Renewables let you have a more diverse set of energy inputs so you aren’t putting all your generation eggs in one basket. One type of renewable that doesn’t see a lot of love, despite 80% of the world’s population living within 100 km (~60 mi) of a coastline, is harnessing the energy of the tides. [via Electrek]

“The U.S. Department of Energy’s National Renewable Energy Laboratory estimates that wave energy has the potential to generate over 1,400 terawatt-hours per year,” so while this initial project won’t be huge, the overall possible power generation from tidal power is nothing to sneeze at. Known more for its role in shipping fossil fuels, the Port of Los Angeles will host the new wave power pilot being built by Eco Wave Power and Shell. Eco Wave’s system uses floaters to drive pistons that compress hydraulic fluid and turn a generator before the decompressed fluid is returned to the pistons in a nice, tidy loop.

Eco Wave plans to finish construction by early 2025 and already has the power conversion unit onsite at the Port of Los Angeles. While the press release is mum on the planned install capacity, Eco Wave claims they will soon have 404.7 MW of installed capacity through several different pilot projects around the world.

We covered another Swiss company trying to harness tidal power with underwater kites, and if wave power isn’t your thing but you still like mixing water and electricity, why not try offshore wind or a floating solar farm? Just make sure to keep the noise down!

hackaday.com/2024/11/28/us-is-…

They simply don’t make them like they used to, and in the case of this retro LX system build, they only make what never existed in the first place. Earlier this year the long awaited video game UFO 50 released to widespread critical acclaim. The conceit of the game is an interactive anthology of a faux 1980’s game console constructed by a large group of actual indie game developers. Leave it to [Luke], who admitted to UFO 50 to taking over his life, to bring the LX system from the digital screen to the real world.

Each piece of the LX System case was printed on a multi-color filament capable Bambu Labs P1S. Dual XLR jacks wired up as USB serve as controller ports, and the controller itself is a repurposed NES style USB controller fitted with a new housing printed with the same filament as the case. Both the prominent front mounted power and “sys” buttons are functional; the latter actually switches to a new game within UFO 50. The brains of this project is a mini Windows PC hooked up to a 9 inch 720p LCD screen which is plenty enough resolution for pixelated look of the games. As impressive as replicating the whole case look is, it’s really brought together by the addition of a 3.5 inch floppy drive. It could be an interesting way to backup save files, provided they fit within 1.44 MB.

In addition to sharing the completed LX System, [Luke] has also made the print files available online along with a list of project materials used. It would be neat to see an alternate color scheme or remix for this working prototype of a console that never actually existed. In the meantime, there are plenty more games to play and discover in UFO 50…there’s 50 of them after all.

via Time Extension

hackaday.com/2024/11/28/ufo-50…

If you’re good at music theory, you can probably find all the chords and progressions you need just by using your fingers and a suitable instrument. For a lot of musicians, though, remembering huge banks of chords can be difficult, and experimenting with combinations can quickly become tedious and tiring. Enter the minichord, a tiny version of the Omnichord synth designed by [Benjamin] that offers to help out by putting all the chords you need a mere button press away.

The minichord is based around the Teensy 4.0, a capable microcontroller platform if ever there was one. It’s paired with a bunch of tactile buttons which are used to tell the Teensy which chord you desire to play. Various combinations of buttons can be used to play more advanced chords, too. There are potentiometers on board as well for volume control, as well as a touch pad for “strumming” arpeggios and other fine control tasks. An online interface allows modifying the presets onboard, too.

[Benjamin] hopes to get the minichord into production; it’s currently in a Seeedstudio competition that could see that happen, based on likes on the project video. The minichord isn’t the only player in this space, of course. The Orchard synth has been making similar waves this week. We’ve seen [Benjamin’s] work before, too. Video after the break.

youtube.com/embed/66Gu4NNnHgA?…

hackaday.com/2024/11/28/minich…

Gli scienziati dell’Università dell’Illinois hanno sviluppato un nanorobot, NanoGripper, creato da una singola molecola di DNA. Questa struttura in miniatura ricorda una mano con quattro dita flessibili in grado di catturare i virus, incluso il Covid-19, e impedire loro di entrare nelle cellule. Il dispositivo può essere utilizzato per la diagnosi, il blocco delle infezioni e la somministrazione di farmaci alle cellule bersaglio.

Il DNA è diventato la base del design grazie alla sua forza, flessibilità e capacità di essere programmato. Il nanorobot utilizza speciali aptameri del DNA che riconoscono bersagli molecolari, come la proteina spike del coronavirus.

Una volta rilevato il bersaglio, le dita si piegano per bloccare il virus . Il dispositivo può essere fissato a superfici o sistemi complessi per applicazioni biomediche, comprese la diagnostica e la terapia.

Per rilevare il COVID-19, NanoGripper è stato integrato con un cristallo fotonico, che ha permesso di sviluppare un test rapido paragonabile in termini di accuratezza ai metodi PCR. Il test dura circa 30 minuti ed è altamente sensibile grazie alla capacità del nanorobot di catturare singole particelle virali. Quando viene rilevato un virus nel sistema, viene attivato un segnale fluorescente che consente il conteggio delle particelle.

Inoltre, NanoGripper è in grado di bloccare i virus nella fase della loro interazione con le cellule. Negli esperimenti di laboratorio, i nanorobot hanno avvolto le braccia attorno ai virus, impedendo loro di legarsi ai recettori cellulari. Ciò apre la prospettiva di sviluppare agenti antivirali, come uno spray nasale, che potrebbero prevenire l’infezione da virus respiratori.

Il dispositivo viene preso in considerazione anche per altre applicazioni mediche, come la lotta al cancro. Il nanorobot può essere programmato per riconoscere marcatori tumorali specifici e somministrare farmaci direttamente alle cellule colpite. In futuro è prevista un’ulteriore ottimizzazione della progettazione e del test della tecnologia per un’ampia gamma di applicazioni biomediche.

L'articolo Addio Virus! Gli Scienziati Creano NanoGripper, il NanoRobot DNA che li “Cattura” proviene da il blog della sicurezza informatica.

Google ha introdotto una nuova funzionalità chiamata Ripristina credenziali. Tale funzionalità dovrebbe aiutare gli utenti a ripristinare in modo sicuro e rapido l’accesso alle applicazioni di terze parti. Questo ovviamente dopo il passaggio a un nuovo dispositivo Android.

