi-stage PowerShell execution in its attacks, probably to obfuscate the attacks, evade defenses and hinder analysis.
Recently we uncovered VBS/DLL-based implants used in intrusions by the MuddyWater APT group that are still active today. The implants were found at multiple government and telecoms entities in Egypt, Kazakhstan, Kuwait, Morocco, Oman, Syria and the UAE. The threat actor achieves persistence through scheduled tasks that execute a malicious VBS file with the wscript.exe utility.
The TTPs and infrastructure we analyzed for the current intrusions are similar to previously reported intrusions by the MuddyWater APT group.
Southeast Asia and Korean Peninsula
Gh0st RAT, an open source RAT created about 15 years ago, is used by various groups, including state-sponsored actors. One of them is Dragon Breath (aka APT-Q-27 and Golden Eye Dog), first discussed in 2020 in connection with a watering hole campaign aimed at tricking users into installing a Trojanized version of Telegram. By 2022, the group was still using Trojanized Telegram applications as an infection vector, but had changed the final payload to Gh0st RAT.
A year later, Sophos published a blog post describing the latest change in the group’s TTPs, which included double side-loading DLLs. Since then, the Gh0st RAT payload has remained the same, but the attackers have again slightly adjusted their TTPs. DLL side-loading was abandoned and replaced by leveraging a logical flaw in a version of the TrueUpdate application, while more recently the group began to run the malware via a Python-based infection chain executed by the installer package.
Historically, Dragon Breath has targeted the online gaming and gambling industry. Given the nature of the infection vector, we’re not yet able to determine the target audience for this campaign. The attack begins by tricking users into downloading a malicious MSI installer. Once the installer is started, the malware is installed alongside the legitimate application. We believe the victim is prompted to download and launch it from a fake site while searching for a Chinese version of the legitimate TrueUpdate MSI installer.
Bitter APT has been active for over a decade. Since late 2023, this threat actor has used and continues to use CHM (compiled HTML) files, LNK shortcuts and DOC files as the first stage of infection. These files carry malicious scripts to connect to a remote server and download the next stage of the attacks, and appear to be used as attachments to spear-phishing emails. The payloads delivered via these malicious scripts represent new samples of backdoor modules described in previous private reports. However, in several cases, the final payloads can only be downloaded by pre-selected system configurations authorized by the threat actor after the initial reconnaissance phase. In a recent report, we discussed the workflow of the initial LNK, DOC and CHM files, their progress through the next stages of the attack, as well as the updates to the final backdoor modules and corresponding infrastructure.
Tropic Trooper (aka KeyBoy and Pirate Panda) is an APT group operating since 2011. The group’s targets have traditionally been in government, as well as the healthcare, transportation and high-tech industries located in Taiwan, the Philippines, and Hong Kong. Our most recent investigation revealed that in 2024, the group conducted persistent campaigns against a government entity in Egypt, which began in June 2023.
We noticed the infection in June 2024, when our telemetry showed recurring alerts for a new China Chopper web shell variant (China Chopper is used by many Chinese-speaking actors) found on a public web server. The server hosted a Content Management System (CMS) called Umbraco, an open source CMS platform for publishing content written in C#. The observed web shell component was compiled as a .NET module of Umbraco CMS.
During our subsequent investigation, we looked for other suspicious detections on this public server and identified several related malware sets. These include post-exploitation tools that we believe with medium confidence are related and being used as part of this intrusion.
We also identified new DLL search-order hijacking implants that are loaded from a legitimate vulnerable executable because it lacks the full path to the required DLL. This attack chain attempted to load the Crowdoor loader, named after SparrowDoor described by ESET. During the attack, the security agent blocked the first Crowdoor loader, which prompted the attackers to switch to a new, as yet unreported variant, with almost the same effect.
We investigated the attribution of this activity to the Chinese-language threat actor known as Tropic Trooper. Our findings show an overlap in capabilities reported in recent Tropic Trooper campaigns. The samples we found also show a high degree of overlap with samples previously attributed to Tropic Trooper.
PhantomNet is a RAT first described by ESET in late 2020. In 2021, we released our analysis of the PhantomNet malware, which at the time was being used in attacks against the Vietnamese government sector. Our report discussed in detail the plugins we found and the commands it supported.
We rediscovered PhantomNet during a recent investigation into a cyberattack on the Brazilian education and government sectors that occurred in April. This time we were able to recover several scripts, commands executed by the attackers, and the PhantomNet builder tool. The threat actor has changed the persistence mechanism so that the payload is now stored in an encrypted manner in the Windows registry and with an associated loader to retrieve the payload from the registry. There are also some changes to the victimology. Previously, PhantomNet infections were found in Asia, but now the infections have been found in many regions around the world and affect a wide variety of industries.
We discussed these findings in our private report, filling in the gaps from our previous report.
We have observed that the Kimsuky group uses a strategy of registering malware as a service for reliable persistence. The so-called ServiceChanger malware drops a malicious DLL file and registers a service disguised as a legitimate service. In the case we analyzed, ServiceChanger installed the TOGREASE malware, which is an evolved version of GREASE that adds the ability to toggle RDP activation when necessary by the operator; and in another instance, it was observed installing the XMRig miner.
