If you’re a fan of the Fallout series of games, you’ve probably come across a Radiation King radio before. In the game, that is, they don’t exist in real life. Which is precisely why [zapwizard] built one!

Externally, the design faithfully recreates the mid-century design of the Radiation King. It’s got the louvered venting on the front panel, the chunky knobs, and a lovely analog needle dial, too. Inside, it’s got a Raspberry Pi Zero which is charged with running the show and dealing with audio playback. It’s paired with a Pi Pico, which handles other interface tasks.

It might seem simple, but the details are what really make this thing shine. It doesn’t just play music, it runs a series of simulated radio stations which you can “tune into” using the radio dial. [zapwizard dives into how it all works—from the air core motor behind the simulated tuning dial, to the mixing of music and simulated static. It’s really worth digging into if you like building retro-styled equipment that feels more like the real thing.

It’s not just a prop—it’s a fully-functional item from the Fallout universe, made manifest. You know how much we love those. If you’re cooking up your own post-apocalyptic hacks, fictional or non-fictional, don’t hesitate to let us know.

hackaday.com/2024/12/10/creati…

Having a penchant for cheap second-hand cameras can lead to all manner of interesting equipment. You never know what the next second-hand store will provide, and thus everything from good quality rangefinders an SLRs to handheld snapshot cameras can be yours for what is often a very acceptable price. Most old cameras can use modern film in some way, wither directly or through some manner of adapter, but there is one format that has no modern equivalent and for which refilling a cartridge might be difficult. I’m talking about Kodak’s Disc, the super-compact and convenient snapshot cameras which were their Next Big Thing in the early 1980s. In finding out its history and ultimate fate, I’m surprised to find that it introduced some photographic technologies we all still use today.

Easy Photography For The 1980s

Since their inception, Kodak specialised in easy-to-use consumer cameras and films. While almost all the film formats you can think of were created by the company, their quest was always for a super-convenient product which didn’t require any fiddling about to take photographs. By the 1960s this had given us all-in-one cartridge films and cameras such as the Instamatic series, but their enclosed rolls of conventional film made them bulkier than required. The new camera and film system for the 1980s would replace roll film entirely, replacing it with a disc of film that would be rotated between shots to line up the lens on an new unexposed part of its surface. Thus the film cartridge would be compact and thinner than any other, and the cameras could be smaller, thinner, and lighter too. The Disc format was launched in 1982, and the glossy TV adverts extolled both the svelteness of the cameras and the advanced technology they contained.
The Disc cartridge, with Fuji “HR” planar crystal film.
The film disc is about 65mm in diameter, with sixteen 10x8mm exposures spaced at every 24 degrees of rotation round its edge. It has a much thicker acetate backing than the more flexible roll film, with a set of sprocket-hole-like cutouts round its edge and a moulded plastic centre boss. The cassette is quite complex, having a protective low friction layer and a vacuum-formed lightproof film window cover and disc advancer inside the two injection moulded halves. Meanwhile the image size is significantly smaller than that of the 16mm 110 cartridge film or a 35mm frame, meaning that Disc films were the first to be released with Kodak’s new higher-resolution tabular grain emulsion. This film had the silver halide crystals aligned flat on the substrate, reducing light scattering.

Turning to the camera, for teardown purposes here we have a battered old Kodak 4000. This was the slightly fancier of the disc cameras at launch, but now they can easily be found for pennies in thrift stores. Opening it up is a case of gently easing the aluminum front panel away from the body, revealing all the internals. Once inside the camera, everything is automatic. On the left is the xenon flash tube, the flash capacitor, and a pair of Matsushita lithium batteries, in the middle the circuit board covered by a high voltage warning sticker, and on the right are the mechanical parts. If you teardown one of these for yourself, you’ll want to disconnect the battery as we did, and discharge that flash capacitor. Even four-decade-old lithium batteries can hold enough capacity to charge it, and at 200 volts it packs a punch.

A Lot Of Complexity For A Simple Product

This thing is a lot more complex than the 126 cameras it replaced.
Carefully unsoldering the connections and lifting the board from the camera, we find a mixture of through-hole and surface-mount parts. The flash circuit is conventional, a small single transistor inverter that’s responsible for the “Wheeee” sound you hear when cameras of that era are turned on. The rest of the circuit is interesting, because all the control and light metering circuitry is driven by an integrated circuit. Marked “ACP 152”, it has no makers mark other than stating it was manufactured in Malaysia, and all manner of online searches on the part number reveal nothing. If this camera had been made in 2002 it would certainly be a microcontroller, but in 1982 such a conclusion would be much less likely and would certainly have been central to their marketing if present. Looking at its support components I see no clock circuit or other likely microcontroller ancillaries, so my best guess is it’s an ASIC containing analogue and logic circuitry, forming part of a simple state machine along with the electromechanical cam arrangement in the mechanism.

On the right a small motor turns a wheel (the blue plastic part in the photographs) with that selection of cams that open the window in the film cartridge and cock the shutter, for which the release is electronic via a small electromagnet. One of the functions is to push up a pin which lifts part of the film window cover clear of its locking protrusion, allowing the film to be advanced and the window opened. The lens doesn’t look special but in fact it’s the part which has most relevance to some of the cameras you’ll use today, because it’s the first mass-produced aspherical plastic lens. To deliver as sharp an image as possible on the smaller negative they needed a lens which would minimise aberations, and given the compact size of the camera they couldn’t have a multi-element lens that poked out of the front. This was the solution, and it’s a technology that has had a massive effect on miniature cameras ever since.

