Il Google Threat Intelligence Group (GTIG) ha identificato una nuova ondata di attacchi informatici attribuendola a un gruppo denominato UNC5837.

La campagna, osservata a partire da ottobre 2024, adotta un approccio unico: l’invio di e-mail di phishing contenenti allegati in formato .rdp. Questi file, una volta aperti, avviano una connessione RDP dalla macchina della vittima a un server controllato dagli aggressori, senza mostrare i consueti banner di avviso per la sessione interattiva.

In questa sofisticata campagna di spionaggio, rivolta a istituzioni governative e militari europee, alcuni hacker ritenuti collegati ad attori statali russi hanno sfruttato una funzionalità meno nota del protocollo RDP (Remote Desktop Protocol) di Windows per infiltrarsi nei sistemi.

Le prove suggeriscono che questa campagna potrebbe aver comportato l’uso di uno strumento proxy RDP come PyRDP per automatizzare attività dannose come l’esfiltrazione di file e l’acquisizione degli appunti. Questa tecnica è stata precedentemente soprannominata “Rogue RDP”.
Esempio della campagna di phishing (fonte Google)
Le e-mail contenevano file .rdp firmati, con certificati SSL validi, per aggirare le misure di sicurezza che avrebbero avvisato gli utenti di potenziali rischi. Questi file sono configurati per mappare le risorse dal computer della vittima al server dell’attaccante.

La campagna ha probabilmente consentito agli aggressori di leggere le unità delle vittime, rubare file, catturare dati degli appunti (incluse le password) e ottenere variabili di ambiente delle vittime. Sebbene non abbiamo osservato l’esecuzione diretta di comandi sulle macchine delle vittime, gli aggressori potrebbero presentare applicazioni ingannevoli per phishing o ulteriori compromissioni.

L’obiettivo principale della campagna sembra essere lo spionaggio e il furto di file, sebbene la piena portata delle capacità dell’aggressore rimanga incerta. Questa campagna funge da duro promemoria dei rischi per la sicurezza associati alle oscure funzionalità RDP, sottolineando l’importanza della vigilanza e della difesa proattiva.

L'articolo RDP utilizzato dagli hacker russi per colpire le istituzioni governative e militari europee proviene da il blog della sicurezza informatica.

Should you travel around Europe, you may notice that things in France are ever so slightly different. Not necessarily better or worse, simply that the French prefer to plough their own furrow rather than importing cultural tends from their neighbors.

In the 1980s this was evident in their home computers, because as well as a Minitel terminal in your house, you could have an all-French machine plugged into your TV. [Retro Krazy] has just such a machine — it’s a Matra Hachette Alice 32, and its red plastic case hides hardware any of us would have been proud to own back in the day.

At first sight it appears superficially similar to a Sinclair Spectrum, with its BASIC keywords next to the keys. But under that slightly calculator style AZERTY keyboard is an entirely different architecture, a Motorola 6803. The first Alice computer was a clone of a Radio Shack model, and while this one has no compatibility with its predecessor it retains some silicon choices. On the back are a series of DIN sockets, one for a SCART adapter, and more for serial connectivity and a cassette deck. The overall impression is of a well-engineered machine, even if that red color is a little garish.

The Alice hasn’t appeared here on its own before, but we have taken a look at French retrocomputers here in the past.

youtube.com/embed/_Pr--TXhnX4?…

hackaday.com/2025/04/07/the-19…

L’8 aprile 2025 si celebra la quinta edizione dell’Identity Management Day, un’iniziativa promossa dalla Identity Defined Security Alliance (IDSA) e dalla National Cybersecurity Alliance (NCA). Questa giornata ha l’obiettivo di sensibilizzare individui e organizzazioni sull’importanza della gestione e protezione delle identità digitali, evidenziando le migliori pratiche per prevenire violazioni e furti di dati personali.

