Una vulnerabilità critica legata all’esecuzione di codice remoto (RCE), CVE-2023-20118, che colpisce i router Cisco Small Business, è diventata una nuova arma per i criminali informatici che distribuiscono webshell e payload backdoor avanzati. La vulnerabilità, causata da una convalida errata degli input nell’interfaccia di gestione basata sul Web dei router, consente ad aggressori non autenticati di eseguire comandi arbitrari inviando richieste HTTP appositamente predisposte.

Questa falla è stata sfruttata attivamente dalla fine di gennaio 2025, come osservato dal team Threat Detection & Research (TDR) di Sekoia.io. Tra il 22 e il 31 gennaio 2025, alcuni aggressori hanno sfruttato questa vulnerabilità per distribuire una webshell sui router Cisco presi di mira.

L’attacco è iniziato con comandi di ricognizione per confermare la presenza della webshell. In caso di assenza, gli aggressori la distribuivano incorporando payload dannosi nelle richieste HTTP. La webshell è stata codificata in Base64 e compressa tramite gzip prima di essere inserita nello script di autenticazione del router per garantirne la persistenza.

Per l’esecuzione dei comandi, la webshell distribuita richiedeva una chiave di autenticazione nelle intestazioni HTTP. Questo meccanismo ha consentito agli aggressori di mantenere il controllo sui dispositivi compromessi, riducendo al contempo l’esposizione al rilevamento. Ma l’analisi suggerisce che la webshell serviva principalmente come meccanismo di distribuzione di malware di seconda fase, poiché durante le scansioni sono stati identificati solo quattro router infetti.

Gli aggressori hanno coordinato attacchi simultanei da più indirizzi IP, il che è indicativo di attività botnet. Questi attacchi comportavano il download e l’esecuzione di uno script shell denominato “q” tramite FTP. Lo script installava un payload backdoor TLS cipher_log noto per l’architettura MIPS64.

Questa backdoor stabiliva canali di comunicazione criptati con server di comando e controllo (C2) e includeva meccanismi di persistenza e auto-occultamento. La botnet PolarEdge, così chiamata dai ricercatori per l’utilizzo dei certificati PolarSSL (ora Mbed TLS), ha infettato oltre 2.000 dispositivi in ​​tutto il mondo.

Oltre ai router Cisco, il malware prende di mira anche i dispositivi Asus, QNAP e Synology, utilizzando tecniche simili.

L'articolo Router Cisco sotto attacco: una RCE critica sta distribuendo malware avanzato! proviene da il blog della sicurezza informatica.

Specialisti di SecurityScorecard loro segnalano , un’enorme botnet composta da oltre 130.000 dispositivi compromessi sta conducendo attacchi di password spraying sugli account Microsoft 365 in tutto il mondo. L’attacco prende di mira il meccanismo di autenticazione legacy Basic Authentication (Basic Auth), consentendo agli aggressori di aggirare l’autenticazione a più fattori (MFA).

I criminali informatici utilizzano credenziali rubate tramite un keylogger. L’attacco viene eseguito tramite tentativi di accesso non interattivi tramite Basic Auth, che consente agli aggressori di eludere il sistema di sicurezza.

Gli esperti avvertono che le organizzazioni che si affidano esclusivamente al monitoraggio degli accessi interattivi restano vulnerabili. L’accesso non interattivo, spesso utilizzato per connessioni di servizi e protocolli legacy (ad esempio POP, IMAP, SMTP), nella maggior parte dei casi non richiede la conferma MFA. Nonostante Microsoft abbia gradualmente eliminato Basic Auth, il metodo è ancora abilitato in alcuni ambienti aziendali, il che lo rende un bersaglio interessante per gli attacchi.
Porte utilizzate per il controllo delle botnet (SecurityScorecard)
Basic Auth viene utilizzato per attaccare con forza bruta gli account con password comunemente utilizzate (o trapelate). Se la password viene selezionata correttamente, l’MFA non viene attivato, il che consente agli hacker criminali di accedere al tuo account senza ulteriori conferme. Questo stesso meccanismo consente di aggirare i criteri di accesso condizionale, rendendo l’attacco praticamente invisibile.