In addition, this year’s updated version of the GREASE malware creates backdoor accounts to use RDP connections under the names “Guest” and “IIS_USER”, respectively. They borrow code from the publicly available UACME, allowing them to bypass UAC and execute commands with escalated privileges. Uniquely, the resources section within the GREASE malware includes a Zoom Opener installer vulnerable to DLL hijacking, which has not been observed in use by Kimsuky. However, it is possible that they may create malware that exploits this vulnerability in the future.
The updated GREASE malware is thought to be connected to the RandomQuery malware also used by Kimsuky, as it communicates with the C2 in a similar manner. The similarity and the overlap between the TOGREASE and GREASE malware used by the Kimsuky group suggests that this group is behind the malware.
Hacktivism
In the course of our research on hacktivist groups targeting organizations based in Russia, we have identified similarities among several of these groups. This suggests either that these clusters of activity share at least a subset of the same individuals, or that the groups are working closely together in their attacks. Our report details the tools, malware, and procedures of the BlackJack group and links it to the previously known group Twelve. In addition, further examination of its preferred wiper and ransomware tools uncovered samples that cannot be definitively attributed to either group.
Other interesting discoveries
In June, we identified an active campaign called “PassiveNeuron”, targeting government entities in Latin America and East Asia using previously unknown malware. The servers were compromised before security products were installed, and the method of infection is still unknown. The implants used in this operation were dubbed “Neursite” and “NeuralExecutor”. They do not share any code similarities with known malware, so attribution to a known threat actor is not possible at this time. The campaign shows a high level of sophistication, with the threat actor using compromised internal servers as an intermediate C2 infrastructure. The threat actor is able to move laterally through the infrastructure and exfiltrate data, optionally creating virtual networks that allow attackers to steal files of interest even from machines isolated from the internet. A plugin-based approach provides dynamic adaptation to the attacker’s needs.
In mid-April, we discovered a suspicious domain which, upon further investigation, revealed two backdoors written in Golang. During analysis, another backdoor was discovered that was used earlier in the attack timeline and protected using VMProtect. As well as the backdoors, an unknown keylogger and the use of the SOCAT tool were observed in this attack. The campaign exhibits a few peculiarities. First, the Golang backdoor uses Google Translate services as a proxy to communicate with the C2. Second, the threat actor tries to imitate Kaspersky software in terms of file names and names of scheduled tasks. Thirdly, we found only one infection, targeting a telecoms research center in India. We were unable to attribute this campaign to any known threat actor based on code similarity or TTPs.
In early April, we decided to take a closer look at the Windows Desktop Window Manager (DWM) Core Library Elevation of Privilege vulnerability (CVE-2023-36033), which was previously discovered as a zero-day and exploited in the wild. While searching for samples related to this exploit and attacks using it, we found a document of note that was uploaded to a multi-scanner service on April 1, 2024. This document had a rather descriptive file name, indicating that it contained information about a vulnerability in the Windows operating system. Inside the document we found a brief description of a Windows Desktop Window Manager vulnerability and how it could be exploited to gain system privileges.
The exploitation process described in the document was identical to that used in the previously mentioned zero-day exploit for CVE-2023-36033. However, the vulnerability was different. Judging by the quality of the writing and the fact that the document was missing critical details about how to actually trigger the vulnerability, there was a high probability that the vulnerability described was made up or was present in code that could not be accessed or controlled by the attackers. The subsequent investigation revealed a zero-day vulnerability that can be used to escalate privileges. After reporting the findings to Microsoft, the vulnerability was designated CVE-2024-30051 and a patch was released as part of Patch Tuesday on May 14, 2024.
After closely monitoring our statistics for related exploits and attacks, it became clear that there were several exploits for this zero-day vulnerability. Our discoveries showed that it was being used in conjunction with QakBot and other malware such as NewBot, leading us to believe that multiple threat actors have access to it. While previous findings of in-the-wild exploitation of CVE-2024-30051 showed financial motivation, it is possible that it could be leveraged in future APT activity.
An updated set of intrusions, possibly related to the Deathstalker cyber-mercenary group, employs an updated DarkMe VB6 OCX/DLL implant and stealthier TTPs, such as a more sophisticated infection chain.
In the intrusions we reported previously, the threat actor typically delivered the initial dropper through instant messaging (IM) apps such as Skype. In more recent intrusions, the actor typically delivered the initial dropper through Telegram. We assess with medium confidence that the threat actor delivered the initial droppers via Telegram channels related to e-trading and fintech news.
Apart from the delivery method, the attackers also increased their level of OPSEC and post-compromise cleanup by deleting post-exploitation files, tools, and registry keys after the operators achieve their objectives. Such actions, in turn, make the infection harder to detect and complicate post-compromise investigation.
Final thoughts
While some threat actors’ TTPs remain consistent over time, such as a heavy reliance on social engineering as a means of gaining entry into a target organization or compromising an individual’s device, others have updated their toolsets and expanded the scope of their activities. Our regular quarterly reviews are designed to highlight the most significant developments related to APT groups.
Here are the key trends we observed in Q3 2024:
This quarter, we saw threat actors broaden their targeting, both in terms of verticals and geography.
The purpose of most APT activity is cyber-espionage, although hacktivist attacks remain a feature of the threat landscape this quarter, mirroring areas of real-world conflict.
Even more open source tools have been employed by APT threat actors, mostly to manage network connectivity with C2s.