L’Importanza della Gestione delle Identità

Nell’era digitale, le identità rappresentano il nuovo perimetro della sicurezza informatica. Secondo il 2020 Verizon Data Breach Investigations Report, fino all’81% delle violazioni informatiche legate all’hacking sfruttano password deboli, rubate o compromesse. Questo sottolinea la necessità di adottare misure proattive nella gestione delle credenziali e nell’implementazione di strategie di sicurezza basate sull’identità.​National Cybersecurity Alliance

Pertanto occorre implementare un approccio alla sicurezza che ponga l’identità al centro, implementando principi di zero trust e autenticazione multifattoriale. ​Cyber Daily Per celebrare l’Identity Management Day 2025, l’IDSA ha organizzato una conferenza virtuale globale con sessioni che coprono le regioni delle Americhe, EMEA e Oceania-Asia. Il tema di quest’anno, “Identità Esistenziale”, esplora l’evoluzione delle identità umane e non umane nel contesto dell’intelligenza artificiale e delle nuove tecnologie. ​Days Of The Year+2Identity Defined Security Alliance+2Identity Defined Security Alliance+2

Una delle sessioni principali, intitolata “Più Umano del Umano: Una Storia Avvincente su Macchine, AI e Identità”, sarà presentata da Henrique Teixeira di Saviynt. Questa sessione esplorerà l’impatto dell’intelligenza artificiale sulla gestione delle identità e sulla sicurezza informatica.

Best Practices per la Protezione delle Identità Digitali

In occasione dell’Identity Management Day, è fondamentale adottare misure concrete per proteggere le proprie identità digitali. Ecco alcune best practices consigliate:​

• Utilizzare l’Autenticazione Multifattoriale (MFA): Aggiungere un ulteriore livello di sicurezza oltre alla password per accedere ai propri account.​
• Aggiornare Regolarmente le Password: Modificare le password periodicamente e non riutilizzarle su più account.​
• Essere Vigili contro il Phishing: Prestare attenzione a e-mail o messaggi sospetti che richiedono informazioni personali o credenziali di accesso.​
• Monitorare le Attività dei Conti: Controllare regolarmente gli estratti conto bancari e le attività degli account online per individuare eventuali attività non autorizzate.​

Implementando queste pratiche, individui e organizzazioni possono ridurre significativamente il rischio di violazioni legate all’identità.​Cyber Daily

Fabio Fratucello, Field CTO World Wide, CrowdStrike ha riportato recentemente “Oggi gli avversari non forzano l’ingresso: accedono con le credenziali. Gli attaccanti hanno abbandonato i metodi tradizionali basati su malware, preferendo sfruttare le lacune nella gestione delle identità e utilizzare credenziali rubate per infiltrarsi silenziosamente negli ambienti. Una volta all’interno, essi agiscono come utenti legittimi, eludendo gli strumenti di sicurezza tradizionali e muovendosi lateralmente tra domini di identità, endpoint e cloud. Come evidenziato nel Global Threat Report 2025 di CrowdStrike, il 79% degli accessi iniziali oggi avviene infatti senza l’uso di malware, e l’attività degli access broker è aumentata del 50% su base annua. La realtà è che le misure di sicurezza tradizionali, un tempo efficaci contro gli attacchi guidati da malware, sono oggi inadeguate. L’Identity Management Day rappresenta per le organizzazioni un’occasione per rivalutare la propria postura in tema di sicurezza delle identità e per adottare un approccio proattivo, fondato sull’identità, alla difesa. Ciò include l’implementazione dei principi zero-trust, il monitoraggio continuo delle identità, il rafforzamento dell’autenticazione tramite MFA (autenticazione a più fattori) e metodi passwordless, il dispiegamento di sistemi di rilevamento delle minacce e di intelligence basati su intelligenza artificiale, e l’eliminazione dei privilegi di accesso non necessari. Inoltre, le organizzazioni hanno bisogno di una piattaforma di sicurezza unificata, alimentata da intelligence in tempo reale, in grado di correlare le attività relative a identità, cloud ed endpoint, per offrire una visibilità completa attraverso tutti i domini ed eliminare i punti ciechi. Adottando una strategia di sicurezza incentrata sull’identità e una piattaforma unificata, le organizzazioni possono concentrarsi sull’obiettivo principale: fermare le violazioni“.

