Sintesi

• Da fine giugno a metà luglio 2024, un presunto autore di minacce con legami con la Cina ha preso di mira grandi fornitori di servizi IT B2B nell’Europa meridionale, un cluster di attività che abbiamo soprannominato “Operation Digital Eye”.
• Le intrusioni avrebbero potuto consentire agli avversari di stabilire punti di appoggio strategici e compromettere le entità a valle. SentinelLabs e Tinexta Cyber ​​hanno rilevato e interrotto le attività nelle loro fasi iniziali.
• Gli autori della minaccia hanno utilizzato una capacità di movimento laterale indicativa della presenza di un fornitore condiviso o di un quartiermastro digitale che si occupa della manutenzione e del provisioning degli strumenti all’interno dell’ecosistema APT cinese.
• Gli autori della minaccia hanno sfruttato in modo improprio Visual Studio Code e l’infrastruttura Microsoft Azure per scopi C2, tentando di eludere il rilevamento facendo apparire legittime le attività dannose.
• La nostra visibilità suggerisce che l’abuso di Visual Studio Code per scopi C2 era stato relativamente raro in natura prima di questa campagna. Operation Digital Eye segna il primo caso di un presunto gruppo APT cinese che utilizza questa tecnica che abbiamo osservato direttamente.

Panoramica

Tinexta Cyber ​​e SentinelLabs hanno monitorato le attività di minaccia che hanno preso di mira i provider di servizi IT business-to-business nell’Europa meridionale. Sulla base del malware, dell’infrastruttura, delle tecniche utilizzate, della vittimologia e della tempistica delle attività, è altamente probabile che questi attacchi siano stati condotti da un attore di minacce China-nexus con motivazioni di cyberspionaggio.

Le relazioni tra i paesi europei e la Cina sono complesse, caratterizzate da cooperazione, competizione e tensioni sottostanti in settori quali commercio, investimenti e tecnologia. I gruppi di cyberspionaggio sospetti legati alla Cina prendono spesso di mira organizzazioni pubbliche e private in tutta Europa per raccogliere informazioni strategiche, ottenere vantaggi competitivi e promuovere interessi geopolitici, economici e tecnologici.

La campagna di attacco, che è stata soprannominata Operation Digital Eye, si è svolta da fine giugno a metà luglio 2024, per una durata di circa tre settimane. Le organizzazioni prese di mira forniscono soluzioni per la gestione di dati, infrastrutture e sicurezza informatica per clienti di vari settori, il che le rende obiettivi primari per gli attori del cyberspionaggio.

Una presenza sostenuta all’interno di queste organizzazioni fornirebbe agli attori di Operation Digital Eye un punto d’appoggio strategico, creando opportunità di intrusioni nella supply chain digitale e consentendo loro di esercitare il controllo sui processi IT critici all’interno delle entità compromesse a valle. Gli attacchi sono stati rilevati e interrotti durante le loro fasi iniziali.

Il gruppo esatto dietro Operation Digital Eye rimane poco chiaro a causa dell’ampia condivisione di malware, manuali operativi e processi di gestione delle infrastrutture all’interno del panorama delle minacce cinesi. Gli autori delle minacce hanno utilizzato una capacità pass-the-hash, probabilmente proveniente dalla stessa fonte delle modifiche Mimikatz personalizzate closed-source osservate esclusivamente in presunte attività di cyberspionaggio cinese, come Operation Soft Cell e Operation Tainted Love. Il malware e gli strumenti utilizzati in queste campagne sono stati collegati a diversi gruppi APT cinesi distinti. Ci riferiamo collettivamente a queste modifiche Mimikatz personalizzate come mimCN.

L’evoluzione a lungo termine e il versioning dei campioni mimCN, insieme a caratteristiche notevoli come le istruzioni rilevate per un team separato di operatori, suggeriscono il coinvolgimento di un fornitore condiviso o di un quartier generale digitale responsabile della manutenzione attiva e della fornitura di strumenti. Questa funzione all’interno dell’ecosistema APT cinese, corroborata dalla fuga di notizie I-Soon, probabilmente svolge un ruolo chiave nel facilitare le operazioni di cyberspionaggio China-nexus.

L’abuso di Visual Studio Code Remote Tunnels per scopi C2 è centrale in questa campagna. Originariamente progettata per abilitare lo sviluppo remoto, questa tecnologia fornisce un accesso completo agli endpoint, inclusa l’esecuzione dei comandi e la manipolazione del file system. Inoltre, il tunneling di Visual Studio Code coinvolge eseguibili firmati da Microsoft e dall’infrastruttura di rete di Microsoft Azure, entrambi spesso non monitorati attentamente e in genere consentiti dai controlli delle applicazioni e dalle regole del firewall. Di conseguenza, questa tecnica potrebbe essere difficile da rilevare e potrebbe eludere le difese di sicurezza. In combinazione con l’accesso completo agli endpoint che fornisce, ciò rende il tunneling di Visual Studio Code una capacità attraente e potente da sfruttare per gli attori delle minacce.