We continue to see threat actors using LOTL (Living off the Land) techniques in their campaigns.
As always, we would like to point out that our reports are the product of our visibility into the threat landscape. However, it is important to remember that while we strive for continuous improvement, there is always the possibility that other sophisticated attacks may fly under our radar.
Disclaimer: When we refer to APT groups as Russian-speaking, Chinese-speaking, etc., we are referring to various artifacts used by the groups (such as malware debugging strings, comments found in scripts, etc.) that contain words in those languages, based on information we have obtained directly or that is otherwise publicly known and widely reported. The use of certain languages does not necessarily indicate a specific geographic relationship, but rather indicates the languages used by the developers behind these APT artifacts.
@Notizie dall'Italia e dal mondo Così ha scritto il giornale Yediot Ahronot dando voce alla contestazione degli israeliani nei confronti del premier Netanyahu. Hezbollah dall'altra parte del confine celebra quella che considera una vittoria. L'articolo Israele in Libano: «Dalla vittoria totale alla resa totale» proviene
@Notizie dall'Italia e dal mondo Due cittadini libanesi sono stati feriti nel sud dagli spari dell'esercito israeliano che ancora occupa diverse aree e tenta di impedire il ritorno degli sfollati. A Gaza i bombardamenti causano decine di vittime. L'ONU accusa
Negli accordi della tregua era previsto il NON rientro degli sfollati, inoltre l'IDF ha detto chiaro e tondo che se qualcuno viola gli accordi della tregua si sarebbero usate le armi da fuoco. E così è stato. Il titolo del post è fuorviante.
Esentare le aziende del settore della difesa dalle tasse per incrementare la produzione militare e incoraggiare le società straniere a investire nel Paese. È la proposta che arriva dal governo del Marocco, che ha di recente approvato una proposta di
L’India vuole entrare a far parte del club delle grandi potenze e per farlo punta sulle capacità militari strategiche. Nuova Delhi sta ultimando la costruzione di una nuova base navale nel golfo del Bengala, la quale avrà il compito di ospitare la futura flotta di sottomarini
Si riattiva il fronte siriano. Notizie di attacchi di HTS e FSA verso Aleppo. Alcuni villaggi conquistati e pare che gli islamisti si siano spinti sino a 9 km da Aleppo. L'esercito siriano starebbe contrattaccando. Certamente vi è dietro l'idea di sfruttare l'impegno russo in Ucraina pensando che ciò impedisca alla Russia di sostenere un secondo fronte, tanto più lontano da casa. Secondo me c'è dietro anche la mano turca: il doppiogiochista Erdogan non ha mai fatto mistero di volersi prendere Aleppo con tutto il nord della Siria e starà "sondando il terreno" in tal senso.
A short introduction: I’ve been writing these Last Week newsletters for a while, and they consists of a News section and a Links section. The News section focuses on the social side of the network, along with the more impactful tech news. The Links section gives all the links to other articles, tech and tools that are relevant to the network. Bluesky is growing so much now that it is not really feasible for me to include both sections in a single newsletter; so today you’ll get all the Links, and tomorrow I’ll send out all the News that has happened in the ATmosphere.
Enjoy, I’m sure there is more than enough interesting links in here.
The Links
Bluesky has been doing community outreach this week:
A second Twitch livestream for Q&A with COO Rose Wan, CTO Paul Frazee and CEO Jay Graber. Hip hop artist Flavor Flav also joined in as a cheerleader for Bluesky.
Paul Frazee and Emily Liu (who does communications for Bluesky) held a Reddit AMA
Bluesky engineer Bryan Newbold wrote a reply to Lemmer-Webber’s article.
While viewpoints differ on decentralisation from a technical perspective, they are in agreement that Bluesky and the ATmosphere is currently not decentralised in a social sense: the vast majority of people exclusively use Bluesky’s infrastructure. This echoes what I wrote about Bluesky and decentralisation here last week. The concept of Relays remains a significant part of the discussion of whether or not Bluesky is decentralised. Because of the increased load on the Relay due to the amount of new people joining, Bluesky stopped taking in posts from the fediverse bridge for a few days this week, indicating the amount of power that Bluesky has over the network.
PDSls, the tool which allows you to inspect and see every PDS on the network, has gotten a variety of updates. You can now log in, and edit and delete posts from your own PDS. Edited posts mostly do not show up on Bluesky anymore, barring some exceptions. For other services such as Picosky or WhiteWind edits do show up.
More organisations are playing with the concept of letting people set their handle on their subdomain, with Newgrounds and Neocities, as well as itch.io already providing the option last week.
Bluesky Tools
AT Orbital Laser is a tool to instantly block and account, as well as all that account’s followers, similar to Blockenheimer.
OpenVibe is an cross-platform app that supports Bluesky, Mastodon, Threads and Nostr. Their latest update supports for tagging users on multiple platforms.
Clearsky, the tool that allows you to see information such as blocks, as well as lists and starter packs you are on, is back online after it had been offline for a while due to increased network traffic.
ATProto allows everyone to tap into the ‘firehose’, the eventstream that broadcasts every single event on the network. This allows anyone to build tools and visualisations that utilise this data, ranging from serious and helpful to deeply silly. Last week I already covered a long list, and here are some more:
That’s all for this week, thanks for reading! You can subscribe to my newsletter to receive the weekly updates directly in your inbox below, and follow this blog @fediversereport.com and my personal account @laurenshof.online.