Come funziona Ripristina Credenziali

La funzionalità fa parte dell’API Credential Manager ed è progettata per eliminare la necessità per gli utenti di reinserire più credenziali per ciascuna applicazione. “Con Ripristina credenziali, le app possono connettere facilmente gli utenti agli account su un nuovo dispositivo dopo aver ripristinato app e dati da un dispositivo precedente”, afferma Google.

Secondo l’azienda, questo processo avverrà automaticamente in background mentre l’utente ripristina applicazioni e dati dal vecchio dispositivo. Ciò utilizzerà una cosiddetta chiave di ripristino, che in realtà è una chiave pubblica conforme a FIDO2. Il ripristino della chiave verrà eseguito utilizzando il processo di backup e ripristino integrato di Android.

Pertanto, quando un utente accede a un’app che supporta questa funzionalità, la chiave di ripristino viene archiviata in Credential Manager (localmente sul dispositivo e crittografata).

L’Utilizzo della chiave di ripristino

Se lo si desidera, la chiave di ripristino crittografata può essere archiviata nel cloud se è configurato il backup nel cloud. Naturalmente è anche possibile trasferire manualmente le chiavi di ripristino direttamente da un dispositivo all’altro.

Di conseguenza, quando si passa a un nuovo dispositivo e si ripristinano le applicazioni, durante il processo verranno richieste le chiavi di ripristino. Queste ti consentiranno di accedere automaticamente agli account senza dover reinserire le credenziali.

“Se l’utente attualmente registrato è attendibile, puoi generare una chiave di ripristino in qualsiasi momento dopo che si è autenticato sulla tua app“, istruisce Google agli sviluppatori di app. “Ad esempio, immediatamente dopo l’accesso o durante un controllo di routine per una chiave di ripristino esistente.”

Si consiglia inoltre di eliminare la chiave di ripristino immediatamente dopo la disconnessione dell’utente per evitare un ciclo in cui l’utente si disconnette intenzionalmente e accede nuovamente automaticamente.
Metodi per trasferire la chiave di ripristino tra il vecchio e il nuovo dispositivo: backup su cloud o connessione diretta al dispositivo
Va notato che Apple ha implementato da tempo funzionalità simili in iOS, che utilizza l’attributo kSecAttrAccessible per controllare l’accesso delle app a determinate credenziali archiviate nel portachiavi iCloud.

L'articolo Ripristina Credenziali: la nuova funzione di Android per cambiare Telefono senza Stress! proviene da il blog della sicurezza informatica.

L’edizione 2024 del Digital Security Festival ha portato i racconti di più esperienze con il comune denominatore della sicurezza cyber in tutto il Nordest, parlando a cittadini, imprenditori e professionisti di come la tecnologia sia – o meglio: debba essere – comunque al servizio dell’uomo. Da qui il tema di “Umanocentrico per natura” che ha saputo caratterizzare 10 incontri in presenza e 4 online.

Marco Cozzi, Presidente del Digital Security Festival 2024, si è reso disponibile per un’intervista dopo la conclusione del Festival offrendoci un feedback ma soprattutto un’anteprima del prossimo futuro.

Com’è andata la sesta edizione del Digital Security Festival?

È stata un’edizione straordinaria, che ha superato ogni aspettativa. Dal 18 ottobre all’8 novembre, il Festival ha coinvolto un pubblico incredibilmente vasto, con oltre 1.000 partecipanti agli eventi fisici e online. Abbiamo avuto 10 tappe in presenza, toccando le Province di Udine, Trieste, Treviso, Padova e Vicenza, oltre a quattro eventi online, con la partecipazione di più di 50 relatori, tra esperti nazionali e internazionali. È stato emozionante vedere studenti, imprenditori e cittadini unirsi a noi per discutere temi cruciali come la sicurezza digitale e l’intelligenza artificiale.

Quali sono stati i momenti più significativi di questa edizione?

Uno dei momenti più emozionanti è stato sicuramente l’annuncio dell’onorevole Walter Rizzetto sull’approvazione della legge che introdurrà la sicurezza sul lavoro nelle scuole, fatto davanti a centinaia di studenti a Udine. È stato anche entusiasmante l’annuncio della collaborazione del Festival con le Olimpiadi Italiane di Informatica. Ogni incontro è stato unico: a Trieste abbiamo affrontato l’importanza delle normative europee come la NIS2, mentre a Padova abbiamo discusso degli impatti futuri dell’intelligenza artificiale e del computer quantistico. La chiusura a Vicenza, in una location storica, ha offerto un’esperienza speciale, con interventi di relatori di altissimo livello.
Marco Cozzi e l’on. Walter Rizzetto

Qual è stato il tema principale di questa edizione?

Il tema “Umanocentrico per natura” è stato il filo conduttore. Abbiamo voluto mettere al centro il ruolo dell’essere umano nell’evoluzione tecnologica, ispirandoci alla prima legge della robotica di Isaac Asimov. La tecnologia deve essere un mezzo per migliorare la vita delle persone, non un fine in sé. Questo approccio ha stimolato riflessioni profonde, puntando sull’importanza dell’etica e dell’equilibrio tra progresso tecnologico e necessità umane.

Quanto è stato importante il contributo del direttivo e dei partner del Festival?

Fondamentale. Voglio ringraziare il nostro direttivo, composto da Gabriele Gobbo, Sonia Gastaldi, Luigi Gregori e Davide Bazzan, per il loro impegno e la loro passione. Ogni membro ha dato un contributo essenziale per rendere il Festival quello che è oggi: un punto di riferimento per la cultura della sicurezza digitale. Inoltre, il supporto dei nostri partner e sponsor è stato determinante per il successo e il sostentamento dell’evento
Marco Cozzi, Presidente del Digital Security Festival

Quali sono i prossimi obiettivi per il Digital Security Festival?

Il futuro è entusiasmante. Con la trasformazione in Associazione di Promozione Sociale (APS), possiamo espandere le nostre attività e raggiungere tutta l’Italia e pensare anche all’estero. Inoltre abbiamo gettato le basi per studiare un protocollo con il Consiglio per la Parità di Genere, volto al contrasto al divario di genere nelle aree Stem. Il nostro obiettivo è continuare a diffondere la cultura digitale e rafforzare il legame tra tecnologia, etica e umanità, creando un ecosistema digitale più sicuro e inclusivo per tutti.
Siamo solo all’inizio di un percorso che mira a unire tecnologia e umanità in modo responsabile e sostenibile.