Le credenziali compromesse possono consentire agli aggressori di accedere a servizi legacy che non supportano MFA o di utilizzare i dati per ulteriori attacchi di phishing allo scopo di impossessarsi completamente degli account. I segnali degli attacchi possono essere trovati nei log degli ID Entra. Tra i segnali rientrano un aumento dei tentativi di accesso non interattivi, molteplici tentativi di autorizzazione non riusciti da diversi indirizzi IP e la presenza dell’agente “fasthttp” nei log.

I ricercatori ipotizzano che la botnet possa essere collegata a gruppi provenienti dalla Cina, anche se non ci sono ancora informazioni definitive. L’attacco è scalabile distribuendo i tentativi di accesso su un numero enorme di indirizzi IP, rendendo la botnet difficile da rilevare e bloccare.

La botnet è controllata tramite 6 server C2 situati nell’infrastruttura del provider americano Shark Tech e il traffico passa attraverso gli hosting UCLOUD HK (Hong Kong) e CDS Global Cloud (Cina). I server C2 sono basati su Apache Zookeeper e Kafka e il fuso orario del sistema è impostato su Asia/Shanghai. I registri di uptime mostrano che la botnet è attiva da dicembre 2024.

L'articolo Microsoft 365 Sotto Attacco! Spraying Password sui sistemi legacy da Una Botnet di 130.000 Dispositivi proviene da il blog della sicurezza informatica.

Il settore delle telecomunicazioni è sempre più nel mirino dei cybercriminali, e l’ultimo attacco subito da Orange Group, uno dei principali operatori francesi, lo dimostra. Un hacker, noto come Rey, ha dichiarato di aver violato i sistemi dell’azienda, sottraendo migliaia di documenti contenenti dati di clienti e dipendenti.

L’attacco ha avuto conseguenze significative, con la pubblicazione online di informazioni sensibili dopo il rifiuto dell’azienda di pagare un riscatto. Orange ha confermato la violazione, dichiarando che ha riguardato una applicazione non critica, ma il volume dei dati esfiltrati solleva interrogativi sulla sicurezza informatica nel settore delle telecomunicazioni.

Attacco mirato ad un colosso delle telecomunicazioni

Orange Group è un attore chiave nel settore delle telecomunicazioni e dei servizi digitali, con una presenza globale che comprende oltre 280 milioni di clienti. Il gruppo opera in numerosi paesi e offre servizi di telefonia fissa, mobile, internet a banda larga e soluzioni aziendali, oltre a essere coinvolto nello sviluppo di infrastrutture digitali e nell’innovazione tecnologica.

Questa posizione di rilievo lo rende un obiettivo particolarmente appetibile per i criminali informatici, dato il valore dei dati trattati: informazioni personali, contratti, credenziali di accesso e persino dati finanziari. L’attacco subito da Orange Romania, una delle divisioni più importanti del gruppo, dimostra come gli hacker prendano di mira nodi strategici delle infrastrutture aziendali.

Telecomunicazioni nel mirino: perché le aziende del settore sono bersagli strategici?

Le aziende di telecomunicazioni gestiscono enormi quantità di dati sensibili, inclusi i dettagli delle comunicazioni dei clienti, informazioni di fatturazione e credenziali di accesso ai servizi. Questi dati rappresentano una risorsa preziosa per i cybercriminali, che possono sfruttarli per:

• Attacchi di phishing e frodi finanziarie, utilizzando gli indirizzi email e i dati personali sottratti
• Accesso non autorizzato ai sistemi aziendali, se le credenziali compromesse non vengono aggiornate
• Spionaggio industriale e vendita di dati a terze parti

Inoltre, un attacco a un operatore di telecomunicazioni può avere conseguenze su milioni di utenti, mettendo a rischio la loro privacy e la sicurezza delle loro comunicazioni.

Attualmente, non possiamo confermare l’autenticità della notizia, poiché l’organizzazione non ha ancora pubblicato un comunicato ufficiale sul proprio sito web in merito all’incidente. Le informazioni riportate provengono da fonti pubbliche accessibili su siti underground, pertanto vanno interpretate come una fonte di intelligence e non come una conferma definitiva.

Secondo quanto riportato dallo stesso hacker su un noto forum del dark web, Orange Group sarebbe stata contattata per il pagamento di un riscatto, ma la società avrebbe rifiutato di negoziare. A seguito di questo rifiuto, Rey ha deciso di rendere pubblici i dati sottratti, pubblicando un annuncio corredato di link per il download.