L’innovazione e le nuove capacità tecnologiche saranno la chiave per il trasporto aereo commerciale del futuro. Questi temi saranno al centro dell’evento organizzato dall’Enac con il Dipartimento per la Trasformazione digitale dedicato alla mobilità
Il recente traguardo raggiunto dal sistema a pilotaggio remoto Falco Xplorer di Leonardo rappresenta una svolta fondamentale in panorama in continua evoluzione come quello dell’aviazione europea. All’aeroporto di Trapani Birgi, il dimostratore Eudaas
La formazione aeronautica nel segno della cooperazione tra istituzioni e aziende. Il ministro della Difesa, Guido Crosetto, ha visitato oggi l’International flight training school (Ifts) di Decimomannu in Sardegna, realizzata grazie alla collaborazione tra l’Aeronautica militare e
Il ministro leghista Matteo Salvini ha tradito le classi lavoratrici rimangiandosi l’impegno a cancellare la legge Fornero. Non è mai stato dalla parte di chi lavora e non a caso torna ad attaccare il diritto di sciopero precettando i dipendenti del trasporto pubblico in occasione dello sciopero generale di otto ore indetto da Cgil e Uil e da sindacati di base Cobas, SgB, Cub, Adl per il 29 novembre.
Questa volta Salvini gioca di sponda con la Presidente della commissione di garanzia sul diritto di sciopero nei servizi essenziali, non a caso nominata dal governo, accogliendo il suo invito a limitare lo sciopero, deliberato, guarda caso, in ottemperanza ai diktat contro lo sciopero “selvaggio” lanciati dallo stesso ministro sui social.
Con questo nuovo atto intimidatorio il ministro leghista cerca di diritti dei cittadini utenti e quelli di chi lavora per nascondere le responsabilità sue e del governo per i pesanti disservizi dei trasporti, i gravi problemi di sicurezza delle reti, i tagli dei trasfermenti agli enti territoriali che peggioreranno ulteriormente il trasporto pubblico locale.
Dopo l’analogo provvedimento dello scorso anno, il ddl sicurezza e le misure disumane contro i migranti con questo ennesimo atto liberticida il governo punta a impedire la giusta rivolta sociale contro l’aggravamento delle politiche liberiste di cui questa manovra è solo l’anticipazione.
Con la legge di bilancio si avvia un grande rilancio dell’austerità neoliberista per colpire ulteriormente i diritti, lo stato sociale, la sanità, la scuola, l’università, i servizi pubblici.
Questo governo di ciarlatani usa la demagogia razzista per distrarre le classi popolari dalle sue politiche classiste. Mentre continuano a crescere profitti non si fa nulla a sostegno di salari e pensioni già tra i più bassi d’Europa e da tempo salassati da inflazione. Non si contrasta la precarizzazione del lavoro. Si rifiuta di approvare una legge per il salario minimo per porre fine alla vergogna dei salari da fame. In assenza di un piano per l’occupazione centinaia di migliaia di giovani continuano ogni anno a emigrare. È stato cancellato il reddito di cittadinanza facendo crescere a dismisura le povertà e le disuguaglianze. Si dice che i soldi non ci sono, ma si aumentano le spese militari a sostegno della lobby delle armi e delle guerre, non si tassano le grandi ricchezze, i superprofitti, si favorisce l’evasione fiscale, si fa pagare meno a chi ha più.
La migliore risposta è l’impegno per una grande riuscita dello sciopero generale del 29 novembre e per fare in modo che sia l’inizio di una grande stagione di lotte indispensabile per riconquistare diritti nella società e nei luoghi di lavoro.
Rifondazione Comunista invita a scioperare e a partecipare alle manifestazioni convocate dai sindacati.
Maurizio Acerbo, segretario nazionale e Antonello Patta, responsabile nazionale lavoro del Partito della Rifondazione Comunista/Sinistra Europea
Bene ha fatto il gruppo parlamentare The Left- La Sinistra a votare contro la Commissione guidata da Ursula Von der Leyen che nel suo discorso ha confermato la linea guerrafondaia e per il riarmo che accompagna il nefasto impianto antipopolare e antisociale del Patto di Stabilità. La governance neoliberista europea non costituisce un argine all’estrema destra ma è la porta attraverso la quale viene legittimata se disponibile alla guerra. Lo conferma la nomina di Fitto che sarà democristiano ma rappresenta il partito erede del fascismo. Assai grave che il Pd abbia accettato di votare insieme a Fratelli d’Italia e per una Commissione dal programma guerrafondaio e draghiano nel momento in cui è emerso un largo dissenso nei gruppi ma forte è stato il dissenso tra socialisti (25 contro e 18 astenuti) e tra i verdi (20 contro e 6 astenuti), rimpiazzati da 34 membri del gruppo di Meloni, ECR. Schlein dovrebbe tenere a mente che brutta fine fece Bersani seguendo indicazioni del Quirinale. Guerra e austerità sono il terreno su cui cresce in Europa l’estrema destra. La pessima Commissione Von Der Leyen, figlia della guerra e delle procedure non democratiche che favoriscono il peggiore trasformismo, è stata approvata dal Parlamento Europeo ma fortunatamente perde consensi. Non solo la Commissione prende 30 voti in meno della Presidente. Meloni dunque si accoda a quella UE che ha sempre criticato confermando che i sovranisti sono una variante dei neoliberisti, una delle due tendenze di politiche al servizio del grande capitale. A tenere insieme questa maggioranza c’è il collante del sostegno alla guerra con la Russia, una follia imperialista che rischia di portarci allo scontro diretto e al conflitto nucleare. Ancora una volta il metodo intergovernativo impedisce che la dialettica si svolga in un quadro democratico e spinge a cooptazioni trasformiste. L’unica cosa positiva è che il voto mostra crepe tra verdi e socialisti. Positivo che i verdi italiani – al contrario della maggioranza del gruppo – votino contro. Rifondazione Comunista e il partito della Sinistra Europea propongono un’Europa di pace e diritti radicalmente alternativa a quella rappresentata da Ursula von der Leyen e dalla sua commissione.