Tinexta Cyber ​​e SentinelLabs hanno informato Microsoft dell’abuso di Visual Studio Code e dell’infrastruttura di Azure in relazione all’operazione Digital Eye.

Vettore di infezione e progressione dell’attacco

Gli aggressori hanno utilizzato l’iniezione di SQL (Structured Query Language) come vettore di accesso iniziale per infiltrarsi nei server Web e nei database connessi a Internet. Le intestazioni User-Agent delle richieste nei registri del traffico Web recuperate indicano che gli aggressori hanno utilizzato lo strumento sqlmap per automatizzare il rilevamento e lo sfruttamento delle vulnerabilità di iniezione di SQL.

Per stabilire un punto d’appoggio iniziale e mantenere un accesso persistente, gli autori della minaccia hanno distribuito una webshell basata su PHP. Relativamente semplice nella progettazione e nell’implementazione, la webshell utilizza la funzione assert per eseguire il codice PHP fornito dall’aggressore. La sua implementazione non assomiglia ad altre webshell con cui si ha familiarità. A questa webshell è stato dato il di PHPsert.

Per mascherare i file che implementano PHPsert e tentare di eludere il rilevamento in base all’attività del file system, gli aggressori hanno utilizzato nomi personalizzati su misura per gli ambienti infiltrati, facendo apparire legittimi i nomi dei file. Ciò includeva l’utilizzo della lingua locale e di termini allineati al contesto tecnologico delle organizzazioni prese di mira.

Dopo aver stabilito un punto d’appoggio iniziale, gli autori della minaccia hanno condotto una ricognizione utilizzando una varietà di strumenti di terze parti e utilità Windows integrate, come GetUserInfo e ping. Hanno anche distribuito lo strumento local.exe, che fa parte del Microsoft Windows NT Resource Kit e consente di visualizzare le appartenenze ai gruppi di utenti.

Per rubare le credenziali, gli aggressori hanno utilizzato lo strumento CreateDump per estrarre la memoria allocata al processo Local Security Authority Subsystem Service (LSASS) ed esfiltrare le credenziali. CreateDump fa parte della distribuzione di Microsoft .NET Framework. Gli autori della minaccia hanno anche recuperato le credenziali dal database Security Account Manager (SAM), che hanno estratto dal Registro di sistema di Windows utilizzando il comando reg save.

Gli attori della minaccia spesso nominano i file che distribuiscono utilizzando il pattern do.*. Esempi includono do.log (output dai comandi ping), do.exe (lo strumento CreateDump) e do.bat(uno script che esegue ed elimina l’eseguibile CreateDump).

Dagli endpoint inizialmente compromessi, gli aggressori si sono spostati lateralmente attraverso la rete interna, utilizzando principalmente connessioni RDP (Remote Desktop Protocol) e tecniche pass-the-hash. Per gli attacchi pass-the-hash, hanno utilizzato una versione modificata personalizzata di Mimikatz, implementata in un eseguibile denominato bK2o.exe.

Oltre alla webshell PHPsert, gli autori della minaccia hanno utilizzato due metodi per l’esecuzione di comandi remoti: l’accesso SSH, abilitato authorized_keys distribuendo file contenenti chiavi pubbliche per l’autenticazione, e Visual Studio Code Remote Tunnels.

Visual Studio Code Remote Tunnels, basato sulla tecnologia dev tunnel di Microsoft, consente agli sviluppatori di accedere e lavorare su sistemi remoti. Questo accesso include il terminale di comando e il file system, consentendo attività come l’esecuzione di comandi e la modifica di file. Gli attori di Operation Digital Eye hanno abusato di questa funzionalità per mantenere un accesso backdoor persistente ai sistemi compromessi.

Nel tentativo di eludere il rilevamento basato sull’attività del file system, gli autori della minaccia hanno utilizzato %System[url=https://www.redhotcyber.com/post/la-storia-della-superuser-la-storia-di-root]Root[/url]%\Temp e %ProgramData%\Visual Studio Code come directory di lavoro principali per l’archiviazione di strumenti e dati. %SystemRoot%\Temp è una directory in cui Windows archivia i file temporanei e spesso viene monitorata con minore attenzione. %ProgramData%\Visual Studio Code doveva apparire come una directory legittima associata a Visual Studio Code.

Le intrusioni sono state rilevate e interrotte prima che gli aggressori potessero procedere con fasi successive, come l’esfiltrazione dei dati.