L’attacco è stato confermato da Orange, che ha dichiarato che la violazione ha coinvolto una applicazione non critica. Tuttavia, la quantità e la natura dei dati compromessi destano preoccupazioni.

Oltre 600.000 record esposti

Rey sostiene di aver avuto accesso ai sistemi di Orange per oltre un mese prima di avviare l’estrazione dei dati, operazione che sarebbe durata circa tre ore senza essere rilevata. Secondo l’hacker, il breach include:

• 380.000 email uniche appartenenti a clienti, ex dipendenti, partner e collaboratori di Orange Romania
• Dati di clienti e dipendenti, inclusi dettagli personali e contrattuali
• Codici sorgente di software interni
• Documenti riservati, come fatture, contratti e piani progettuali
• Informazioni parziali sulle carte di pagamento di alcuni clienti rumeni
• Nomi e indirizzi email degli utenti del servizio Yoxo, l’abbonamento senza vincoli di Orange

L’hacker ha dichiarato di aver sfruttato una combinazione di credenziali compromesse e vulnerabilità nei sistemi di Orange, in particolare all’interno di Jira, un software utilizzato dall’azienda per la gestione di bug e ticket interni.

Rey ha inoltre precisato che l’attacco non è stato eseguito nell’ambito di un’operazione ransomware del gruppo HellCat, di cui fa parte, ma come azione indipendente.

L’intrusione ha permesso all’hacker di infiltrarsi nei sistemi della compagnia senza essere rilevato e di esfiltrare un totale di circa 6,92GB di dati distribuiti su 12.000 file.

La risposta di Orange e le implicazioni sulla sicurezza

Orange Group ha confermato la violazione e ha dichiarato di aver avviato un’indagine interna per valutare l’entità dell’incidente e mitigare i danni.

“Abbiamo preso immediatamente provvedimenti e la nostra priorità rimane proteggere i dati e gli interessi di dipendenti, clienti e partner. L’attacco ha colpito un’applicazione di back-office non critica e non ha avuto impatti sui servizi rivolti ai clienti”, ha dichiarato un portavoce dell’azienda.

Il caso solleva però gravi preoccupazioni sulla sicurezza informatica. L’uso di credenziali compromesse e falle in software interni dimostra la necessità per le aziende di implementare autenticazione multi-fattore per ridurre il rischio di accesso non autorizzato ed effettuare controlli di sicurezza regolari per individuare e correggere vulnerabilità.

Orange non ha ancora chiarito se informerà i clienti e i dipendenti coinvolti nella violazione, ma è bene a chiunque potrebbe essere potenzialmente interessato di fare attenzione a possibili tentativi di phishing o frodi.

Conclusioni: un segnale di allarme per l’intero settore

La violazione subita da Orange Group è solo l’ennesimo esempio di attacchi informatici rivolti ad aziende di telecomunicazioni. La capacità degli hacker di rimanere nei sistemi aziendali per settimane senza essere scoperti dimostra l’urgenza di strategie di difesa più avanzate.

Questo episodio dimostra l’importanza di adottare strategie di cybersecurity proattive, migliorando la protezione delle credenziali, rafforzando i controlli di sicurezza e investendo in soluzioni per la rilevazione tempestiva delle minacce.

Mentre Orange lavora per contenere i danni e proteggere i propri clienti, la violazione rappresenta un chiaro monito per tutte le aziende del settore: nel mondo digitale di oggi, la sicurezza informatica non è più un’opzione, ma una necessità fondamentale.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

L'articolo Orange Group colpita dal Threat Actors Rey : dati sensibili di clienti e dipendenti esposti proviene da il blog della sicurezza informatica.