L'articolo Digital Security Festival 2024: l’esperienza del presente al servizio del futuro proviene da il blog della sicurezza informatica.

This holiday season, [Chaz] wanted to continue his family’s tradition of enrobing a little bit of everything in dark chocolate, and built an improved, rotating chocolate-coating machine.

You may remember last year’s offering, aka the conveyor belt version. Although that one worked, too much chocolate was ultimately lost to the surface of the kitchen table. [Chaz] once again started with a standard chocolate fountain and bought a round wire rack that fits the circumference of the bowl at the bottom. He snipped a hole in the center large enough to accommodate the business part of the fountain and printed a collar with holes that he cleverly zip-tied to the rack.

[Chaz] also printed a large gear to go around the bowl, a small gear to attach to a six RPM motor, a motor mount for the bowl, and an air blade attachment for a portable Ryobi fan. The air blade worked quite well, doing the double duty of distributing the chocolate and thinning out the coating. Plus, it gives things a neat rumpled look on the top.

Want to make some special chocolates this year, but don’t want to build an enrober? Get yourself a diffraction grating and make some rainbow goodies with melted chocolate.

youtube.com/embed/vCmFPCjinH8?…

hackaday.com/2024/11/28/chocol…

Schemi fraudolenti come la il “pig butchering” sono diventati una minaccia globale, che colpisce milioni di persone ogni anno. Il termine è una truffa complessa che si basa sulla creazione di relazioni di fiducia online per attirare le vittime verso investimenti fasulli, spesso utilizzando criptovaluta. Di norma, le vittime rimangono senza fondi e gli aggressori scompaiono.

L’epicentro di tali schemi sono i centri criminali nel sud-est asiatico. Secondo l’Istituto statunitense per la pace, circa 300mila persone sono coinvolte in questa attività sotto costrizione e il costo annuo delle frodi supera i 64 miliardi di dollari. I truffatori attirano ignari cercatori di lavoro con un “lavoro da sogno” e poi li ingannano con minacce di violenza.

Dal 2021 Meta si oppone attivamente a questi schemi. Inizialmente l’attenzione dell’azienda era rivolta alla Cambogia, ma con l’espansione delle reti criminali, l’operazione di contromisure si è estesa al Laos, al Myanmar, agli Emirati Arabi Uniti e alle Filippine. Nell’ultimo anno, la società ha rimosso più di due milioni di account associati a questi gruppi criminali e continua a sviluppare soluzioni tecniche per identificarli.

Gli schemi di inganno coprono molte piattaforme, dai social network alla messaggistica istantanea. I truffatori creano profili falsi fingendo di essere persone attraenti, funzionari governativi o aziende famose. Nella fase iniziale, alla vittima è consentito prelevare piccole somme per acquisire fiducia, ma in seguito scompaiono insieme a tutti i fondi.

Meta collabora con le forze dell’ordine e le aziende tecnologiche di tutto il mondo. Ad esempio, grazie agli sforzi del team OpenAI, è stato possibile identificare e fermare l’attività dei truffatori che utilizzavano strumenti automatizzati per creare contenuti in giapponese e cinese. Questi dati hanno contribuito non solo a bloccare le attività dei criminali, ma anche ad espandere le indagini oltre una piattaforma.

Nell’ambito dell’iniziativa Tech Against Scams, Meta ha ospitato un vertice sulle frodi online in collaborazione con organizzazioni internazionali, governi e altre società, tra cui Coinbase e Match Group. I partecipanti hanno discusso delle opportunità per rafforzare il coordinamento per contrastare la minaccia transnazionale.

Meta sta inoltre introducendo nuove funzionalità per proteggere gli utenti. Pertanto, Messenger e Instagram stanno introducendo avvisi sui messaggi sospetti e WhatsApp sta aggiungendo strumenti per verificare le informazioni sui gruppi e sui loro membri. Tali misure aiutano a prevenire l’interazione con i truffatori prima che inizi la comunicazione.

Queste iniziative fanno parte di una strategia globale per proteggere gli utenti. Meta continua a migliorare i prodotti e a condividere il proprio lavoro per combattere le frodi e migliorare l’alfabetizzazione digitale.

L'articolo Meta vs Frodi Online: 2 Milioni di Account Criminali Eliminati! proviene da il blog della sicurezza informatica.

Nel plugin anti-spam sviluppato da CleanTalk sono state scoperte due vulnerabilità critiche. Questi bug consentono a un utente malintenzionato non autorizzato di installare e attivare plug-in dannosi su siti vulnerabili, il che può portare all’esecuzione di codice in modalità remota e al completo controllo della risorsa.

Le vulnerabilità nei plugin Protezione spam, Anti-Spam e FireWall, installati più di 200.000 volte, hanno ricevuto gli identificatori CVE-2024-10542 e CVE-2024-10781 (9,8 punti su 10 possibili sulla scala CVSS). È stato riferito che sono già stati corretti nelle versioni 6.44 e 6.45.

Il plug-in CleanTalk Spam è pubblicizzato come uno “strumento anti-spam tutto in uno” che blocca lo spam nei commenti, nei sondaggi, nelle registrazioni e altro ancora.

Secondo gli specialisti di Wordfence, entrambe le vulnerabilità sono associate a un problema di bypass dell’autorizzazione, che alla fine consente a un utente malintenzionato di installare e attivare plug-in di terze parti. Ciò potrebbe portare all’esecuzione di codice in modalità remota se il nuovo plugin contiene anche una vulnerabilità sfruttata dall’hacker.

I ricercatori spiegano che il primo bypass di autorizzazione (CVE-2024-10542) ha interessato una funzione che gestisce le chiamate remote e le installazioni di plug-in, che eseguivano l’autorizzazione del token per queste azioni. E altre due funzioni utilizzate per verificare l’indirizzo IP e il nome di dominio erano vulnerabili allo spoofing IP e DNS, che consentiva agli hacker di specificare un IP e un sottodominio sotto il loro controllo e aggirare l’autorizzazione.