Abuso di Visual Studio Code

Gli autori della minaccia hanno distribuito un eseguibile portatile di Visual Studio Code denominato code.exe, che è firmato digitalmente da Microsoft, e hanno utilizzato lo strumento winsw per eseguirlo come servizio Windows. Il file di configurazione winsw che è stato recuperato indica che gli aggressori hanno creato un servizio denominato Visual Studio Code Service, che viene eseguito code.exe con il parametro tunnel della riga di comando a ogni avvio del sistema.

Il file di configurazione rivela un approccio pragmatico da parte degli attori della minaccia, che hanno probabilmente modificato una configurazione disponibile al pubblico winsw. Ciò è suggerito dall’uso dell’identificativo myapp del servizio e della directory %BASE%\logs per l’archiviazione dei file winsw di registro, entrambi presenti nel file di configurazione pubblico e in quello recuperato.
file di configurazione winsw
Il parametro tunnel ordina a Visual Studio Code di creare un tunnel di sviluppo e di agire come server a cui gli utenti remoti possono connettersi. Dopo l’autenticazione al tunnel con un account Microsoft o GitHub, gli utenti remoti possono accedere all’endpoint che esegue il server di Visual Studio Code, tramite l’applicazione desktop di Visual Studio Code o la versione basata su browser, vscode.dev.

Dopo aver creato i tunnel di sviluppo, gli autori della minaccia si sono autenticati tramite account GitHub e hanno avuto accesso agli endpoint compromessi tramite la versione basata su browser di Visual Studio Code. Non si sa ancora se gli autori della minaccia abbiano utilizzato l’account GitHub auto registrato o compromesso per autenticarsi nei tunnel.

Infrastruttura di rete

Gli autori dell’Operazione Digital Eye hanno utilizzato infrastrutture situate esclusivamente in Europa, provenienti dal provider M247 e dalla piattaforma Cloud Microsoft Azure. Ciò faceva probabilmente parte di una strategia deliberata. Poiché le organizzazioni prese di mira hanno sede e operano in Europa, gli aggressori potrebbero aver cercato di ridurre al minimo i sospetti allineando la posizione della loro infrastruttura a quella dei loro obiettivi. Inoltre, l’infrastruttura Cloud comunemente utilizzata nei flussi di lavoro IT legittimi, come Microsoft Azure, spesso non è monitorata attentamente ed è frequentemente consentita tramite restrizioni firewall. Sfruttando l’infrastruttura Cloud pubblica per scopi dannosi, gli aggressori hanno fatto apparire legittimo il traffico, il che può essere difficile da rilevare e potrebbe eludere le difese di sicurezza.

Nelle fasi iniziali degli attacchi, gli autori della minaccia hanno utilizzato il server con indirizzo IP 146.70.161[.]78 per stabilire l’accesso iniziale rilevando e sfruttando le vulnerabilità di SQL injection, e il server con indirizzo IP 185.76.78[.]117 per gestire la webshell PHPsert. Entrambi gli indirizzi IP sono assegnati al provider di infrastrutture M247 e si trovano rispettivamente in Polonia e Italia.

Nelle fasi successive degli attacchi, gli autori della minaccia hanno utilizzato il server con indirizzo IP 4.232.170[.]137 per scopi C2 quando accedevano da remoto agli endpoint compromessi tramite il protocollo SSH. Questo server fa parte dell’infrastruttura Azure di Microsoft nella region del data center ( intervallo IP Azure :, tag di servizio 🙂 . Al momento non si hanno informazioni sul fatto che gli autori della minaccia abbiano utilizzato credenziali Azure auto-registrate o compromesse per accedere e gestire le risorse e 4.232.128[.]0/18 i servizi Azure learn.microsoft.com/en-us/azur…AzureCloud.italynorth.

L’abuso del tunneling di Visual Studio Code per scopi C2 si basa anche sull’infrastruttura di Microsoft Azure. La creazione e l’hosting di un tunnel di sviluppo richiedono la connessione a un server Microsoft Azure con un dominio di *.[clusterID].devtunnels.ms, dove [clusterID]corrisponde alla regione di Azure dell’endpoint che esegue il server di Visual Studio Code, come euw per West Europe. In Operation Digital Eye, la creazione di tunnel di sviluppo ha comportato l’instaurazione di connessioni al server con il dominio [REDACTED].euw.devtunnels[.]ms, che si è risolto nell’indirizzo IP 20.103.221[.]187. Questo server fa parte dell’infrastruttura di Microsoft Azure nella regione West Europe del data center (intervallo IP di Azure: 20.103.0[.]0/16, tag di servizio: AzureCloud.westeurope).