Si è tenuto a Vienna, sotto l'egida di UNODC (vedi nota sottostante), il Forum Internazionale dei Pubblici Ministeri, che aveva lo scopo di rafforzare la cooperazione internazionale contro la tratta di esseri umani e il traffico di migranti, con un focus sulla identificazione di rotte emergenti, tecniche investigative e dimensioni di genere nei crimini.
Sono convenuti esperti da quasi 60 paesi e da organizzazioni internazionali.
Le sfide da affrontare per una più efficace cooperazione consistono in barriere legali, linguistiche e nelle risorse limitate, che ostacolano la collaborazione.
Come noto, I pubblici ministeri hanno la responsabilità di avviare e svolgere azioni penali, fungere da parte in procedimenti giudiziari e, in molti paesi, supervisionare le indagini. Identificano i sospetti, raccolgono prove per stabilire la colpa e supportano le vittime durante il processo legale. Inoltre, rappresentano lo Stato nell'applicazione della legge e garantiscono la sicurezza pubblica.
Il Forum internazionale dei pubblici ministeri mira a migliorare la comunicazione e la collaborazione tra i procuratori facilitando il dialogo e la condivisione delle conoscenze. Si concentra sull'identificazione delle rotte emergenti del traffico, sull'esplorazione di tecniche investigative innovative e sulla sensibilizzazione riguardo alle dimensioni di genere dei crimini. Inoltre, crea un ambiente propizio per la comunicazione, dove le domande possono ricevere risposte e le idee possono essere condivise e implementate nei vari paesi.
La cooperazione internazionale è fondamentale nella lotta contro la tratta di esseri umani e il traffico di migranti, poiché consente ai paesi di condividere informazioni e coordinare azioni efficaci. Senza tale cooperazione, è difficile smantellare le organizzazioni criminali che operano su scala transnazionale, poiché queste reti criminali si estendono in diversi paesi. Inoltre, la collaborazione aiuta a superare barriere come sistemi giuridici diversi e risorse limitate, migliorando l'efficacia delle operazioni contro il crimine organizzato.

NOTA: UNODC è l'Ufficio delle Nazioni Unite contro la droga e il crimine, un'agenzia delle Nazioni Unite che si occupa di affrontare problemi legati alla droga, al crimine organizzato e alla criminalità transnazionale. Fornisce assistenza tecnica e supporto ai paesi per sviluppare strategie e politiche efficaci nella lotta contro la droga e il crimine. Inoltre, promuove la cooperazione internazionale e la condivisione delle informazioni per combattere queste problematiche a livello globale.

#UNODC #Foruminternazionalepubbliciministeri

@Attualità

'Cries and Whispers' è il nuovo album dei Corde Oblique, in uscita il 14 febbraio 2025 per The Stones of Naples Records.

Il gruppo partenopeo torna dopo cinque anni di silenzio discografico e lo fa con un gran disco. La creatura musicale di Riccardo Prencipe è un unicum a livello nazionale ed internazionale, con la sua musica sempre originale che nasce da una creatività senza fine, capace di agire su più livelli differenti. Questo ultimo lavoro è diviso in due parti : la prima si intitola “Cries” e tratta di qualcosa che Riccardo aveva in mente da molto tempo, ovvero tornare alle sue radici musicali in un contesto totalmente differente rispetto a quello della gioventù. Il chitarrista e compositore napoletano quando aveva diciotto anni, oltre a militare nei Lupercalia suonava in un gruppo di metal estremo che faceva black e death metal, e certi elementi di quei generi gli sono rimasti dentro, e li ha fatti uscire con la prima parte di questo disco, e il risultato è assai notevole. iyezine.com/corde-oblique-crie…

#TheStonesOfNaplesRecords
#RiccardoPrencipe
#Neofolk
#MetalEstremo
#MusicaOriginale
#SussurriEGrida
#IngmarBergman
#CreativitàMusicale
#SoundtrackDellaVita

Corde Oblique - Cries and whispers

Corde Oblique - Cries and whispers - Corde Oblique torna con "Cries and Whispers", un album innovativo in uscita il 14 febbraio 2025. Scopri il viaggio musicale di Riccardo Prencipe! - Corde Oblique

^{Massimo Argo (In Your Eyes ezine)}

The outgoing EU Ombudsman, Emily O’Reilly, has ruled in response to a complaint by former Pirate Party MEP Patrick Breyer that it constitutes “maladministration” for Europol to have green-lighted an official moving to the chat control tech service provider Thorn without imposing any restrictions, despite potential conflicts of interest. The official was even allowed to continue working in the same role at Europol for two months before the transition. “Europol failed to deal with the above conflict of interest situation, putting at risk the integrity and impartiality of its actions,” the Ombudsman stated in her decision.

The official, Cathal Delaney, had worked on an AI pilot project for CSAM detection at Europol and, after moving to Thorn, was registered as a lobbyist in the German Bundestag. In his new role, he attended a Europol meeting with former colleagues to present a product. Europol has now pledged additional measures to prevent conflicts of interest, including reassignments, changes in duties, and revoking access to sensitive information for employees planning to switch jobs.