Maurizio Acerbo, segretario nazionale del Partito della Rifondazione Comunista – Sinistra Europea
Io sono Synth, è un anno ormai che sono nel #Fediverse e ho deciso di espandermi su Friendica per esplorarne le possibilità dato che è un po' di tempo che nutro curiosità per questo software.
Questo account non è il mio main, quello lo potete trovare su Misskey.social sul mio profilo @synthBirba , quello rimarrà il mio profilo "generico" ITA/ENG, qui vorrei concentrarmi nel comunicare esclusivamente in italiano e con persone che parlano la stessa lingua.
Ho scelto questa istanza perchè mi è capitato diverse volte di interagire con utenti che vengono da qui ^^
Presto farò l'annuncio anche sul mio main su Misskey per confermare il "collegamento" degli account (e sempre presto spero di approdare su PixelFed per caricare foto di gatti e quel che capita!)
Spero di trovarmi bene, di conoscere sempre più gente e di interagire in maniera interessante anche per voi c:
"We have data on the performance of >50k engineers from 100s of companies. ~9.5% of software engineers do virtually nothing: Ghost Engineers.”#Overemployment
Niantic, the company behind Pokémon Go, is building an AI model based on user data; we discuss the rise of AI pimping, and a phone sold the U.S. military is expanding to the public.#Podcast
Rai play film - Menocchio Ieri, essendo obbligato a casa, ho visto il film dal titolo "Menocchio" su Rai play. Sono stato attirato dal titolo particolare e dalla slide di presentazione. All'inizio mi è sembrato palloso, ma ho tenuto duro nonostante la voglia di passare ad altro. E invece ... bello. Regia di Alberto Fasulo. Attori non professionisti (penso), tranne qualcuno. Bella regia, belle luci. È la storia di un eretico "fai da te". Una persona povera e umile che comunque cerca di ragionare con la sua testa, che ha imparato a leggere e a scrivere da sola, che si è posta delle domande su Dio al di fuori degli insegnamenti di Santa Romana Chiesa e che per questo, per non essere rimasto nel gregge delle pecorelle, viene inquisito come eretico e punito. Un film che ti fa pensare. Da vedere assolutamente. #film #rai #libertà #filosofia #chiesa #PensieroUnico it.wikipedia.org/wiki/Menocchi…
la criminale europea a capo dell'associazione delinquere UE cerca il bis per continuare a spendere soldi in armi invece che occuparsi del bene dei cittadini europei. ilfattoquotidiano.it/2024/11/2…
@Notizie dall'Italia e dal mondo Migliaia di libanesi sono già tornati ai loro villaggi, dove però incontrano mezzi corazzati e truppe dello Stato ebraico. Il giornalista di Gaza Safwat Kahlout spiega lo stato d'animo della popolazione della Striscia che resta sotto attacco L'articolo LIBANO. Forte
Su E Learning Unisalento – Storia della filosofia (cui gli studenti sono pregati di iscriversi mediante mail istituzionale unisalento e con la pw fornita dagli uffici) trovate la lezione del giorn…
📌 Al via la XXXIII edizione di #JobOrienta! Oggi dalle 10.30, alla presenza del Ministro Giuseppe Valditara, si svolgerà l’evento di inaugurazione presso l’Area Forum, della Fiera di Verona.
📌 Al via la XXXIII edizione di #JobOrienta!
Oggi dalle 10.30, alla presenza del Ministro Giuseppe Valditara, si svolgerà l’evento di inaugurazione presso l’Area Forum, della Fiera di Verona.
Qui il link per seguire la diretta ▶ https://www.
@Notizie dall'Italia e dal mondo Non si segnalano incidenti e violazioni. Gli sfollati provano a tornare nel sud del Libano. Il movimento islamista palestinese chiede la fine dell'offensiva israeliana a Gaza e un accordo per lo scambio di prigionieri
Here is a summary of the changes: - feat: add profile recovery screen; - fix: review inline content alternate text; - fix: strip off HTML before editing posts; - enhancement: improve timeline a11y; - enhancement: add friendica.myportal.social to default instances; - chore: add unit tests for content pagination and repositories; - chore: dependency updates.
This is mostly a bugfix release dealing with the most annoying issues you reported (e.g. the lack of management for expired tokens, accessibility issues, post editing with markup). Plus, since I've been adding a lot of unit tests, some minor bugs (e.g. direct messages pagination) were resolved too.