La Webshell PHPsert

PHPsert esegue il codice PHP fornito dall’attaccante utilizzando la funzione assert, che, nelle versioni PHP precedenti alla 8.0.0, interpreta ed esegue stringhe di parametri come codice PHP. Per ostacolare l’analisi statica ed eludere il rilevamento, la webshell utilizza varie tecniche di offuscamento del codice, tra cui la codifica XOR, la rappresentazione dei caratteri esadecimali, la concatenazione di stringhe e nomi di variabili randomizzati.
Implementazione PHPsert
La webshell PHPsert funziona come segue:

• PHPsert istanzia una classe con un singolo metodo regolare, che decodifica tramite XOR e concatena i caratteri esadecimali per generare la stringa assert. Il distruttore della classe (il metodo magico __destruct) usa questa stringa per invocare la funzione assert, passando il codice PHP fornito dall’attaccante come parametro.
• La webshell recupera il codice PHP fornito dall’attaccante da un parametro di richiesta HTTP POST, ad esempio, momomomo. Se il parametro id è presente nell’URL della richiesta, PHPsert decodifica il valore codificato in Base64 del parametro POST. Se il parametro id è assente, la webshell utilizza il valore raw del parametro.
• Infine, quando PHPsert termina l’esecuzione, viene richiamato il distruttore della classe, che a sua volta richiama la funzione assert per eseguire il codice PHP fornito dall’aggressore.

Abbiamo identificato diverse varianti di PHPsert, che sono state inviate a piattaforme di condivisione di malware da maggio 2023, da varie località tra cui Giappone, Singapore, Perù, Taiwan, Iran, Corea e Filippine. Queste varianti mostrano solo piccole differenze nella loro implementazione, come nomi di variabili e parametri di richiesta POST come mr6, brute, e qq. L’analisi suggerisce che PHPsert è distribuito non solo come file PHP autonomo, ma è anche integrato in vari tipi di contenuti Web, tra cui editor di testo Web e sistemi di gestione dei contenuti.

Una delle varianti di PHPsert contiene frammenti di codice commentati in cinese semplificato che descrivono il codice vicino. Questi commenti e frammenti non sono presenti nelle versioni di PHPsert osservate in Operation Digital Eye, né in nessuna delle altre varianti della webshell. Di seguito sono riportati i commenti del codice, tutti tradotti automaticamente dal cinese semplificato:

• 结果是"assert", che si traduce in The result is "assert".
• 验证 $this->rg 是否安全, che si traduce in Verify that $this->rg is safe.
• 验证和清理用户输入, che si traduce in Validating and sanitizing user input.

Frammenti di codice PHPsert con commenti in cinese
La presenza di questi commenti, insieme agli indicatori di codice rimosso nelle varianti di PHPsert, suggerisce il potenziale coinvolgimento di sviluppatori di lingua cinese che potrebbero aver semplificato la logica di esecuzione della webshell.

Capacità di Pass-the-Hash

L’eseguibile bK2o.exe (una versione modificata personalizzata di Mimikatz utilizzata in Operation Digital Eye per gli attacchi pass-the-hash) consente l’esecuzione di processi all’interno del contesto di sicurezza di un utente sfruttando un hash di password NTLM compromesso, bypassando la necessità della password effettiva dell’utente. Per ottenere ciò, bK2o.exe sovrascrive la memoria del processo LSASS. Lo strumento supporta i seguenti parametri della riga di comando:

• /c: Processo da eseguire; cmd.exe se non specificato, il valore predefinito è .
• /u: Nome utente dell’utente.
• /d: Il dominio dell’utente.
• /h: Hash della password NTLM.

bK2o.exe implementa una tecnica pass-the-hash sovrascrivendo la memoria LSASS in modo simile a Mimikatz, con la sua implementazione parzialmente sovrapposta alle funzioni Mimikatz come kuhl_m_sekurlsa_pth_luide kuhl_m_sekurlsa_msv_enum_cred_callback_pth. In sintesi, bK2o.exe esegue quanto segue:

• Crea un processo sospeso in una nuova sessione di accesso, specificando il processo fornito dall’aggressore, il nome utente, il dominio e una password vuota.
• In base all’identificatore univoco locale (LUID) della sessione, individua ed estrae dalla memoria del processo LSASS un blob di dati di credenziali crittografati contenente l’hash NTLM dell’utente e le chiavi di crittografia necessarie per decrittografare il blob.
• Decrittografa il blob di dati, sovrascrive l’hash NTLM dell’utente con l’hash fornito dall’aggressore e crittografa nuovamente il blob di dati.
• Riprende il processo sospeso.

bK2o.exe crea un nuovo processo e recupera il LUID della sessione di accesso
Per navigare nella memoria LSASS, bK2o.exe usa le firme di codice, rappresentate come sequenze di byte in formato esadecimale. Queste sequenze corrispondono a istruzioni LSASS note, che servono come punti di navigazione all’interno della memoria.