Breyer welcomes the outcome: “When a former Europol employee sells their internal knowledge and contacts for the purpose of lobbying personally known EU Commission staff, this is exactly what must be prevented. Since the revelation of ‘Chatcontrol-Gate,’ we know that the EU’s chat control proposal is ultimately a product of lobbying by an international surveillance-industrial complex. To ensure this never happens again, the surveillance lobbying swamp must be drained.”

Note: The decision of the EU Ombudsman is available here. The highly controversial EU chat control proposal remains stalled, as there is neither a qualified majority among EU states to abolish digital confidentiality and break secure encryption nor a majority to remove chat control from the proposal.

My statement concerning the Ombudsman’s inquiry:

Dear Sir/Madam,

thank you for giving me the opportunity to make observations. I note from your report that in the first case, Europol “forgot” to impose restrictions on former staff that were hired by Thorn, and in the second case the former official didn’t even request permission to undergo the assessment, without consequences. Also any requirements imposed on former staff are not being monitored.

Let me start by pointing out that Thorn may formally be a non-governmental organisation, but it is an extraordinary one in multiple respects and is better described, as it described itself, as a “a non-profit start-up”. According to a report, Thorn has made millions of dollars with software sales, pays several employees six-figure salaries and is closely linked with Big Tech. It own shares worth 930,000 US dollars. It spent 600,000 € for lobbying in 2022 alone, including for hiring PR firms. None of this is remotely conceivable for the typical European NGO. It should also be noted that Thorn, even though it is not working for shareholder profit, has a commercial interest in software sales to fund its own activities.

The first thing that strikes me from your meeting report is that when assessing potential conflicts of interest, Europol seems to focus only on direct commercial advantages the new employer may seek (particularly in procurement), and only on protecting Europol’s own integrity. This is far too narrow an understanding. It fails to cover hiring former Europol officials for lobbying purposes, namely for influencing legislation and Commission decisions. For example, Europol is closely liked to DG Home. If a former Europol official uses his internal knowledge and contacts, as well as his former position, to lobby Commission staff (who he may know personally) concerning legislative processes on behalf of a stakeholder with commercial interests, this is precisely what procedures need to prevent, at least for a cool-down period.

In the case of the second staff member who failed to request authorization, has the matter been referred to Europol’s Internal Investigations Service (IIS) to assess, in coordination with OLAF, if there has been a breach of professional obligations, and have disciplinary proceedings under the EUSR been instituted? Without automatic sanctions, one cannot reasonably expect that trust alone will ensure compliance. I don’t see why any discretion would be justified in this process. The IIS should always be asked for an assessment in case of a violation, and disciplinary proceedings should always be instituted. It is in the course of these disciplinary proceedings that all mitigating circumstances can be taken into account.

Where restrictions are imposed on former staff, shouldn’t they be communicated also to their new employer to make sure they are aware?

The restriction imposed in the second case that there may be no contacts with Europol “for commercial purposes” is too narrow and too vague. The fact that Thorn has commercial interests should suffice to exclude any contacts for lobbying purposes, not only with Europol but with any EU entity.

Generally staff should have to notify their intention to take a new post before accepting their offer, given the fact that negotiations concerning a future employment contract could already amount to conflict of interest.

It could help for Europol to elaborate a “Code of best practice for staff members leaving the agency” and make it public.

Europol should publish an “annual report on the activities related to Art. 16 EU Staff Regulations that the agency carries out”, including a list of the cases assessed, the recommendations provided by the Joint Committee and the Reporting Officer, as well as the final decision by the AACC. The report should also include a “post-employment activities summary” (similar to the one that EBA has in its website).

Contrary to the case at hand, all final decisions taken by the AACC should be accompanied by an explanation with the reasons for the decision taken.

It would make sense to elaborate a general “guidance on the criteria for assessing post-employment restrictions or prohibitions” and make it public. It should include general and specific criteria depending on the position/work area (EBA’s guidance could be used as an example).

Importantly, the Joint Parliamentary Scrutiny Group (JPSG), specifically set up to supervise Europol, should be informed whenever there is a potential conflict of interest and about the steps taken by the agency or that the agency intends to take to address it. In the case at hand, no such information has taken place.

patrick-breyer.de/en/chat-cont…