Allo stesso tempo, il problema originale CVE-2024-10542 è stato scoperto alla fine di ottobre e risolto il 1° novembre con il rilascio della versione 6.44. Tuttavia, la versione corretta del plugin si è rivelata vulnerabile a CVE-2024-10781, un altro modo per aggirare l’autorizzazione.

Come nel caso della prima vulnerabilità, lo sfruttamento riuscito del CVE-2024-10781 ha consentito l’installazione e l’attivazione di plugin arbitrari, quindi sfruttati per un attacco RCE. Una patch per questo bug è stata rilasciata con la versione 6.45 il 14 novembre 2024.

Secondo le statistiche ufficiali, al 27 novembre 2024, circa la metà delle installazioni attive del plugin non sono ancora state aggiornate alla versione corretta, il che significa che sono potenzialmente vulnerabili agli attacchi.

L'articolo Un plugin AntiSpam che ti porta una RCE! 200.000 siti WordPress in pericolo proviene da il blog della sicurezza informatica.

The games consoles which came out of Japan in the 1980s are the stuff of legend, with the offerings from Nintendo and Sega weaving themselves into global popular culture. Most of us can recite a list of the main players in the market, but how many of us would have Epoch and their Super Cassette Vision on that list? [Nicole Express] is here with a look at this forgotten machine which tried so hard and yet missed the target when competing with the NES or Master System.

Before the arrival of the Sega and Nintendo cartridge based systems, one of the better known Japanese consoles was the Epoch Cassette Vision. This was something of a hybrid between single-game TV games and an Atari 2600 style computing device for games, in that it used pre-programmed microcontrollers in its cartridges rather than the ROMs of the 2600. For the late-70s gamer this was still hot stuff, but by 1983 as the Master System and NES hove into view it was definitely past its best. Epoch’s response for 1984 was the Super Cassette Vision, a much more conventional 8-bit console with on the face of it some respectable graphics and sound hardware.

The article looks at the console’s capabilities in detail, highlighting the multi-colored sprites and smooth sprite movement, but also the tilemap limitations and the somewhat awful sound chip shared with handheld games and sounding very much like it. Coupled with its inferior controllers and TV game style aesthetic, it’s not difficult to see why it would be the last console from this manufacturer.

If forgotten consoles are your thing, have a read about the Fairchild Channel F, the machine that gave us console cartridges.

hackaday.com/2024/11/28/the-ja…

Le forze dell’ordine africane hanno annunciato l’operazione Serengeti, durante la quale sono state arrestate più di 1.000 persone sospettate di coinvolgimento in attività di criminalità informatica. L’importo totale del danno finanziario causato è stimato a 193 milioni di dollari.

L’operazione è stata coordinata da Interpol e Afripol ed è stata effettuata tra il 2 settembre e il 31 ottobre 2024. È stato riferito che il Serengeti “prendeva di mira principalmente i criminali associati a ransomware, attacchi BEC (compromissione della posta elettronica aziendale), estorsione digitale e frode online”.

Distrutte 134.089 infrastrutture informatiche

In totale, le autorità di 19 paesi africani hanno arrestato 1.006 sospetti e distrutto 134.089 infrastrutture e reti dannose, sulla base delle informazioni operative fornite loro da partner di società di sicurezza informatica come Cybercrime Atlas, Fortinet, Group-IB, Kaspersky Lab, Team Cymru, Trend Micro e la sicurezza di Uppsala.

Gli investigatori hanno scoperto che i sospettati e le loro infrastrutture erano collegati ad almeno 35.224 vittime identificate che hanno perso circa 193 milioni di dollari a causa di vari attacchi di hacking e frode. Durante l’operazione Serengeti, le vittime riuscirono a recuperare circa 44 milioni di dollari.

Una vasta operazione che copre tutta l’Africa

Le forze dell’ordine in regioni specifiche riferiscono che le seguenti azioni sono il risultato del Serengeti.

• Kenya : risolto un caso di frode con carta di credito che comportava perdite per 8,6 milioni di dollari. I fondi sono stati rubati utilizzando script fraudolenti e reindirizzati tramite il sistema SWIFT ad aziende negli Emirati Arabi Uniti, Nigeria e Cina. Sono state effettuate circa due dozzine di arresti.
• Senegal : Scoperto uno schema Ponzi che ha coinvolto 1.811 vittime che hanno perso circa sei milioni di dollari. Sono state sequestrate più di 900 carte SIM, 11.000 dollari in contanti, telefoni, computer portatili e carte d’identità delle vittime. Otto persone sono state arrestate (tra cui cinque cittadini cinesi).
• Nigeria : un uomo è stato arrestato per aver gestito una truffa sugli investimenti online e aver guadagnato 300.000 dollari con false promesse di criptovalute.
• Camerun: è stata smascherata una truffa di network marketing che ha coinvolto vittime provenienti da sette paesi. Alle vittime era stato promesso un lavoro, ma alla fine sono state tenute prigioniere e costrette a reclutare altre persone per essere rilasciate. Il gruppo ha raccolto almeno 150.000 dollari in quote associative.
• Angola: sono state interrotte le attività di un gruppo internazionale che gestisce un casinò virtuale a Luanda. Centinaia di persone sono state ingannate con promesse di vincite in cambio dell’attrazione di nuovi membri. Sono stati effettuati 150 arresti, sequestrati 200 computer e più di 100 telefoni cellulari.

All’operazione Serengeti hanno preso parte anche Algeria, Benin, Costa d’Avorio, RDC, Gabon, Ghana, Mauritius, Mozambico, Ruanda, Sud Africa, Tanzania, Tunisia, Zambia e Zimbabwe.

L'articolo Operazione Serengeti in Africa: 1.000 hacker criminali arrestati e 193 milioni di dollari di danni! proviene da il blog della sicurezza informatica.

Kaspersky’s Global Research and Analysis Team (GReAT) has been releasing quarterly summaries of advanced persistent threat (APT) activity for over seven years now. Based on our threat intelligence research, these summaries offer a representative overview of what we’ve published and discussed in more detail in our private APT reports. They are intended to highlight the significant events and findings that we think are important for people to know about. This is our latest roundup, covering activity we observed during Q3 2024.

If you’d like to learn more about our intelligence reports or request more information about a specific report, please contact intelreports@kaspersky.com.