Where They Pushed Convenience Too Far

Looking for the first time at the workings of a Disc camera then, it’s a beautiful piece of miniaturisation, but it’s undeniably a complex mechanism when compared to the Instamatic 126 cameras it replaced or the 35mm compact cameras which competed with it. The specialist electronics, the electronic shutter release, and all those mechanical parts are impressive, but there’s a lot in there for a consumer snapshot camera. In doing this teardown we start for the first time to gain an inkling of why the disc format never achieved the success Kodak evidently hoped for it, though it’s when we consider a typical Disc photo that the real reason for its failure emerges.
The size of the negative is especially obvious when looking at a developed film. D. Meyer, CC BY-SA 3.0.
The Disc’s tiny negative, when combined with the high-resolution film, gave a good quality image. But in those days when photographic prints were the medium through which people consumed their pictures, it was a this smaller negative which led to lower quality enlargements. To solve this problem Kodak sold a complete printing package to laboratories with an enlarger system specifically for Disc film, but many laboratories chose to use their existing equipment instead. The result was that the new cameras often generated disappointing-quality prints. By comparison a 35mm snapshot camera gave a much higher quality and had 36 pictures on a roll of film, so for all its sophistication and innovation the Disc format was not a success. By the 1990s the cameras were gone, and the film followed some time around the millennium. Kodak would try one last shot at ultimate film convenience in the mid 1990s with the Advanced Photo System, but by then the digital camera revolution was well under way.

Looking at the Disc camera here in 2024, it’s clearly a well designed item both mechanically and aesthetically. I have three of them on my bench, they still look sleek, and amazingly those four-decade-old lithium batteries still have enough power to run them. With hindsight it’s easy to say that its shortcomings should have been obvious, but I remember at the time they were seen as futuristic and the way forward. I didn’t buy one though, perhaps it says it all that they were way outside pocket-money prices. Maybe the real insight comes in using Disc to explain why Kodak are now a shadow of their former self; when the reason for extreme convenience in film photography was eclipsed by digital cameras they had nothing else to offer.

hackaday.com/2024/12/10/disc-f…

Negli ultimi anni, le botnet hanno rappresentato una delle minacce più insidiose e difficili da contrastare nel panorama della cybersicurezza. Tra queste, una delle più persistenti e sofisticate è senza dubbio Socks5Systemz, una botnet attiva sin dal 2013. Questa rete malevola alimenta un servizio proxy illegale noto come PROXY.AM, utilizzando dispositivi compromessi per fornire a criminali informatici una rete anonima con cui occultare le loro attività illecite.

Indagini attraverso la threat Intelligence permettono di comprendere meglio l’ampiezza di questa minaccia e i meccanismi alla base del suo funzionamento. Vediamo come questa botnet è strutturata, quali sono le sue implicazioni sulla sicurezza globale e perché rappresenta un rischio concreto e costante.

Cos’è una Botnet e Come Funziona Socks5Systemz

Una botnet è una rete di dispositivi infettati da malware e controllati da remoto da un attaccante, noto come botmaster. I dispositivi compromessi, spesso chiamati bot o zombie, possono includere computer, smartphone, router e persino dispositivi IoT. L’attaccante utilizza questa rete per svolgere attività malevole come inviare spam, lanciare attacchi DDoS o, come nel caso di Socks5Systemz, fornire servizi di proxy anonimi.

La botnet Socks5Systemz ha una caratteristica distintiva: trasforma i dispositivi infetti in nodi di uscita proxy. Ciò significa che il traffico internet dei cybercriminali può essere instradato attraverso questi dispositivi, rendendo estremamente difficile risalire alla vera origine degli attacchi. Questo tipo di infrastruttura è fondamentale per garantire l’anonimato degli attaccanti e rendere le loro attività quasi impossibili da tracciare.

Il Servizio Proxy Illegale PROXY.AM

La botnet Socks5Systemz supporta il funzionamento di un servizio proxy illegale noto come PROXY.AM. Secondo il rapporto di The Hacker News, questo servizio offre ai cybercriminali l’accesso a proxy privati e anonimi dietro pagamento di una quota mensile che varia tra 126 e 700 dollari. PROXY.AM pubblicizza i suoi servizi come:

• “Elite” proxy server, garantendo elevate prestazioni e anonimato.
• “Privati” e “anonimi”, assicurando che le connessioni siano sicure e non tracciabili.

I clienti di PROXY.AM possono utilizzare questi proxy per nascondere le proprie attività malevole, come campagne di phishing, furti di dati, frodi online e diffusione di malware.

Declino e Rinascita della Botnet

Dal 2013, la botnet ha subito diverse trasformazioni. Inizialmente, contava circa 250.000 dispositivi compromessi. Tuttavia, grazie alle azioni delle autorità e alla perdita parziale di controllo da parte dei suoi gestori, la rete si è ridotta. Attualmente, si stima che la botnet sia composta da circa 85.000 dispositivi infetti, che continuano a essere utilizzati come nodi di uscita per il servizio PROXY.AM. Questo declino è stato seguito da una fase di ricostruzione, dimostrando la resilienza e la capacità di adattamento dei botmaster.

Analisi della Struttura della Botnet

L’immagine allegata fornisce una chiara rappresentazione visiva delle interconnessioni tra i vari elementi della botnet. Vediamo alcuni punti salienti:

Nodo Centrale: Socks5Systemz

• Socks5Systemz è il fulcro della rete, il nodo principale da cui si diramano numerose connessioni.
• Questo nodo controlla e gestisce il traffico che viene instradato attraverso i dispositivi infetti.