I'll keep populating the backlog with what you report and I'll continue to add tests to increase coverage.
@Notizie dall'Italia e dal mondo Questa sera Netanyahu ha annunciato di aver accettato il cessate il fuoco con Hezbollah che scatterà domani mattina. Ma gli aerei israeliani intanto sganciano bombe e missili sulla capitale libanese L'articolo In attesa della tregua Israele bombarda senza sosta Beirut proviene da Pagine
...ma al momento non ha ancora raggiunto una “massa critica” di utenti tale da essere considerata una piattaforma online di grandi dimensioni come possono essere X (Twitter) o Facebook, e quindi per il momento non verrà sanzionata. L’ha dichiarato nelle scorse ore Thomas Regnier, portavoce della Commissione Europea, al Financial Times nel corso di un incontro con la stampa.
Secondo le regole dell’Unione Europea, una piattaforma viene considerata “molto grande” quando raggiunge i 45 milioni di utenti. Calcolando che a oggi Bluesky ha oltre 22 milioni di utenti, la strada da percorrere può sembrare ancora piuttosto lunga, ma la storia ci insegna che queste “migrazioni di massa” possono accelerare vertiginosamente un po’ dall’oggi al domani. Tanto per mettere il dato in prospettiva, appena sei giorni fa si era superato il traguardo di 20 milioni di utenti.
Su E Learning Unisalento – Storia della filosofia (cui gli studenti sono pregati di iscriversi mediante mail istituzionale unisalento e con la pw fornita dagli uffici) trovate la lezione del giorn…
Trovate sul portale E Learning Unisalento – Storia della filosofia francese (cui gli studenti sono pregati di iscriversi mediante mail istituzionale Unisalento e con la pw fornita dagli uffici) la …
Quest'estate ho disattivato l'account Instagram. Era qualcosa che volevo fare da molto tempo, ma a lungo mi sono detto che questo avrebbe compromesso in qualche modo la mia attività. In realtà si trattava di una scusa. Era la dipendenza da dopamina che mi teneva legato a quel social, niente di più. Non so esattamente quando sia scattato il clic che mi ha fatto dire basta. So che è arrivato. Ho chiuso, e non mi è mai più passata per la testa la tentazione di riattivare l'account.
Lo stesso giorno ho disattivato l'account Facebook. Lì però la storia è stata diversa. A differenza di Instagram ci sono state un paio di occasioni in cui ho deciso di riattivarlo. La prima, in concomitanza dell'alluvione che ha colpito la Polonia a settembre, in cui è diventato da una parte un modo per assicurarmi che alcune persone che conoscevo stessero bene, e dall'altra strumento per diffondere i post di un'associazione che coordinava gli aiuti. In un secondo momento l'ho riattivato per una questione lavorativa. Se Instagram lo faccio rientrare senza difficoltà nella categoria dell'inutile, Facebook un minimo di servizio riesce ancora svolgerlo. Il problema è che a fronte di quel boh, 5% di utilità, c'è un 95% di niente, un meccanismo perverso che soverchia e irretisce. Riuscire a utilizzare cum grano salis questo strumento mi risulta complicato. E quindi, alla fine della fiera, meglio farne a meno.
📣 Ripartono le #IscrizioniOnline alle scuole dell'infanzia e al primo e secondo ciclo di istruzione per l’anno scolastico 2025/2026!
⏰ Le domande potranno essere presentate dall’8 al 31 gennaio 2025.
📌 Anche quest’anno il #MIM, dal 27 al 30 novembre, sarà presente al JOB&Orienta con un ampio programma di eventi, laboratori, seminari, per un totale di oltre 70 appuntamenti dedicati a scuole, studenti e famiglie!
📌 Anche quest’anno il #MIM, dal 27 al 30 novembre, sarà presente al JOB&Orienta con un ampio programma di eventi, laboratori, seminari, per un totale di oltre 70 appuntamenti dedicati a scuole, studenti e famiglie!
Il Ministro Giuseppe Valditara par…
@Francy 🌻 Secondo me l'equivoco enorme si è creato quando ci si è iniziati a illudere che il politico potesse essere "uno di noi" e parlare "come noi". Il M5S è il risultato di anni di questa cultura qua, iniziata per scardinare un po' il concetto di élite, col fatto che la politica è di tutti, ecc. Invece se si tratta di élite nel senso di raccomandazioni e prescelti fra gli amici/parenti del politico anche no. Ma élite nel senso di persone selezionate e con le dovute competenze, dovrebbe essere auspicabile.
Lo scontro Con un emendamento al decreto Ambiente, Forza Italia prova a riaprire le porte alla cessione di quote dei gestori pubblici. La destra tradisce il referendum. E prova a fare lo stesso con il nucleare
La destra e il governo ci riprovano. A più di 10 anni di distanza, l’intenzione di archiviare definitivamente il risultato dei referendum del 2011 sull’acqua pubblica continua a essere in cima ai loro pensieri. L’operazione di «smontaggio» della volontà popolare che si era espressa con chiarezza per ripubblicizzare il servizio idrico e togliere l’acqua dalle logiche di mercato era iniziata, in realtà, sin dall’indomani dell’esito dei referendum e a esso si sono dedicati, sia pure con intensità diversa, tutti i governi in carica, ancora da quello di Berlusconi, passando per quelli di Monti, Letta, Renzi. Gentiloni e Conte.