Per ostacolare l’analisi statica ed eludere il rilevamento, bK2o.exe offusca le firme del codice e le stringhe costruendole dinamicamente sullo stack in fase di esecuzione, anziché memorizzarle come dati statici.
bK2o.exe costruisce la firma del codice 33 ff 41 89 37 4c 8b f3 […] sullo stack

Dall’operazione Digital Eye a Tainted Love e Soft Cell

Sono stati quindi identificati altri due campioni e caricati su piattaforme di condivisione malware che costruiscono firme di codice sullo stack, che si chiamano wsx1.exe e wsx1.exe. Come bK2o.exe, entrambi wsx.exe e wsx1.exe sono versioni personalizzate modificate di Mimikatz e implementano la funzionalità pass-the-hash.

Segmenti di codice sostanziali in wsx.exe e wsx1.exe, che implementano la costruzione di firme di codice sullo stack, si sovrappongono a quelli in bK2o.exe, includendo dimensioni mov e valori di operandi di istruzione identici. Ciò suggerisce che wsx.exe, wsx1.exe, e bK2o.exe sono molto probabilmente derivati ​​dalla stessa fonte.
Segmento di codice in bK2o.exe Segmento di codice in wsx1.exe
A loro volta, si è osservato sovrapposizioni tra i componenti wsx.exe, wsx1.exe e mim221. mim221 è uno strumento che esegue un “antifurto” di credenziali ben gestito e con più versioni, nonché una versione modificata personalizzata di Mimikatz, che SentinelLabs ha osservato nell’operazione Tainted Love, una campagna che ha preso di mira i fornitori di servizi di telecomunicazioni in Medio Oriente nel 2023.

Si è quindi attribuito Operation Tainted Love a un presunto gruppo cinese di cyberspionaggio all’interno del nesso tra Granite Typhoon (precedentemente noto come Gallium) e APT41, pur riconoscendo la possibilità di condivisione di strumenti tra attori di minacce sponsorizzati dallo stato cinese e il potenziale coinvolgimento di un fornitore condiviso o di un quartiermastro digitale. Si sta valutando che mim221 rappresenti un’evoluzione degli strumenti associati a Operation Soft Cell, come simplify_32.exe . Operation Soft Cell, che ha preso di mira i provider di telecomunicazioni nel 2017 e nel 2018, è stata collegata a Granite Typhoon e sono state suggerite anche possibili connessioni tra gli attori di Soft Cell e APT41.

mim221 ha un’architettura multi-componente, con un singolo eseguibile che organizza tre componenti — pc.dll, AddSecurityPackage64.dll, e getHashFlsa64.dll— usando tecniche come la decrittazione, l’iniezione e il caricamento di immagini riflettenti. Questi componenti condividono diverse sovrapposizioni con bK2o.exe, wsx.exe, e wsx1.exe.

Per ostacolare l’analisi statica, alcuni componenti mim221 offuscano anche le stringhe costruendole sullo stack in fase di esecuzione. Inoltre, i componenti mim221 AddSecurityPackage64.dlle getHashFlsa64.dll implementano la registrazione degli errori simile a quella di wsx.exe e wsx1.exe, inclusi messaggi di errore personalizzati identici, un formato di output coerente e gli stessi errori in lingua inglese.
Messaggi di errore in wsx.exe e wsx1.exe
Inoltre, le informazioni RTTI (Run-Time Type Information) memorizzate in wsx.exe, wsx1.exe, e nel componente mim221 getHashFlsa64.dll rivelano che classi con gli stessi nomi sono dichiarate in questi eseguibili. Non abbiamo osservato questi nomi di classe in strumenti open source o disponibili al pubblico.

L'articolo Operation Digital Eye: il primo attacco cinese che sfrutta Visual Studio Code come C2 proviene da il blog della sicurezza informatica.

Have you ever wished for easy mouse controls to go along with your VR headset experience? Or maybe you just want a cooler way to mouse in general. In any case, look no further than [rafgaj78]’s Bluetooth Mouse Ring project.

This is version two, which of course comes with several improvements over version one. The biggest change is from tactile buttons to a joystick input. [rafgaj78] also did away with the power switch, using deep-sleep mode instead. Version two is easier to assemble and offers improved ergonomics, as well as a range of ring sizes.

Like the first version, this ring runs on a Seeed Xiao nRF52840 and is programmed in CircuitPython. There are two modes to choose from. In one mode, the joystick does left and right mouse click and wheel up and down, while the push action recovers the micro from deep sleep. In the other mode, the joystick axis is a mouse pointer mover, and you push down to left click.

We really like this sleek design, and [rafgaj78] has great instructions if you want to build your own. This isn’t the first cool mouse ring we’ve seen, and it certainly won’t be the last.

hackaday.com/2024/12/10/update…

Il personale del Congresso degli Stati Uniti è stato allertato di una campagna di phishing in cui individui sconosciuti che si spacciano per funzionari governativi inviano messaggi sospetti ai legislatori chiedendo loro di scaricare un’app di messaggistica crittografata.