Servizi Collegati

• PROXY.AM e proxyam.one sono servizi direttamente collegati a Socks5Systemz. Essi rappresentano l’infrastruttura utilizzata per vendere accessi proxy ai criminali informatici.
• Questi servizi sono indicati come fonti di traffico malevolo, offrendo connessioni anonime e private per attività illegali.

Paesi Colpiti

Dalla mappa della rete, è evidente che la botnet colpisce dispositivi in diverse parti del mondo. I paesi più colpiti includono:

• India
• Indonesia
• Ucraina
• Brasile
• Bangladesh
• Federazione Russa
• Messico
• Stati Uniti
• Nigeria

Questi paesi fungono da base per i dispositivi compromessi che vengono utilizzati come nodi proxy, permettendo al traffico malevolo di apparire come proveniente da queste aree.

Implicazioni per la Sicurezza Informatica

L’esistenza di una botnet come Socks5Systemz evidenzia diverse criticità e implicazioni per la sicurezza globale:

1. Difficoltà nel Tracciamento degli Attaccanti:
   Poiché gli attaccanti utilizzano dispositivi compromessi come nodi di uscita proxy, risalire alla loro identità diventa estremamente difficile. Questo complica le indagini e favorisce l’impunità dei cybercriminali.
2. Frode e Criminalità Organizzata:
   Servizi come PROXY.AM facilitano attività criminali su larga scala, inclusi attacchi di phishing, frodi finanziarie e campagne di spam. Il costo relativamente basso per l’accesso a questi servizi rende la criminalità informatica accessibile anche a individui con risorse limitate.
3. Rischi per le Vittime Inconsapevoli:
   I dispositivi compromessi spesso appartengono a utenti ignari. Questi dispositivi possono essere utilizzati per scopi malevoli senza che i proprietari se ne accorgano, esponendoli a potenziali conseguenze legali e compromettendo la loro privacy.
4. Minacce per le Aziende:
   Le aziende possono subire attacchi originati da queste reti proxy, mettendo a rischio dati sensibili, reputazione e stabilità operativa.

Come Proteggersi dalle Botnet

Per contrastare minacce come Socks5Systemz, è fondamentale adottare buone pratiche di sicurezza informatica:

• Mantenere sempre aggiornati i sistemi operativi e il software per ridurre le vulnerabilità sfruttabili dai malware.
• Utilizzare antivirus e soluzioni di sicurezza avanzate per rilevare e bloccare attività sospette.
• Monitorare il traffico di rete per individuare comportamenti anomali, come connessioni non autorizzate a server esterni.
• Eseguire backup regolari dei dati per mitigare i danni in caso di compromissione.
• Educare gli utenti sui rischi delle email di phishing e dei download non sicuri.

La botnet Socks5Systemz e il servizio proxy illegale PROXY.AM rappresentano una minaccia persistente e sofisticata per la sicurezza informatica globale. La capacità di questa rete di adattarsi e sopravvivere nel tempo dimostra quanto sia difficile contrastare efficacemente queste infrastrutture malevole. La collaborazione internazionale e l’adozione di misure preventive sono essenziali per mitigare l’impatto di queste minacce e proteggere utenti e aziende dagli attacchi dei cybercriminali.

L'articolo Socks5Systemz : 250.000 dispositivi nella botnet che fornisce proxy anonimi ai criminali proviene da il blog della sicurezza informatica.

Sintesi

• Da fine giugno a metà luglio 2024, un presunto autore di minacce con legami con la Cina ha preso di mira grandi fornitori di servizi IT B2B nell’Europa meridionale, un cluster di attività che abbiamo soprannominato “Operation Digital Eye”.
• Le intrusioni avrebbero potuto consentire agli avversari di stabilire punti di appoggio strategici e compromettere le entità a valle. SentinelLabs e Tinexta Cyber ​​hanno rilevato e interrotto le attività nelle loro fasi iniziali.
• Gli autori della minaccia hanno utilizzato una capacità di movimento laterale indicativa della presenza di un fornitore condiviso o di un quartiermastro digitale che si occupa della manutenzione e del provisioning degli strumenti all’interno dell’ecosistema APT cinese.
• Gli autori della minaccia hanno sfruttato in modo improprio Visual Studio Code e l’infrastruttura Microsoft Azure per scopi C2, tentando di eludere il rilevamento facendo apparire legittime le attività dannose.
• La nostra visibilità suggerisce che l’abuso di Visual Studio Code per scopi C2 era stato relativamente raro in natura prima di questa campagna. Operation Digital Eye segna il primo caso di un presunto gruppo APT cinese che utilizza questa tecnica che abbiamo osservato direttamente.

Panoramica

Tinexta Cyber ​​e SentinelLabs hanno monitorato le attività di minaccia che hanno preso di mira i provider di servizi IT business-to-business nell’Europa meridionale. Sulla base del malware, dell’infrastruttura, delle tecniche utilizzate, della vittimologia e della tempistica delle attività, è altamente probabile che questi attacchi siano stati condotti da un attore di minacce China-nexus con motivazioni di cyberspionaggio.

Le relazioni tra i paesi europei e la Cina sono complesse, caratterizzate da cooperazione, competizione e tensioni sottostanti in settori quali commercio, investimenti e tecnologia. I gruppi di cyberspionaggio sospetti legati alla Cina prendono spesso di mira organizzazioni pubbliche e private in tutta Europa per raccogliere informazioni strategiche, ottenere vantaggi competitivi e promuovere interessi geopolitici, economici e tecnologici.

La campagna di attacco, che è stata soprannominata Operation Digital Eye, si è svolta da fine giugno a metà luglio 2024, per una durata di circa tre settimane. Le organizzazioni prese di mira forniscono soluzioni per la gestione di dati, infrastrutture e sicurezza informatica per clienti di vari settori, il che le rende obiettivi primari per gli attori del cyberspionaggio.