The most remarkable findings

In the second half of 2022, a wave of attacks from an unknown threat actor targeted victims with a new type of attack framework that we dubbed P8. The campaign targeted Vietnamese victims, mostly from the financial sector, with some from the real estate sector. Later, in 2023, Elastic Lab published a report about an OceanLotus APT (aka APT32) attack that leveraged a new set of malicious tools called Spectral Viper. Although the campaigns are the same, we cannot conclusively attribute P8 to OceanLotus.

The P8 framework includes a loader and multiple plugins. Except for the first-stage loader and the PipeShell plugin, all plugins are downloaded from the C2 and then loaded into memory, leaving no trace on disk. After a thorough analysis of the framework and its modules, we believe P8 was developed based on the open source project C2Implant, which is a red teaming C2 framework. However, P8 contains many built-in functions and redesigns of the communication protocol and encryption algorithm, making it a well-designed and powerful espionage platform. Based on the implemented supported commands, we suspect the goal is to implement another Cobalt Strike-like post-exploitation platform. Methods to gain persistence on affected systems are not built in and depend on commands received from the C2.

Unfortunately, we were unable to obtain any bait files or initial infection vectors. Based on limited telemetry, we believe with medium to low confidence that some of the initial infections were spear-phishing emails. Notably, these attacks use an obsolete version of the Kaspersky Removal Tool to side-load the P8 beacon. We also observed SMB and printer driver vulnerabilities being used to move laterally through the network.

We published a follow-up report on P8 that describes the plugins used in the attacks. Each time the system restarts, or as required by the operation, P8 downloads additional plugins from the C2 or loads them from disk into memory. So far, we have collected 12 plugins or modules that are used to support the operation by adding functionality for lateral movement, exfiltration, file management, credential stealing, taking screenshots or custom loading capabilities. In particular, two plugins are used to upload files of interest; one plugin is used for small files, while a second is used to upload large files to another server, presumably to reduce the network load on the C2.

We subsequently detected new attacks from this threat actor. While carrying out these attacks, the actor changed its TTPs from those outlined in our previous reports. For example, new persistence mechanisms were detected and we found that the loading mechanism of the final payload, the P8 beacon, also changed. In terms of victimology, there was little change. Most of the infections were still at financial institutions in Vietnam, with one victim active in the manufacturing industry. The infection vector has still not been found, nor have we been able to link these attacks to OceanLotus (APT32).

Earlier in 2024, a secure USB drive was found to be compromised and malicious code was injected into the access management software installed on the USB drive. The secure USB drive was developed by a government entity in Southeast Asia to securely store and transfer files between machines in sensitive environments. The access management software facilitates access to the encrypted partition of the drive. A Trojanized version of the software module was found to be used in these attacks. The malicious code injected into it is designed to steal sensitive files saved on the secure partition of the drive, while also acting as a USB worm and spreading the infection to USB drives of the same type.

Last year we investigated attacks against another different type of secure USB drive. Similarly, the attacks were delivered via a Trojanized USB management software called UTetris. We are tracking the threat actor behind the UTetris software attack as TetrisPhantom. In addition to the Trojanized UTetris software, TetrisPhantom uses a number of other malicious tools that have been in use for a few years. TetrisPhantom is still active and new samples of its tools have recently been detected.

While both the tactic of targeting a secure USB drive by compromising the software module installed on the drive and the victim profile in the recent attacks are similar to TetrisPhantom attacks, the malicious code implanted in the drive bears little similarity to the code injected into the utetris.exe program.

Our report provided an initial analysis of the Trojanized USB management program.

Chinese-speaking activity

In July 2021, we detected a campaign called ExCone targeting government entities in Russia. The attackers leveraged the VLC media player to deploy the FourteenHi backdoor after exploiting MS Exchange vulnerabilities. We also found Cobalt Strike beacons and several traces tying this actor to the ShadowPad malware and UNC2643 activity, which is in turn associated with the HAFNIUM threat actor.

Later that year, we discovered a new set of activities. This time the victimology changed: victims were also found in Europe, Central Asia and Southeast Asia. We also found new samples that we linked to Microcin, a Trojan used exclusively by SixLittleMonkeys. Shortly after, another campaign called DexCone was discovered, with similar TTPs to the ExCone campaign. Several new backdoors such as Pangolin and Iguania were discovered, both of which have similarities to FourteenHi.

Then, in 2022, we discovered another campaign by the same threat actor targeting Russia, with a special interest in government institutions, using spear-phishing emails as an infection vector and deploying an updated version of the Pangolin Trojan.

After that, we did not observe any new activity related to this actor until mid-July 2024. In this most recent campaign, the actor uses spear-phishing emails, embedding a JavaScript loader as the initial infection vector. The JavaScript loader loads yet another loader from a ZIP file, which in turn downloads a BMP image containing shellcode and an embedded PE file, which is the final payload. This is a new backdoor with limited functionality, reading and writing to files and injecting code into the msiexec.exe process. In this campaign, the actor decided to attack Russian educational institutions instead of government entities as it had previously.

The Scieron backdoor, a tool commonly used in cyber-espionage campaigns by the Scarab group, was detected in a new campaign. This campaign introduces novel decoders and loaders that use machine-specific information to decode and decrypt the Scieron backdoor and run it in memory. The campaign has specifically targeted a government entity in an African country and a telecoms provider in Central Asia. Notably, the infections within the telecoms provider have been traced back to 2022.

More recently, in June 2024, an updated infection chain was identified, with an updated set of decoders and loaders designed to run the Scieron backdoor and make it persistent. Our private report also provides a detailed description of the attackers’ post-compromise activities.

Europe

Awaken Likho is an APT campaign, active since at least July 2021, primarily targeting government organizations and contractors. To date, we have detected more than 120 targets in Russia, but there are also targets in other countries and territories such as India, China, Vietnam, Taiwan, Turkey, Slovakia, the Philippines, Australia, Switzerland and the Czech Republic, among others. Based on our findings, we would like to highlight two specific features of this campaign: all attacks are well prepared, and the hackers rely on the use of the legitimate remote administration tool UltraVNC. While this approach is rather simplistic, the attackers have been using this technique successfully for years.