L’ufficio amministrativo della Camera e il servizio dei marescialli hanno emesso un avviso interno di emergenza ai membri del Congresso avvertendo del pericolo. L’avviso non specifica se l’attacco di phishing è associato a Salt Typhoon, ma i funzionari sconsigliano vivamente di aprire messaggi inaspettati o di scaricare applicazioni sconosciute.

L’incidente avviene nel contesto di una grave intrusione da parte del gruppo hacker cinese Salt Typhoon nelle reti di telecomunicazioni statunitensi. Gli aggressori sono riusciti ad accedere ai sistemi di circa 80 provider, tra cui le più grandi aziende AT&T, Verizon e T-Mobile.

La Federal Communications Commission (FCC) ha già avviato un processo per aggiornare gli standard di sicurezza per i sistemi di telecomunicazioni. La presidente della Commissione Jessica Rosenworcel ha chiesto un rafforzamento immediato delle misure di sicurezza informatica per contrastare gli accessi non autorizzati.

Il capo della Commissione per la Sicurezza Nazionale della Camera, Mark Green, ha sottolineato la necessità di un’indagine approfondita. Secondo lui è importante comprendere a fondo la portata dell’attacco informatico ed elaborare raccomandazioni per migliorare la resilienza delle reti di telecomunicazioni statunitensi.

Gli esperti di sicurezza informatica raccomandano ai cittadini e ai funzionari governativi di essere il più vigili possibile. Gli esperti consigliano di controllare le fonti dei messaggi, di non aprire collegamenti sospetti e di utilizzare solo canali di comunicazione affidabili.

Il Cyber ​​​​Security Council ha avviato una propria indagine sulle attività del gruppo Salt Typhoon. Le forze dell’ordine statunitensi intendono analizzare attentamente i metodi degli hacker e prevenire possibili attacchi futuri.

L'articolo Salt Typhoon Sotto Accusa! Una Campagna di Phishing si Scaglia Contro il Congresso USA proviene da il blog della sicurezza informatica.

If you’ve ever wanted to merge the worlds of holiday cheer and clever geometry, [Kris Wilk]’s gingerbread house hack is your ultimate inspiration. Shared in a mesmerising video, [Wilk] showcases his 2024 entry for his neighborhood’s gingerbread house contest. Designed in FreeCAD and baked to perfection, this is no ordinary holiday treat. His pièce de résistance was a brilliant trompe l’oeil effect, visible only from one carefully calculated angle. Skip to the last twenty seconds of the video to wrap your head around how it actually looks.

[Wilk] used FreeCAD’s hidden true perspective projection function—a rarity in CAD software. This feature allowed him to calculate the perfect forced perspective, essential for crafting the optical illusion. The supporting structures were printed on a Prusa MK4, while the gingerbread itself was baked at home. Precision photography captured the final reveal, adding a professional touch to this homemade masterpiece. [Wilk]’s meticulous process highlights how accessible tools and a sprinkle of curiosity can push creative boundaries.

For those itching to experiment with optical illusions, this bakery battle is only the beginning. Why not build a similar one inside out? Or construct a gingerbread man in the same way? Fire up the oven, bend your mind, and challenge your CAD skills!

youtube.com/embed/Xm2xWJrqf-k?…

hackaday.com/2024/12/10/an-eng…

Secondo l’ultimo rapporto pubblicato da Zimperium Labs, i dispositivi mobili sono diventati l’obiettivo principale degli attacchi di phishing. Più di quattro quinti (82%) dei siti Web di phishing prendono di mira specificamente i dispositivi mobili e utilizzano il protocollo HTTPS per creare un “senso di sicurezza” per gli utenti.

Gli utenti in Medio Oriente e in Asia sono quelli maggiormente a rischio

Il rapporto ha rilevato che più della metà (54%) delle aziende ha subito una violazione dei dati a causa dell’accesso improprio dei dipendenti a informazioni sensibili sui dispositivi mobili. Il rapporto afferma: “Nel 2023, l’82% dei siti Web di phishing analizzati da Zimperium ha preso di mira specificamente i dispositivi mobili e ha fornito contenuti mobile, con un aumento del 7% rispetto agli ultimi tre anni” per attacchi di phishing.

Vale la pena notare che, secondo le statistiche di Cloudflare, la percentuale del traffico Internet mobile in Asia, Africa e Medio Oriente è significativamente più elevata che in Europa e nelle Americhe, e il rischio di subire attacchi di phishing mobile è maggiore. Tra i paesi più popolosi dell’Asia orientale e meridionale, l’India è al primo posto con oltre l’80% del traffico Internet mobile, seguita da Indonesia (68%) e Cina (65%) rispettivamente al secondo e terzo posto.