Una presenza sostenuta all’interno di queste organizzazioni fornirebbe agli attori di Operation Digital Eye un punto d’appoggio strategico, creando opportunità di intrusioni nella supply chain digitale e consentendo loro di esercitare il controllo sui processi IT critici all’interno delle entità compromesse a valle. Gli attacchi sono stati rilevati e interrotti durante le loro fasi iniziali.

Il gruppo esatto dietro Operation Digital Eye rimane poco chiaro a causa dell’ampia condivisione di malware, manuali operativi e processi di gestione delle infrastrutture all’interno del panorama delle minacce cinesi. Gli autori delle minacce hanno utilizzato una capacità pass-the-hash, probabilmente proveniente dalla stessa fonte delle modifiche Mimikatz personalizzate closed-source osservate esclusivamente in presunte attività di cyberspionaggio cinese, come Operation Soft Cell e Operation Tainted Love. Il malware e gli strumenti utilizzati in queste campagne sono stati collegati a diversi gruppi APT cinesi distinti. Ci riferiamo collettivamente a queste modifiche Mimikatz personalizzate come mimCN.

L’evoluzione a lungo termine e il versioning dei campioni mimCN, insieme a caratteristiche notevoli come le istruzioni rilevate per un team separato di operatori, suggeriscono il coinvolgimento di un fornitore condiviso o di un quartier generale digitale responsabile della manutenzione attiva e della fornitura di strumenti. Questa funzione all’interno dell’ecosistema APT cinese, corroborata dalla fuga di notizie I-Soon, probabilmente svolge un ruolo chiave nel facilitare le operazioni di cyberspionaggio China-nexus.

L’abuso di Visual Studio Code Remote Tunnels per scopi C2 è centrale in questa campagna. Originariamente progettata per abilitare lo sviluppo remoto, questa tecnologia fornisce un accesso completo agli endpoint, inclusa l’esecuzione dei comandi e la manipolazione del file system. Inoltre, il tunneling di Visual Studio Code coinvolge eseguibili firmati da Microsoft e dall’infrastruttura di rete di Microsoft Azure, entrambi spesso non monitorati attentamente e in genere consentiti dai controlli delle applicazioni e dalle regole del firewall. Di conseguenza, questa tecnica potrebbe essere difficile da rilevare e potrebbe eludere le difese di sicurezza. In combinazione con l’accesso completo agli endpoint che fornisce, ciò rende il tunneling di Visual Studio Code una capacità attraente e potente da sfruttare per gli attori delle minacce.

Tinexta Cyber ​​e SentinelLabs hanno informato Microsoft dell’abuso di Visual Studio Code e dell’infrastruttura di Azure in relazione all’operazione Digital Eye.

Vettore di infezione e progressione dell’attacco

Gli aggressori hanno utilizzato l’iniezione di SQL (Structured Query Language) come vettore di accesso iniziale per infiltrarsi nei server Web e nei database connessi a Internet. Le intestazioni User-Agent delle richieste nei registri del traffico Web recuperate indicano che gli aggressori hanno utilizzato lo strumento sqlmap per automatizzare il rilevamento e lo sfruttamento delle vulnerabilità di iniezione di SQL.

Per stabilire un punto d’appoggio iniziale e mantenere un accesso persistente, gli autori della minaccia hanno distribuito una webshell basata su PHP. Relativamente semplice nella progettazione e nell’implementazione, la webshell utilizza la funzione assert per eseguire il codice PHP fornito dall’aggressore. La sua implementazione non assomiglia ad altre webshell con cui si ha familiarità. A questa webshell è stato dato il di PHPsert.

Per mascherare i file che implementano PHPsert e tentare di eludere il rilevamento in base all’attività del file system, gli aggressori hanno utilizzato nomi personalizzati su misura per gli ambienti infiltrati, facendo apparire legittimi i nomi dei file. Ciò includeva l’utilizzo della lingua locale e di termini allineati al contesto tecnologico delle organizzazioni prese di mira.

Dopo aver stabilito un punto d’appoggio iniziale, gli autori della minaccia hanno condotto una ricognizione utilizzando una varietà di strumenti di terze parti e utilità Windows integrate, come GetUserInfo e ping. Hanno anche distribuito lo strumento local.exe, che fa parte del Microsoft Windows NT Resource Kit e consente di visualizzare le appartenenze ai gruppi di utenti.

Per rubare le credenziali, gli aggressori hanno utilizzato lo strumento CreateDump per estrarre la memoria allocata al processo Local Security Authority Subsystem Service (LSASS) ed esfiltrare le credenziali. CreateDump fa parte della distribuzione di Microsoft .NET Framework. Gli autori della minaccia hanno anche recuperato le credenziali dal database Security Account Manager (SAM), che hanno estratto dal Registro di sistema di Windows utilizzando il comando reg save.

Gli attori della minaccia spesso nominano i file che distribuiscono utilizzando il pattern do.*. Esempi includono do.log (output dai comandi ping), do.exe (lo strumento CreateDump) e do.bat(uno script che esegue ed elimina l’eseguibile CreateDump).

Dagli endpoint inizialmente compromessi, gli aggressori si sono spostati lateralmente attraverso la rete interna, utilizzando principalmente connessioni RDP (Remote Desktop Protocol) e tecniche pass-the-hash. Per gli attacchi pass-the-hash, hanno utilizzato una versione modificata personalizzata di Mimikatz, implementata in un eseguibile denominato bK2o.exe.