We discovered a new Awaken Likho campaign that emerged in May 2024, in which the threat actor adjusted its TTPs slightly. The threat actor cleaned up its Golang SFX-based archives by removing unused files and also switched to executing AutoIT scripts after file extraction. UltraVNC remained the final payload, but in this campaign it was made to look like a OneDrive update utility. The targeting remained the same as in the earlier campaign – mainly government organizations and their contractors located in Russia.

Awaken Likho then adjusted its TTPs again, in a campaign uncovered in June 2024 that is still ongoing. The threat actor continued to favor the use of AutoIT scripts and also began using protectors such as Themida to protect its samples. While most of the samples we found still deployed the UltraVNC module, the attackers changed the final payload from UltraVNC to MeshAgent in several samples. Unlike previous campaigns, we did not observe the Golang SFX droppers this time. The nature of the threat actor, leveraging open source and free tools, allows it to quickly change its arsenal during active campaigns.

Epeius is a commercial spyware tool developed by an Italian company that claims to provide intelligence solutions to law enforcement agencies and governments. In recent years, the malware attracted the attention of the community due to the publication of two articles. The first, published in 2021 by Motherboard and Citizen Lab, shared the first evidence and indicators related to the software. The second, an article published in 2024 by the Google Threat Analysis Group, described the business model of various companies that provide commercial surveillance solutions. Knowledge of this threat is sparse and the Epeius malware has never been publicly described in detail. Our own threat hunting efforts to obtain related samples started in 2021, and last year we discovered a DEX file that we attribute with medium to high confidence to Epeius. Our private report describes what we know about Epeius and provides a technical description of its main Android component.

Middle East

In September 2023, our colleagues at ESET published a report on a newly discovered and sophisticated backdoor used by the FruityArmor threat actor, which they named DeadGlyph. The same month, we released an APT report detailing the ShadowWhisperer and NightmareLoader tools used in conjunction with the DeadGlyph malware. More recently, we identified what appears to be the latest version of the native DeadGlyph Executor backdoor module, with changes to both its architecture and workflow components.

MuddyWater is an APT actor that surfaced in 2017 and has traditionally targeted countries in the Middle East, Europe and the USA. The actor typically uses multi-stage PowerShell execution in its attacks, probably to obfuscate the attacks, evade defenses and hinder analysis.

Recently we uncovered VBS/DLL-based implants used in intrusions by the MuddyWater APT group that are still active today. The implants were found at multiple government and telecoms entities in Egypt, Kazakhstan, Kuwait, Morocco, Oman, Syria and the UAE. The threat actor achieves persistence through scheduled tasks that execute a malicious VBS file with the wscript.exe utility.

The TTPs and infrastructure we analyzed for the current intrusions are similar to previously reported intrusions by the MuddyWater APT group.

Southeast Asia and Korean Peninsula

Gh0st RAT, an open source RAT created about 15 years ago, is used by various groups, including state-sponsored actors. One of them is Dragon Breath (aka APT-Q-27 and Golden Eye Dog), first discussed in 2020 in connection with a watering hole campaign aimed at tricking users into installing a Trojanized version of Telegram. By 2022, the group was still using Trojanized Telegram applications as an infection vector, but had changed the final payload to Gh0st RAT.

A year later, Sophos published a blog post describing the latest change in the group’s TTPs, which included double side-loading DLLs. Since then, the Gh0st RAT payload has remained the same, but the attackers have again slightly adjusted their TTPs. DLL side-loading was abandoned and replaced by leveraging a logical flaw in a version of the TrueUpdate application, while more recently the group began to run the malware via a Python-based infection chain executed by the installer package.

Historically, Dragon Breath has targeted the online gaming and gambling industry. Given the nature of the infection vector, we’re not yet able to determine the target audience for this campaign. The attack begins by tricking users into downloading a malicious MSI installer. Once the installer is started, the malware is installed alongside the legitimate application. We believe the victim is prompted to download and launch it from a fake site while searching for a Chinese version of the legitimate TrueUpdate MSI installer.

Bitter APT has been active for over a decade. Since late 2023, this threat actor has used and continues to use CHM (compiled HTML) files, LNK shortcuts and DOC files as the first stage of infection. These files carry malicious scripts to connect to a remote server and download the next stage of the attacks, and appear to be used as attachments to spear-phishing emails. The payloads delivered via these malicious scripts represent new samples of backdoor modules described in previous private reports. However, in several cases, the final payloads can only be downloaded by pre-selected system configurations authorized by the threat actor after the initial reconnaissance phase. In a recent report, we discussed the workflow of the initial LNK, DOC and CHM files, their progress through the next stages of the attack, as well as the updates to the final backdoor modules and corresponding infrastructure.

Tropic Trooper (aka KeyBoy and Pirate Panda) is an APT group operating since 2011. The group’s targets have traditionally been in government, as well as the healthcare, transportation and high-tech industries located in Taiwan, the Philippines, and Hong Kong. Our most recent investigation revealed that in 2024, the group conducted persistent campaigns against a government entity in Egypt, which began in June 2023.

We noticed the infection in June 2024, when our telemetry showed recurring alerts for a new China Chopper web shell variant (China Chopper is used by many Chinese-speaking actors) found on a public web server. The server hosted a Content Management System (CMS) called Umbraco, an open source CMS platform for publishing content written in C#. The observed web shell component was compiled as a .NET module of Umbraco CMS.

During our subsequent investigation, we looked for other suspicious detections on this public server and identified several related malware sets. These include post-exploitation tools that we believe with medium confidence are related and being used as part of this intrusion.

We also identified new DLL search-order hijacking implants that are loaded from a legitimate vulnerable executable because it lacks the full path to the required DLL. This attack chain attempted to load the Crowdoor loader, named after SparrowDoor described by ESET. During the attack, the security agent blocked the first Crowdoor loader, which prompted the attackers to switch to a new, as yet unreported variant, with almost the same effect.

We investigated the attribution of this activity to the Chinese-language threat actor known as Tropic Trooper. Our findings show an overlap in capabilities reported in recent Tropic Trooper campaigns. The samples we found also show a high degree of overlap with samples previously attributed to Tropic Trooper.

PhantomNet is a RAT first described by ESET in late 2020. In 2021, we released our analysis of the PhantomNet malware, which at the time was being used in attacks against the Vietnamese government sector. Our report discussed in detail the plugins we found and the commands it supported.