Traffico Internet mobile globale. Fonte Cloudflare

Nel teso Medio Oriente e nell’Asia occidentale, lo Yemen è al primo posto per traffico Internet mobile (83%), seguito da Siria (82%), Iran (71%), Iraq (70%) e Pakistan (70%). , quarto e quinto.

Tre fattori che guidano la crescita degli attacchi di phishing mobile

Il rapporto evidenzia inoltre tre fattori chiave alla base dell’ondata di attacchi di phishing mobile: l’uso diffuso di dispositivi personali al lavoro, la scarsa igiene della sicurezza informatica sui dispositivi mobili e l’uso delle AI da parte dei malintenzionati. Rispetto ai sistemi desktop, i dispositivi mobili di solito non dispongono di misure di sicurezza adeguate e, insieme ai loro schermi più piccoli, è più probabile che gli utenti ignorino i collegamenti nascosti o gli URL falsi sui siti Web di phishing.

La ricerca mostra che il 71% dei dipendenti utilizza gli smartphone per gestire le attività lavorative e il 60% utilizza i telefoni cellulari per le comunicazioni legate al lavoro. Inoltre, l’82% delle aziende consente una qualche forma di politica BYOD (Bring Your Own Device), il che si traduce in circa il 48% dei dipendenti che utilizzano i propri telefoni cellulari personali per accedere alle informazioni di lavoro, trascorrendo in media tre ore al giorno sui propri telefoni cellulari per lavoro. importa.

Patrick Tiquet, Vice President of Security and Architecture di Zimperium, ha dichiarato: “Poiché i dispositivi mobili diventano strumenti critici per le operazioni aziendali, garantire la loro sicurezza diventa fondamentale, soprattutto contro vari tipi di attacchi di phishing. Le aziende dovrebbero implementare solide policy di gestione dei dispositivi mobili (MDM). per garantire che i dispositivi forniti dall’azienda e i dispositivi BYOD siano conformi agli standard di sicurezza. L’aggiornamento regolare dei dispositivi e del software di sicurezza può correggere tempestivamente le vulnerabilità e proteggere dalle minacce note”

L’ascesa del phishing HTTPS

Il rapporto sottolinea che la tendenza dei siti web di phishing che utilizzano il protocollo HTTPS per creare un “senso di sicurezza” negli utenti è diventata sempre più evidente. Krishna Vishnubhotla, vicepresidente della strategia di prodotto di Zimperium, ha spiegato: “Sebbene i siti di phishing HTTPS non siano una novità, negli ultimi anni sempre più siti di phishing hanno preso di mira i dispositivi mobili, una tendenza che continua a crescere”.

Ha aggiunto: “Le interfacce mobili rendono più facile per gli utenti confondersi perché i browser raramente visualizzano gli URL completi e tendono a reindirizzare rapidamente. Inoltre, gli utenti tendono a pensare che i collegamenti con l’icona di un lucchetto nel browser siano sicuri, soprattutto sui dispositivi mobili. Pertanto , gli utenti non devono solo verificare se nell’URL del browser è presente l’icona del lucchetto, ma anche controllare attentamente il nome del dominio del sito Web per evitare di inserire informazioni sensibili nei siti Web di phishing.“

La gestione dei dispositivi mobili e i gestori di password

Per combattere efficacemente gli attacchi di phishing mobile, gli esperti consigliano di utilizzare la gestione dei dispositivi mobili (MDM) e i gestori di password. Le soluzioni MDM possono aiutare le aziende a implementare policy di sicurezza, controllare le autorizzazioni delle applicazioni, garantire che i dispositivi vengano aggiornati con patch di sicurezza in modo tempestivo e ridurre il rischio di attacchi di phishing.

Tiquet ha sottolineato: “Le soluzioni MDM possono garantire la conformità e limitare l’accesso ai dati attraverso lo stato di integrità del dispositivo, garantendo una politica di sicurezza mobile completa, piuttosto che fare affidamento esclusivamente sugli aggiornamenti del sistema operativo. Una crittografia avanzata e la gestione automatica delle patch possono migliorare ulteriormente la sicurezza del dispositivo.”

Inoltre, i gestori di password possono generare e archiviare password complesse e uniche, impedendo agli utenti di riutilizzare le credenziali su più servizi e riducendo il tasso di successo degli attacchi di phishing.

L'articolo 82% dei Siti di Phishing Prendono di Mira i Cellulari: Scopri Come Proteggerti proviene da il blog della sicurezza informatica.

"Non è possibile". Due ragazze si stringono su un telefonino, smettendo per un attimo di saltellare per difendersi dal freddo della sera di Seoul. Sul piccolo schermo, vanno in onda le immagini in diretta dei parlamentari del Partito del Potere Popolare (PPP) che se ne vanno.