Oltre alla webshell PHPsert, gli autori della minaccia hanno utilizzato due metodi per l’esecuzione di comandi remoti: l’accesso SSH, abilitato authorized_keys distribuendo file contenenti chiavi pubbliche per l’autenticazione, e Visual Studio Code Remote Tunnels.

Visual Studio Code Remote Tunnels, basato sulla tecnologia dev tunnel di Microsoft, consente agli sviluppatori di accedere e lavorare su sistemi remoti. Questo accesso include il terminale di comando e il file system, consentendo attività come l’esecuzione di comandi e la modifica di file. Gli attori di Operation Digital Eye hanno abusato di questa funzionalità per mantenere un accesso backdoor persistente ai sistemi compromessi.

Nel tentativo di eludere il rilevamento basato sull’attività del file system, gli autori della minaccia hanno utilizzato %System[url=https://www.redhotcyber.com/post/la-storia-della-superuser-la-storia-di-root]Root[/url]%\Temp e %ProgramData%\Visual Studio Code come directory di lavoro principali per l’archiviazione di strumenti e dati. %SystemRoot%\Temp è una directory in cui Windows archivia i file temporanei e spesso viene monitorata con minore attenzione. %ProgramData%\Visual Studio Code doveva apparire come una directory legittima associata a Visual Studio Code.

Le intrusioni sono state rilevate e interrotte prima che gli aggressori potessero procedere con fasi successive, come l’esfiltrazione dei dati.

Abuso di Visual Studio Code

Gli autori della minaccia hanno distribuito un eseguibile portatile di Visual Studio Code denominato code.exe, che è firmato digitalmente da Microsoft, e hanno utilizzato lo strumento winsw per eseguirlo come servizio Windows. Il file di configurazione winsw che è stato recuperato indica che gli aggressori hanno creato un servizio denominato Visual Studio Code Service, che viene eseguito code.exe con il parametro tunnel della riga di comando a ogni avvio del sistema.

Il file di configurazione rivela un approccio pragmatico da parte degli attori della minaccia, che hanno probabilmente modificato una configurazione disponibile al pubblico winsw. Ciò è suggerito dall’uso dell’identificativo myapp del servizio e della directory %BASE%\logs per l’archiviazione dei file winsw di registro, entrambi presenti nel file di configurazione pubblico e in quello recuperato.
file di configurazione winsw
Il parametro tunnel ordina a Visual Studio Code di creare un tunnel di sviluppo e di agire come server a cui gli utenti remoti possono connettersi. Dopo l’autenticazione al tunnel con un account Microsoft o GitHub, gli utenti remoti possono accedere all’endpoint che esegue il server di Visual Studio Code, tramite l’applicazione desktop di Visual Studio Code o la versione basata su browser, vscode.dev.

Dopo aver creato i tunnel di sviluppo, gli autori della minaccia si sono autenticati tramite account GitHub e hanno avuto accesso agli endpoint compromessi tramite la versione basata su browser di Visual Studio Code. Non si sa ancora se gli autori della minaccia abbiano utilizzato l’account GitHub auto registrato o compromesso per autenticarsi nei tunnel.

Infrastruttura di rete

Gli autori dell’Operazione Digital Eye hanno utilizzato infrastrutture situate esclusivamente in Europa, provenienti dal provider M247 e dalla piattaforma Cloud Microsoft Azure. Ciò faceva probabilmente parte di una strategia deliberata. Poiché le organizzazioni prese di mira hanno sede e operano in Europa, gli aggressori potrebbero aver cercato di ridurre al minimo i sospetti allineando la posizione della loro infrastruttura a quella dei loro obiettivi. Inoltre, l’infrastruttura Cloud comunemente utilizzata nei flussi di lavoro IT legittimi, come Microsoft Azure, spesso non è monitorata attentamente ed è frequentemente consentita tramite restrizioni firewall. Sfruttando l’infrastruttura Cloud pubblica per scopi dannosi, gli aggressori hanno fatto apparire legittimo il traffico, il che può essere difficile da rilevare e potrebbe eludere le difese di sicurezza.

Nelle fasi iniziali degli attacchi, gli autori della minaccia hanno utilizzato il server con indirizzo IP 146.70.161[.]78 per stabilire l’accesso iniziale rilevando e sfruttando le vulnerabilità di SQL injection, e il server con indirizzo IP 185.76.78[.]117 per gestire la webshell PHPsert. Entrambi gli indirizzi IP sono assegnati al provider di infrastrutture M247 e si trovano rispettivamente in Polonia e Italia.

Nelle fasi successive degli attacchi, gli autori della minaccia hanno utilizzato il server con indirizzo IP 4.232.170[.]137 per scopi C2 quando accedevano da remoto agli endpoint compromessi tramite il protocollo SSH. Questo server fa parte dell’infrastruttura Azure di Microsoft nella region del data center ( intervallo IP Azure :, tag di servizio 🙂 . Al momento non si hanno informazioni sul fatto che gli autori della minaccia abbiano utilizzato credenziali Azure auto-registrate o compromesse per accedere e gestire le risorse e 4.232.128[.]0/18 i servizi Azure learn.microsoft.com/en-us/azur…AzureCloud.italynorth.

L’abuso del tunneling di Visual Studio Code per scopi C2 si basa anche sull’infrastruttura di Microsoft Azure. La creazione e l’hosting di un tunnel di sviluppo richiedono la connessione a un server Microsoft Azure con un dominio di *.[clusterID].devtunnels.ms, dove [clusterID]corrisponde alla regione di Azure dell’endpoint che esegue il server di Visual Studio Code, come euw per West Europe. In Operation Digital Eye, la creazione di tunnel di sviluppo ha comportato l’instaurazione di connessioni al server con il dominio [REDACTED].euw.devtunnels[.]ms, che si è risolto nell’indirizzo IP 20.103.221[.]187. Questo server fa parte dell’infrastruttura di Microsoft Azure nella regione West Europe del data center (intervallo IP di Azure: 20.103.0[.]0/16, tag di servizio: AzureCloud.westeurope).