Conclusione

L’Identity Management Day serve come promemoria dell’importanza cruciale della gestione delle identità nell’attuale panorama digitale. Partecipando a eventi educativi e adottando misure proattive, possiamo tutti contribuire a creare un ambiente online più sicuro. Per ulteriori informazioni e per partecipare alle iniziative, visita il sito ufficiale dell’Identity Defined Security Alliance.

L'articolo Identity Management Day: Proteggere le Identità nell’Era Digitale proviene da il blog della sicurezza informatica.

WinRAR ha corretto una vulnerabilità recentemente che consentiva di aggirare la funzionalità di sicurezza Mark of the Web (MotW) di Windows ed eseguire codice sul computer della vittima.

La vulnerabilità è identificata con l’identificatore CVE-2025-31334 (6,8 punti sulla scala CVSS) riguarda tutte le versioni di WinRAR, tranne la 7.11.

Mark of the Web è una funzionalità di sicurezza di Windows che viene utilizzata per contrassegnare i file potenzialmente pericolosi scaricati da Internet. Quando si apre un file eseguibile contrassegnato come MotW, Windows avverte l’utente che il file è stato scaricato da Internet e potrebbe essere pericoloso, proponendo di continuare a eseguirlo o di chiuderlo.

Una vulnerabilità in WinRAR consentiva di aggirare l’avviso MotW quando si apriva un collegamento simbolico (symlink) che puntava a un file eseguibile.

Di conseguenza, un aggressore potrebbe eseguire codice arbitrario utilizzando un collegamento simbolico appositamente preparato. Si noti che un collegamento simbolico può essere creato solo in Windows con diritti di amministratore.

Inoltre, a partire dalla versione 7.10, WinRAR è in grado di rimuovere le informazioni MotW (come i dati sulla posizione e l’indirizzo IP) dal flusso di dati che potrebbero rappresentare una minaccia per la privacy.

L'articolo Una falla su WinRAR è stata corretta! Aggirava la sicurezza di Windows per eseguire codice malevolo! proviene da il blog della sicurezza informatica.

We’ve seen tons of projects lately using the ESP32-C3, and for good reason. The microcontroller has a lot to offer, and the current crop of tiny dev boards sporting it make adding a lot of compute power to even the smallest projects dead easy. Not so nice, though, is the poor WiFi performance of some of these boards, which [Peter Neufeld] addresses with this quick and easy antenna.

There are currently a lot of variations of the ESP32-C3 out there, sometimes available for a buck a piece from the usual suspects. Designs vary, but a lot of them seem to sport a CA-C03 ceramic chip antenna at one end of the board to save space. Unfortunately, the lack of free space around the antenna makes for poor RF performance. [Peter]’s solution is a simple antenna made from a 31-mm length of silver wire. One end of the wire is formed into a loop by wrapping it around a 5-mm drill bit and bending it perpendicular to the remaining tail. The loop is then opened up a bit so it can bridge the length of the ceramic chip antenna and then soldered across it. That’s all it takes to vastly improve performance as measured by [Peter]’s custom RSSI logger — anywhere from 6 to 10 dBm better. You don’t even need to remove the OEM antenna.

The video below, by [Circuit Helper], picks up on [Peter]’s work and puts several antenna variants to further testing. He gets similarly dramatic results, with 20 dBm improvement in some cases. He does note that the size of the antenna can be a detriment to a project that needs a really compact MCU and tries coiling up the antenna, with limited success. He also did a little testing to come up with an optimal length of 34 mm for the main element of the antenna.

There seems to be a lot of room for experimentation here. We wonder how mounting the antenna with the loop perpendicular to the board and the main element sticking out lengthwise would work. We’d love to hear about your experiments, so make sure to ping us with your findings.

youtube.com/embed/UHTdhCrSA3g?…

hackaday.com/2025/04/07/simple…