DA ULTIMO il governo Draghi, con il decreto legislativo di riordino dei servizi pubblici della fine del 2022, aveva messo da parte una delle conquiste più significative derivate dal referendum, e cioè la possibilità di gestire il servizio idrico tramite Aziende speciali, Enti di diritto pubblico, che per loro natura fuoriescono dall’ambito societario e privatistico, e che aveva consentito l’importante esperienza della nascita di Abc Napoli.
IL GOVERNO MELONI intende compiere un ulteriore passo, che diventerebbe un colpo praticamente definitivo all’esito referendario, attaccando direttamente le società a totale capitale pubblico, con l’idea di far entrare in esse i soggetti privati. Lo vuole fare con il decreto legge Ambiente «Disposizioni urgenti per la tutela ambientale del Paese, la razionalizzazione dei procedimenti di valutazione e autorizzazione ambientale, la promozione dell’economia circolare, l’attuazione di interventi in materia di bonifiche, di siti contaminati e dissesto idrogeologico».
NELLA BOZZA iniziale di questo decreto compariva una norma, totalmente estranea all’oggetto del decreto, che prevedeva che i capitali privati potessero entrare fino a un tetto del 20% nelle società a totale capitale pubblico. A fronte della pronta reazione del Forum Italiano dei Movimenti per l’Acqua, il decreto licenziato dal Consiglio dei ministri non conteneva più questa disposizione, ma essa è stata riproposta ora con un emendamento del senatore Paroli di Forza Italia in sede di Commissione Ambiente, che sta esaminando il decreto. Se quest’emendamento venisse approvato, arriveremmo alla completa privatizzazione del servizio idrico, con un ruolo predominante dei soggetti privati e della loro impostazione mercatista.
NON C’È OVVIAMENTE da stupirsi di questi orientamenti, che appaiono coerenti con la linea di politica economica e sociale di questo governo. Alla cui base ci sono scelte che, celate da finto sovranismo e ammantate di linguaggio populista, mettono invece insieme una nuova stagione di austerità che colpisce i ceti più deboli, con la scommessa che una forte apertura al mercato e ai capitali privati, a partire da quelli internazionali, possa produrre un nuovo rilancio della crescita economica. Il governo, peraltro, dovrebbe essere avvertito che il risultato referendario del 2011 non si è esaurito, che esso ha sedimentato un senso comune tra le persone per cui l’idea dell’acqua come bene comune, essenziale per la vita del pianeta e delle persone, continua a essere patrimonio diffuso. E che quello che ci consegna il cambiamento climatico, l’alternarsi sempre più frequente tra stagioni siccitose e fenomeni alluvionali estremi, mettendo a rischio la stessa disponibilità futura della risorsa idrica, non può che rendere ancora più forte.
LO DICIAMO anche a proposito di quanto annunciato dal ministro Pichetto Fratin per arrivare, con l’inizio dell’anno nuovo, a sdoganare il nucleare «sostenibile», quello che si dovrebbe mettere in campo con i piccoli reattori. Anche qui ci troveremmo di fronte a una palese violazione dell’esito referendario del 2011 su questo tema. Il governo deve sapere che provvedimenti che stravolgono la volontà popolare espressa a suo tempo non passeranno immuni in un corpo sociale, certamente provato dalla protervia dello stesso e dal tentativo di spoliticizzarlo, ma ancora in grado di reagire su questioni di fondo, che riguardano direttamente la vita e il futuro delle persone. Almeno, è quanto ci ripromettiamo di far vivere, con la mobilitazione e gli strumenti che si rendessero necessari.
– Alex Zanotelli, Corrado Oddi, 26.11.2024 - Lo scontro Con un emendamento al decreto Ambiente, Forza Italia prova a riaprire le porte alla cessione di quo
“Giornata della Solidarietà” che in realtà purtroppo diventa una “Giornata in Caserma”.
Per anni il Comune di Pisa ha organizzato per le scuole pisane una “Giornata della Solidarietà” che in realtà era una “Giornata in Caserma”, dato che le attività si svolgevano all’interno del Capar, centro di addestramento paracadutisti e sede della Brigata Paracadutisti Folgore.
L’iniziativa che da noi pacifisti e nonviolenti è stata avversata era prevista nella città di Pisa il 27 aprile 2011, promossa dal comune sotto le insegne ipocrite della “Giornata della solidarietà”.
Chiedevamo al comune di Pisa di non portare i bambini delle scuole in caserma.
Il rapporto direttamente proporzionale tra incremento delle spese militari e impoverimento della scuola e dell’istruzione è evidente e netto.
Sarebbe davvero necessario, promuovendo e favorendo un contesto di disarmo generalizzato, convertire le caserme in luoghi di cultura, in ambiti di dialogo interculturale, interreligioso e di educazione alla pace e alla gestione dei conflitti.
Il militarismo e la propensione alla guerra sono un aspetto del maschilismo più truce. Gli uomini, muovendosi guerra, violentano Madre Terra, l’umanità e l’ambiente.
Il militarismo sconsacra l’ideale di donna e ripudia il rispetto del femminile, ossia il lato femmineo di ogni individuo e persona, che è implicito in tutto il genere umano e nel regno animale e vegetale.