La Webshell PHPsert

PHPsert esegue il codice PHP fornito dall’attaccante utilizzando la funzione assert, che, nelle versioni PHP precedenti alla 8.0.0, interpreta ed esegue stringhe di parametri come codice PHP. Per ostacolare l’analisi statica ed eludere il rilevamento, la webshell utilizza varie tecniche di offuscamento del codice, tra cui la codifica XOR, la rappresentazione dei caratteri esadecimali, la concatenazione di stringhe e nomi di variabili randomizzati.
Implementazione PHPsert
La webshell PHPsert funziona come segue:

• PHPsert istanzia una classe con un singolo metodo regolare, che decodifica tramite XOR e concatena i caratteri esadecimali per generare la stringa assert. Il distruttore della classe (il metodo magico __destruct) usa questa stringa per invocare la funzione assert, passando il codice PHP fornito dall’attaccante come parametro.
• La webshell recupera il codice PHP fornito dall’attaccante da un parametro di richiesta HTTP POST, ad esempio, momomomo. Se il parametro id è presente nell’URL della richiesta, PHPsert decodifica il valore codificato in Base64 del parametro POST. Se il parametro id è assente, la webshell utilizza il valore raw del parametro.
• Infine, quando PHPsert termina l’esecuzione, viene richiamato il distruttore della classe, che a sua volta richiama la funzione assert per eseguire il codice PHP fornito dall’aggressore.

Abbiamo identificato diverse varianti di PHPsert, che sono state inviate a piattaforme di condivisione di malware da maggio 2023, da varie località tra cui Giappone, Singapore, Perù, Taiwan, Iran, Corea e Filippine. Queste varianti mostrano solo piccole differenze nella loro implementazione, come nomi di variabili e parametri di richiesta POST come mr6, brute, e qq. L’analisi suggerisce che PHPsert è distribuito non solo come file PHP autonomo, ma è anche integrato in vari tipi di contenuti Web, tra cui editor di testo Web e sistemi di gestione dei contenuti.

Una delle varianti di PHPsert contiene frammenti di codice commentati in cinese semplificato che descrivono il codice vicino. Questi commenti e frammenti non sono presenti nelle versioni di PHPsert osservate in Operation Digital Eye, né in nessuna delle altre varianti della webshell. Di seguito sono riportati i commenti del codice, tutti tradotti automaticamente dal cinese semplificato:

• 结果是"assert", che si traduce in The result is "assert".
• 验证 $this->rg 是否安全, che si traduce in Verify that $this->rg is safe.
• 验证和清理用户输入, che si traduce in Validating and sanitizing user input.

Frammenti di codice PHPsert con commenti in cinese
La presenza di questi commenti, insieme agli indicatori di codice rimosso nelle varianti di PHPsert, suggerisce il potenziale coinvolgimento di sviluppatori di lingua cinese che potrebbero aver semplificato la logica di esecuzione della webshell.

Capacità di Pass-the-Hash

L’eseguibile bK2o.exe (una versione modificata personalizzata di Mimikatz utilizzata in Operation Digital Eye per gli attacchi pass-the-hash) consente l’esecuzione di processi all’interno del contesto di sicurezza di un utente sfruttando un hash di password NTLM compromesso, bypassando la necessità della password effettiva dell’utente. Per ottenere ciò, bK2o.exe sovrascrive la memoria del processo LSASS. Lo strumento supporta i seguenti parametri della riga di comando:

• /c: Processo da eseguire; cmd.exe se non specificato, il valore predefinito è .
• /u: Nome utente dell’utente.
• /d: Il dominio dell’utente.
• /h: Hash della password NTLM.

bK2o.exe implementa una tecnica pass-the-hash sovrascrivendo la memoria LSASS in modo simile a Mimikatz, con la sua implementazione parzialmente sovrapposta alle funzioni Mimikatz come kuhl_m_sekurlsa_pth_luide kuhl_m_sekurlsa_msv_enum_cred_callback_pth. In sintesi, bK2o.exe esegue quanto segue:

• Crea un processo sospeso in una nuova sessione di accesso, specificando il processo fornito dall’aggressore, il nome utente, il dominio e una password vuota.
• In base all’identificatore univoco locale (LUID) della sessione, individua ed estrae dalla memoria del processo LSASS un blob di dati di credenziali crittografati contenente l’hash NTLM dell’utente e le chiavi di crittografia necessarie per decrittografare il blob.
• Decrittografa il blob di dati, sovrascrive l’hash NTLM dell’utente con l’hash fornito dall’aggressore e crittografa nuovamente il blob di dati.
• Riprende il processo sospeso.

bK2o.exe crea un nuovo processo e recupera il LUID della sessione di accesso
Per navigare nella memoria LSASS, bK2o.exe usa le firme di codice, rappresentate come sequenze di byte in formato esadecimale. Queste sequenze corrispondono a istruzioni LSASS note, che servono come punti di navigazione all’interno della memoria.