Dopo aver votato contro l'istituzione di una commissione d'inchiesta speciale sulla first lady Kim Keon-hee, lasciano l'aula proprio mentre l'Assemblea nazionale è chiamata a esprimersi sul destino di Yoon Suk-yeol, il presidente che ha osato imporre la prima legge marziale dell'era democratica della Corea del Sud. Le sedie del partito di governo sono abbandonate, tranne quella di Ahn Cheol-soo, tre volte candidato alle presidenziali per il PPP, l'unico a restare. Il palazzo simbolo della democrazia sudcoreana resta mezzo vuoto.

valigiablu.it/corea-del-sud-im…

@Politica interna, europea e internazionale

La lezione della Corea del Sud: la memoria storica dei nonni sfida il potere militare e salva la democrazia

Il tentativo del presidente sudcoreano Yoon Suk-yeol di imporre la legge marziale ha evocato i traumi della dittatura militare degli anni ’80.

^{Lorenzo Lamperti (Valigia Blu)}

L'idea di Quintarelli @quinta :ubuntu: di proporre il software installato sui propri dispositivi mi e' tornata utile, spero torni utile la mia.

Mobile Android

Calendario: Etar
Mail: K-9, Thunderbird
Task&Note: OpenTask, JTX Board
SMS: QKSMS
Contatti: Simple Contact Pro
Bookmark sync: XBrowserSync, Floocus, Firefox
Home automation client: HomeAssistant client, Home bridge client
App store: Aurora store, App Lounge, F-Droid, GPlay
Audio&Videoconferenze: Teams, Google chat
Galleria Foto: Aves Libre
Grafica: Linwood Butterfly Nightly (disegno mano libera)
Browser: Firefox e Focus , Kiwi Browser, LibreWolf, DuckDuckGo, Bromite
Motore ricerca: DuckDuckGo, Qwant
Meteo: MeteoAM, Weawow, Breezy weather
Chat: Element, Deltachat, Fluffychat, WA
Cloud: Infomaniak Kdrive, Webdav, Nextcloud e/os
File manager: Material File
Identità digitale: Spid
Condivisione file local network: Warpinator , KDE connect
Mappe: GMaps, Organic Maps
Editor OSM : Vespucci
Fediverso: Racoon, Phanpy, Browser
VideoMusic&Radio streaming: VLC, Radiodroid
Navigatore: Waze, MagicEarth, GMaps
Desktop remoto: NoMachine (client)
2FA authenticator: Aegis, Google Authenticator, Fortitoken, Bitwarden
Password Manager: Keepass2Android, Nextcloud password
Ebook/PDF reader: Librera FD
News: Flym (era un bel reader RSS ormai archiviato)
Podcast: AntennaPod
QR Code reader: QR Scanner
Sincronizzatore CalDav/CardDAV: DAVx5
Tastiere: HeliBoard
Tool di rete: LTE Discovery, ConnectBot (ssh), Duorem (wakeOnLan)
VPN: OpenVPN, Netbird, Forticlient
Altro : BatteryBot

Personal Computer

Hardware: MinisForum
OS: LinuMint 22 Cinnamon
Backup: Backup Tool, TimeShift, rsync locale, Foxclone, CloneZilla
Browsers: Librewolf, Firefox
Chat: WA
Grafica: XnView MP
Mail/calendar/contacts: Thunderbird
VideoMusic&Radio streaming: VLC
Office: Libre Office
Password manager: KeepassXC, Nextcloud password
Cloud: Infomaniak Kdrive, Webdav, Nextcloud e/os
VPN: OpenVPN, Netbird, Forticlient
Desktop remoto: Remmina, NoMachine (server/client)

Rasperry 4: Home Assistant server

Server remoto

Hosting dirtynello.it su SupportHost: Mail (smtp, imap) Caldav, Carddav, Webdav,
Blog: WordPress
Forum: Php Forum
Foto: Pwigo

Server locale: Notebook Fujitszu Core 2 P8400

OS: Ubuntu server 22.04
Streaming Audio&Video: Minidlna
File system share: NFS
Home Automation: HomeBridge
Desktop remoto: Remmina, NoMachine (server/client)
Varie: AMule, Devolo, Virtualbox, LuckyBackup
VPN: OpenVPN, Netbird

Estensioni Browser: Floccus, KeepasXC, Keepa, Tranquility Reader, uBlock Origin, Ghost, Nextcloud password

Va bene la sicurezza e l'innovazione, pero mi pare ci si stia legando un po troppo mani e piedi ad un dispositivo che dopo breve tempo diventa obsoleto ... e rifiuto.

ilsoftware.it/il-tuo-dispositi…

ilsoftware.it/android-app-banc…