We rediscovered PhantomNet during a recent investigation into a cyberattack on the Brazilian education and government sectors that occurred in April. This time we were able to recover several scripts, commands executed by the attackers, and the PhantomNet builder tool. The threat actor has changed the persistence mechanism so that the payload is now stored in an encrypted manner in the Windows registry and with an associated loader to retrieve the payload from the registry. There are also some changes to the victimology. Previously, PhantomNet infections were found in Asia, but now the infections have been found in many regions around the world and affect a wide variety of industries.

We discussed these findings in our private report, filling in the gaps from our previous report.

We have observed that the Kimsuky group uses a strategy of registering malware as a service for reliable persistence. The so-called ServiceChanger malware drops a malicious DLL file and registers a service disguised as a legitimate service. In the case we analyzed, ServiceChanger installed the TOGREASE malware, which is an evolved version of GREASE that adds the ability to toggle RDP activation when necessary by the operator; and in another instance, it was observed installing the XMRig miner.

In addition, this year’s updated version of the GREASE malware creates backdoor accounts to use RDP connections under the names “Guest” and “IIS_USER”, respectively. They borrow code from the publicly available UACME, allowing them to bypass UAC and execute commands with escalated privileges. Uniquely, the resources section within the GREASE malware includes a Zoom Opener installer vulnerable to DLL hijacking, which has not been observed in use by Kimsuky. However, it is possible that they may create malware that exploits this vulnerability in the future.

The updated GREASE malware is thought to be connected to the RandomQuery malware also used by Kimsuky, as it communicates with the C2 in a similar manner. The similarity and the overlap between the TOGREASE and GREASE malware used by the Kimsuky group suggests that this group is behind the malware.

Hacktivism

In the course of our research on hacktivist groups targeting organizations based in Russia, we have identified similarities among several of these groups. This suggests either that these clusters of activity share at least a subset of the same individuals, or that the groups are working closely together in their attacks. Our report details the tools, malware, and procedures of the BlackJack group and links it to the previously known group Twelve. In addition, further examination of its preferred wiper and ransomware tools uncovered samples that cannot be definitively attributed to either group.

Other interesting discoveries

In June, we identified an active campaign called “PassiveNeuron”, targeting government entities in Latin America and East Asia using previously unknown malware. The servers were compromised before security products were installed, and the method of infection is still unknown. The implants used in this operation were dubbed “Neursite” and “NeuralExecutor”. They do not share any code similarities with known malware, so attribution to a known threat actor is not possible at this time. The campaign shows a high level of sophistication, with the threat actor using compromised internal servers as an intermediate C2 infrastructure. The threat actor is able to move laterally through the infrastructure and exfiltrate data, optionally creating virtual networks that allow attackers to steal files of interest even from machines isolated from the internet. A plugin-based approach provides dynamic adaptation to the attacker’s needs.

In mid-April, we discovered a suspicious domain which, upon further investigation, revealed two backdoors written in Golang. During analysis, another backdoor was discovered that was used earlier in the attack timeline and protected using VMProtect. As well as the backdoors, an unknown keylogger and the use of the SOCAT tool were observed in this attack. The campaign exhibits a few peculiarities. First, the Golang backdoor uses Google Translate services as a proxy to communicate with the C2. Second, the threat actor tries to imitate Kaspersky software in terms of file names and names of scheduled tasks. Thirdly, we found only one infection, targeting a telecoms research center in India. We were unable to attribute this campaign to any known threat actor based on code similarity or TTPs.

In early April, we decided to take a closer look at the Windows Desktop Window Manager (DWM) Core Library Elevation of Privilege vulnerability (CVE-2023-36033), which was previously discovered as a zero-day and exploited in the wild. While searching for samples related to this exploit and attacks using it, we found a document of note that was uploaded to a multi-scanner service on April 1, 2024. This document had a rather descriptive file name, indicating that it contained information about a vulnerability in the Windows operating system. Inside the document we found a brief description of a Windows Desktop Window Manager vulnerability and how it could be exploited to gain system privileges.

The exploitation process described in the document was identical to that used in the previously mentioned zero-day exploit for CVE-2023-36033. However, the vulnerability was different. Judging by the quality of the writing and the fact that the document was missing critical details about how to actually trigger the vulnerability, there was a high probability that the vulnerability described was made up or was present in code that could not be accessed or controlled by the attackers. The subsequent investigation revealed a zero-day vulnerability that can be used to escalate privileges. After reporting the findings to Microsoft, the vulnerability was designated CVE-2024-30051 and a patch was released as part of Patch Tuesday on May 14, 2024.

After closely monitoring our statistics for related exploits and attacks, it became clear that there were several exploits for this zero-day vulnerability. Our discoveries showed that it was being used in conjunction with QakBot and other malware such as NewBot, leading us to believe that multiple threat actors have access to it. While previous findings of in-the-wild exploitation of CVE-2024-30051 showed financial motivation, it is possible that it could be leveraged in future APT activity.

An updated set of intrusions, possibly related to the Deathstalker cyber-mercenary group, employs an updated DarkMe VB6 OCX/DLL implant and stealthier TTPs, such as a more sophisticated infection chain.

In the intrusions we reported previously, the threat actor typically delivered the initial dropper through instant messaging (IM) apps such as Skype. In more recent intrusions, the actor typically delivered the initial dropper through Telegram. We assess with medium confidence that the threat actor delivered the initial droppers via Telegram channels related to e-trading and fintech news.

Apart from the delivery method, the attackers also increased their level of OPSEC and post-compromise cleanup by deleting post-exploitation files, tools, and registry keys after the operators achieve their objectives. Such actions, in turn, make the infection harder to detect and complicate post-compromise investigation.

Final thoughts

While some threat actors’ TTPs remain consistent over time, such as a heavy reliance on social engineering as a means of gaining entry into a target organization or compromising an individual’s device, others have updated their toolsets and expanded the scope of their activities. Our regular quarterly reviews are designed to highlight the most significant developments related to APT groups.

Here are the key trends we observed in Q3 2024:

• This quarter, we saw threat actors broaden their targeting, both in terms of verticals and geography.
• The purpose of most APT activity is cyber-espionage, although hacktivist attacks remain a feature of the threat landscape this quarter, mirroring areas of real-world conflict.
• Even more open source tools have been employed by APT threat actors, mostly to manage network connectivity with C2s.
• We continue to see threat actors using LOTL (Living off the Land) techniques in their campaigns.