Per ostacolare l’analisi statica ed eludere il rilevamento, bK2o.exe offusca le firme del codice e le stringhe costruendole dinamicamente sullo stack in fase di esecuzione, anziché memorizzarle come dati statici.
bK2o.exe costruisce la firma del codice 33 ff 41 89 37 4c 8b f3 […] sullo stack

Dall’operazione Digital Eye a Tainted Love e Soft Cell

Sono stati quindi identificati altri due campioni e caricati su piattaforme di condivisione malware che costruiscono firme di codice sullo stack, che si chiamano wsx1.exe e wsx1.exe. Come bK2o.exe, entrambi wsx.exe e wsx1.exe sono versioni personalizzate modificate di Mimikatz e implementano la funzionalità pass-the-hash.

Segmenti di codice sostanziali in wsx.exe e wsx1.exe, che implementano la costruzione di firme di codice sullo stack, si sovrappongono a quelli in bK2o.exe, includendo dimensioni mov e valori di operandi di istruzione identici. Ciò suggerisce che wsx.exe, wsx1.exe, e bK2o.exe sono molto probabilmente derivati ​​dalla stessa fonte.
Segmento di codice in bK2o.exe Segmento di codice in wsx1.exe
A loro volta, si è osservato sovrapposizioni tra i componenti wsx.exe, wsx1.exe e mim221. mim221 è uno strumento che esegue un “antifurto” di credenziali ben gestito e con più versioni, nonché una versione modificata personalizzata di Mimikatz, che SentinelLabs ha osservato nell’operazione Tainted Love, una campagna che ha preso di mira i fornitori di servizi di telecomunicazioni in Medio Oriente nel 2023.

Si è quindi attribuito Operation Tainted Love a un presunto gruppo cinese di cyberspionaggio all’interno del nesso tra Granite Typhoon (precedentemente noto come Gallium) e APT41, pur riconoscendo la possibilità di condivisione di strumenti tra attori di minacce sponsorizzati dallo stato cinese e il potenziale coinvolgimento di un fornitore condiviso o di un quartiermastro digitale. Si sta valutando che mim221 rappresenti un’evoluzione degli strumenti associati a Operation Soft Cell, come simplify_32.exe . Operation Soft Cell, che ha preso di mira i provider di telecomunicazioni nel 2017 e nel 2018, è stata collegata a Granite Typhoon e sono state suggerite anche possibili connessioni tra gli attori di Soft Cell e APT41.

mim221 ha un’architettura multi-componente, con un singolo eseguibile che organizza tre componenti — pc.dll, AddSecurityPackage64.dll, e getHashFlsa64.dll— usando tecniche come la decrittazione, l’iniezione e il caricamento di immagini riflettenti. Questi componenti condividono diverse sovrapposizioni con bK2o.exe, wsx.exe, e wsx1.exe.

Per ostacolare l’analisi statica, alcuni componenti mim221 offuscano anche le stringhe costruendole sullo stack in fase di esecuzione. Inoltre, i componenti mim221 AddSecurityPackage64.dlle getHashFlsa64.dll implementano la registrazione degli errori simile a quella di wsx.exe e wsx1.exe, inclusi messaggi di errore personalizzati identici, un formato di output coerente e gli stessi errori in lingua inglese.
Messaggi di errore in wsx.exe e wsx1.exe
Inoltre, le informazioni RTTI (Run-Time Type Information) memorizzate in wsx.exe, wsx1.exe, e nel componente mim221 getHashFlsa64.dll rivelano che classi con gli stessi nomi sono dichiarate in questi eseguibili. Non abbiamo osservato questi nomi di classe in strumenti open source o disponibili al pubblico.

L'articolo Operation Digital Eye: il primo attacco cinese che sfrutta Visual Studio Code come C2 proviene da il blog della sicurezza informatica.

Have you ever wished for easy mouse controls to go along with your VR headset experience? Or maybe you just want a cooler way to mouse in general. In any case, look no further than [rafgaj78]’s Bluetooth Mouse Ring project.

This is version two, which of course comes with several improvements over version one. The biggest change is from tactile buttons to a joystick input. [rafgaj78] also did away with the power switch, using deep-sleep mode instead. Version two is easier to assemble and offers improved ergonomics, as well as a range of ring sizes.

Like the first version, this ring runs on a Seeed Xiao nRF52840 and is programmed in CircuitPython. There are two modes to choose from. In one mode, the joystick does left and right mouse click and wheel up and down, while the push action recovers the micro from deep sleep. In the other mode, the joystick axis is a mouse pointer mover, and you push down to left click.

We really like this sleek design, and [rafgaj78] has great instructions if you want to build your own. This isn’t the first cool mouse ring we’ve seen, and it certainly won’t be the last.

hackaday.com/2024/12/10/update…

"Non è possibile". Due ragazze si stringono su un telefonino, smettendo per un attimo di saltellare per difendersi dal freddo della sera di Seoul. Sul piccolo schermo, vanno in onda le immagini in diretta dei parlamentari del Partito del Potere Popolare (PPP) che se ne vanno.

Dopo aver votato contro l'istituzione di una commissione d'inchiesta speciale sulla first lady Kim Keon-hee, lasciano l'aula proprio mentre l'Assemblea nazionale è chiamata a esprimersi sul destino di Yoon Suk-yeol, il presidente che ha osato imporre la prima legge marziale dell'era democratica della Corea del Sud. Le sedie del partito di governo sono abbandonate, tranne quella di Ahn Cheol-soo, tre volte candidato alle presidenziali per il PPP, l'unico a restare. Il palazzo simbolo della democrazia sudcoreana resta mezzo vuoto.

valigiablu.it/corea-del-sud-im…

@Politica interna, europea e internazionale

La lezione della Corea del Sud: la memoria storica dei nonni sfida il potere militare e salva la democrazia

Il tentativo del presidente sudcoreano Yoon Suk-yeol di imporre la legge marziale ha evocato i traumi della dittatura militare degli anni ’80.