La valorizzazione di genere, la considerazione della donna e del femminile, il dialogo tra generi e generazioni, come punto di riferimento per la trasmissione della memoria storica e dei valori della Pace, a partire dall’istituzione scolastica, sono strumenti ed istanze imprescindibili dei veri processi di Pace, contro l’obbedienza agli ordini, all’uniformità, al culto della forza tipici delle organizzazioni militari.
Il sistema politico e guerrafondaio egemone svilisce la figura della donna come portatrice di bellezza autentica come ideale anche interiore e di pace e di logiche nonviolente nel contesto sociale e a livello planetario e universale.
Per questo motivo, la cultura politica attualmente egemone, strumentalizza e svilisce la figura della donna. Vuole imporre lo spirito maschilista e guerrafondaio, di violenza e sopraffazione.
La caserma viene propinata agli studenti con la seduzione di una giornata di festa, di avventura, di gioco, di evasione e i militari vengono presentati come eroi e promotori di alti ideali di pace e solidarietà. Invece, in realtà, la guerra è mercenaria.
I martiri militari morti nelle cosiddette e surrettizie missioni di pace sono elevati a eroi nazionali tramite una retorica militaresca e guerrafondaia davvero negativa e di pessimo esempio soprattutto per le giovani generazioni e per l’intera umanità.
La giornata di solidarietà con gli eroi militari morti in guerra è una retorica militarista molto pericolosa, per cui la guerra viene presentata e trasmessa in maniera fittizia ed edulcorata. Questo pretesto ha un effetto devastante anche sulla psicologia infantile.
La guerra viene proposta come una missione di pace e rappresentata come un gioco a cui i bambini e i ragazzi non possono rinunciare. La giornata in caserma risulta molto seduttiva agli occhi dei bambini, in quanto viene posta enfasi nel mondo che popola le fantasie infantili, con armi giocattolo e altri espedienti fascinosi, dove il gioco assume i connotati della violenza e della prevaricazione, come avveniva con la gioventù balilla in epoca fascista.
La guerra ingenera sempre violenza, lutti, morte, dolore, miseria materiale, etica e morale. Per questo motivo, le nuove generazioni devono essere educate a valori veri di democrazia, di rispetto dell’altro, di dialogo tra culture e fedi, aborrendo ogni forma di prevaricazione e di violenza e di sopraffazione e odio tra genti, popoli, minoranze: persone.
La pace non è un’utopia: possiamo vivere in un mondo dove non esistano patrie e nazioni, frontiere e burocrazie, limiti e confini, ma comunità educanti aperte al dialogo, alla gestione nonviolenta dei conflitti, al cambiamento, al progresso costruttivo, senza stereotipi e pregiudizi, nel rispetto delle culture altre e delle differenze di genere e intergenerazionali. Chiediamo di non portare i bambini in caserma e nemmeno i militari nelle scuole e nelle università per favorire contesti di pace: apriamo invece le scuole e gli atenei accademici agli altri, ai diversi, agli ultimi, agli emarginati, agli oppressi e a tutti più deboli di cui tutti siamo parte nel tessuto sociale, comunitario e nel mondo.
Afferma Federico Giusti dell’Osservatorio contro la militarizzazione delle scuole e dell’università: “La militarizzazione delle scuole e dell’università ha ormai origini lontane da quando, una quindicina di anni fa registravamo le prime presenze, in varie vesti, di militari nelle scuole.
Abbiamo avuto percezione del problema con qualche anno di ritardo eppure il fenomeno militarizzazione interessa tutta la scuola, da quella dell’infanzia a quella secondaria di secondo grado, fino ormai all’università dove il settore della ricerca, anche su indicazioni Ue, si sta muovendo nella ricerca di tecnologie duali o equiparando ad antisemitismo le iniziative di boicottaggio di Israele e di contrasto al genocidio del popolo palestinese. Sono stati firmati protocolli a livello nazionale, il primo è del 2014 e locale, accordi quadro tra i ministeri dell’Istruzione e della Difesa. In taluni casi hanno coinvolto anche il ministero del Lavoro attraverso i percorsi di alternanza scuola-lavoro, oggi PCTO, con la presenza degli studenti in basi e infrastrutture militari o all’interno delle principali aziende del comparto militare-industriale”.
La strategia è ben chiara: affermare la cultura della difesa e della sicurezza, un concetto presente da tempo in tutti i documenti strategici delle forze armate o dei Governi nella Ue.
Si cerca inoltre di conquistare il consenso delle nuove generazioni su un modello di forze armate che intervengono a 360 gradi: sia all’estero, nelle varie missioni internazionali, sia all’interno, in sfere una volta non di loro competenza, oppure, sulle ceneri dello stato sociale, si presentano all’occorrenza come artefici della protezione civile, protagonisti dell’educazione civica, stradale, della lotta al cyberbullismo o insegnanti di educazione fisica. Siamo davanti, ormai da anni, a una svolta che vuole presentare il settore militare non solo come protagonista della nostra società ma anche alfiere di progetti sociali che oggi lo Stato non realizza avendo impoverito il welfare, ossia lo stato sociale e i servizi alla persona, proprio per indirizzare crescenti risorse al settore militare.
Braccio
in reply to Andrea Russo • • •