^{Lorenzo Lamperti (Valigia Blu)}

L'idea di Quintarelli @quinta :ubuntu: di proporre il software installato sui propri dispositivi mi e' tornata utile, spero torni utile la mia.

Mobile Android

Calendario: Etar
Mail: K-9, Thunderbird
Task&Note: OpenTask, JTX Board
SMS: QKSMS
Contatti: Simple Contact Pro
Bookmark sync: XBrowserSync, Floocus, Firefox
Home automation client: HomeAssistant client, Home bridge client
App store: Aurora store, App Lounge, F-Droid, GPlay
Audio&Videoconferenze: Teams, Google chat
Galleria Foto: Aves Libre
Grafica: Linwood Butterfly Nightly (disegno mano libera)
Browser: Firefox e Focus , Kiwi Browser, LibreWolf, DuckDuckGo, Bromite
Motore ricerca: DuckDuckGo, Qwant
Meteo: MeteoAM, Weawow, Breezy weather
Chat: Element, Deltachat, Fluffychat, WA
Cloud: Infomaniak Kdrive, Webdav, Nextcloud e/os
File manager: Material File
Identità digitale: Spid
Condivisione file local network: Warpinator , KDE connect
Mappe: GMaps, Organic Maps
Editor OSM : Vespucci
Fediverso: Racoon, Phanpy, Browser
VideoMusic&Radio streaming: VLC, Radiodroid
Navigatore: Waze, MagicEarth, GMaps
Desktop remoto: NoMachine (client)
2FA authenticator: Aegis, Google Authenticator, Fortitoken, Bitwarden
Password Manager: Keepass2Android, Nextcloud password
Ebook/PDF reader: Librera FD
News: Flym (era un bel reader RSS ormai archiviato)
Podcast: AntennaPod
QR Code reader: QR Scanner
Sincronizzatore CalDav/CardDAV: DAVx5
Tastiere: HeliBoard
Tool di rete: LTE Discovery, ConnectBot (ssh), Duorem (wakeOnLan)
VPN: OpenVPN, Netbird, Forticlient
Altro : BatteryBot

Personal Computer

Hardware: MinisForum
OS: LinuMint 22 Cinnamon
Backup: Backup Tool, TimeShift, rsync locale, Foxclone, CloneZilla
Browsers: Librewolf, Firefox
Chat: WA
Grafica: XnView MP
Mail/calendar/contacts: Thunderbird
VideoMusic&Radio streaming: VLC
Office: Libre Office
Password manager: KeepassXC, Nextcloud password
Cloud: Infomaniak Kdrive, Webdav, Nextcloud e/os
VPN: OpenVPN, Netbird, Forticlient
Desktop remoto: Remmina, NoMachine (server/client)

Rasperry 4: Home Assistant server

Server remoto

Hosting dirtynello.it su SupportHost: Mail (smtp, imap) Caldav, Carddav, Webdav,
Blog: WordPress
Forum: Php Forum
Foto: Pwigo

Server locale: Notebook Fujitszu Core 2 P8400

OS: Ubuntu server 22.04
Streaming Audio&Video: Minidlna
File system share: NFS
Home Automation: HomeBridge
Desktop remoto: Remmina, NoMachine (server/client)
Varie: AMule, Devolo, Virtualbox, LuckyBackup
VPN: OpenVPN, Netbird

Estensioni Browser: Floccus, KeepasXC, Keepa, Tranquility Reader, uBlock Origin, Ghost, Nextcloud password

Recentemente a Roma, presso il Centro Operativo DIA, si è tenuto un meeting della Rete @ON (Antimafia Operational Network) con i rappresentanti delle Forze di Polizia di Belgio, Germania, Francia, Paesi Bassi, Spagna ed EUROPOL che unitamente, all’Italia rappresentano il Core Group del Network.

La DIA (Direzione Investigativa Antimafia) sostiene con impegno l’azione di contrasto internazionale alle mafie, anche attraverso una mirata attività di cooperazione di Polizia per il contrasto del fenomeno transnazionale delle più pericolose organizzazioni criminali.

Il recente evento romano riveste un particolare valore simbolico in quanto ricaduto a 10 anni esatti dall’istituzione della Rete @ON, con la risoluzione del 4 dicembre 2014 del Consiglio dell’Unione Europea, promossa dalla DIA, quale risultato del Dipartimento della Pubblica Sicurezza nel corso del Semestre di Presidenza italiana di turno.

Lo scopo della Rete @ON è quello di rafforzare la cooperazione delle Forze di Polizia contro i principali gruppi della criminalità organizzata, anche di tipo mafioso, che hanno un impatto sulla sicurezza dei cittadini europei.

I gruppi criminali sottoposti ad attenzione sono italiani, di etnia albanese, euroasiatici, bande di motociclisti, ma anche quelli emergenti (Moccro Maffie, nigeriane ed altre) che pongono un serio rischio per la sicurezza e l’economia dell’UE.

La DIA ha promosso, ottenuto e gestito – quale leader dell’iniziativa – progressivi finanziamenti della Commissione UE per sostenere le attività operative delle 51 Agenzia di Polizia che aderiscono al Network in rappresentanza di 44 Paesi.

Ad oggi il Network sta supportando le Unità investigative partner in 216 investigazioni e ha finanziato 617 missioni in favore di oltre 2.500 investigatori che hanno portato all’arresto di 1.068 persone, inclusi 15 latitanti oltre al sequestro di circa 271 milioni di euro, droga, veicoli, beni di lusso ed armi.