As always, we would like to point out that our reports are the product of our visibility into the threat landscape. However, it is important to remember that while we strive for continuous improvement, there is always the possibility that other sophisticated attacks may fly under our radar.

Disclaimer: When we refer to APT groups as Russian-speaking, Chinese-speaking, etc., we are referring to various artifacts used by the groups (such as malware debugging strings, comments found in scripts, etc.) that contain words in those languages, based on information we have obtained directly or that is otherwise publicly known and widely reported. The use of certain languages does not necessarily indicate a specific geographic relationship, but rather indicates the languages used by the developers behind these APT artifacts.

securelist.com/apt-report-q3-2…

Gli sviluppatori del malware Banshee Stealer hanno cessato le attività dopo che il codice sorgente del programma è trapelato online. Banshee Stealer, apparso nell’agosto del 2024, è diventato uno dei pochi infostealer progettati per attaccare macOS.

Tuttavia, il programma è diventato famoso soprattutto per il suo prezzo di affitto elevato: oltre 3.000 dollari al mese, ovvero circa 10 volte superiore al costo standard di programmi simili.

Secondo un rapporto di Elastic Security Labs, il malware aveva tutte le funzioni tipiche degli infostealer: rubare password dai browser, rubare chiavi di portafogli di criptovalute, raccogliere dati sul sistema operativo e lanciare pagine di phishing.

La fuga del codice sorgente, secondo gli esperti, potrebbe essere collegata ad un cliente insoddisfatto. Simili situazioni non sono rare nei forum underground: gli acquirenti, sentendosi ingannati o volendo danneggiare i concorrenti, spesso pubblicano i codici sorgente dei malware rendendoli di pubblico dominio.

Recentemente, il team Elastic Security Labs ha anche identificato un nuovo metodo per diffondere il malware GHOSTPULSE: caricare i dati attraverso i pixel di un file PNG. Questo approccio è stato definito uno dei cambiamenti più significativi nel funzionamento del malware dalla sua introduzione nel 2023.

In precedenza, GHOSTPULSE (HIJACKLOADER, IDATLOADER) nascondeva dati dannosi nei blocchi IDAT dei file PNG. Inoltre, il nuovo algoritmo consente di incorporare dati dannosi direttamente nella struttura dei pixel dell’immagine, complicandone il rilevamento.

L'articolo Banshee Stealer ha Chiuso! Tutto per colpa del codice trapelato online proviene da il blog della sicurezza informatica.

Spoiler alert: almond butter isn’t phosphorescent. But powdered milk is, at least to the limit of detection of this homebrew phosphorescence detector.

Why spend a bunch of time and money on such a thing? The obvious answer is “Why not?”, but more specifically, when [lcamtuf]’s son took a shine (lol) to making phosphorescent compounds, it just seemed natural for dad to tag along in his own way. The basic concept of the detector is to build a light-tight test chamber that can be periodically and briefly flooded with UV light, charging up the putatively phosphorescent compounds within. A high-speed photodiode is then used to detect the afterglow, which can be quantified and displayed.

The analog end of the circuit was the far fussier end of the design, with a high-speed transimpedance amplifier to provide the needed current gain. Another scaling amp and a low-pass filter boosts and cleans up the signal for a 14-bit ADC. [lcamtuf] went to great lengths to make the front end as low-noise as possible, including ferrite beads and short leads to prevent picking up RF interference. The digital side has an AVR microcontroller that talks to the ADC and runs an LCD panel, plus switches the 340 nm LEDs on and off rapidly via a low gate capacitance MOSFET.

Unfortunately, not many things found randomly around the average home are all that phosphorescent. We’re not sure what [lcamtuf] tried other than the aforementioned foodstuffs, but we’d have thought something like table salt would do the trick, at least the iodized stuff. But no matter, the lessons learned along the way were worth the trip.

hackaday.com/2024/11/28/homebr…

I ricercatori di sicurezza informatica hanno segnalato la creazione di un bootkit UEFI unico nel suo genere per i sistemi Linux. Lo strumento, chiamato Bootkitty, è considerato un proof-of-concept (PoC) e, secondo gli esperti, non è stato ancora utilizzato in attacchi reali. Il bootkit è noto anche come IranuKit ed è stato caricato per la prima volta sulla piattaforma VirusTotal il 5 novembre 2024.

Il compito principale di Bootkitty è disabilitare la funzione di verifica della firma del kernel Linuxe precaricare due file ELF tramite il processo init, che viene avviato per primo all’avvio del sistema. Secondo gli esperti di ESET, la funzionalità del bootkit rappresenta una seria sfida per la sicurezza informatica.

Questo bootkit utilizza un certificato autofirmato, che ne impedisce l’esecuzione su sistemi con Secure Boot abilitato, a meno che gli aggressori non abbiano precedentemente installato un certificato controllato. Tuttavia, anche se Secure Boot è abilitato, Bootkitty è in grado di modificare le funzioni di controllo dell’integrità del kernel in memoria prima di avviare il boot loader GRUB.

Pertanto, se Secure Boot è abilitato, Bootkitty si connette a due funzioni dei protocolli di autenticazione UEFI, ignorando i controlli di integrità. Quindi modifica tre funzioni nel bootloader GRUB per consentirgli di aggirare ulteriori controlli di sicurezza. Ciò dimostra la grave vulnerabilità dei sistemi moderni.

L’indagine di ESET ha scoperto un modulo kernel non firmato in bundle che distribuisce un binario ELF BCDropper. Questo file carica un altro modulo del kernel sconosciuto dopo l’avvio del sistema. Le funzioni del modulo includono nascondere file e processi e aprire porte di rete, tipico dei rootkit.

Gli esperti sottolineano che Bootkitty distrugge lo stereotipo secondo cui i bootkit UEFI minacciano solo i sistemi Windows e indica la necessità di prepararsi a nuove minacce. Questa scoperta potrebbe diventare un punto di partenza per ulteriori sviluppi nel campo della protezione delle piattaforme Linux.

L'articolo I Bootkit UEFI Sbarcano su Linux! Come il PoC di IranuKit Svela Vulnerabilità Nascoste proviene da il blog della sicurezza informatica.

Prima del 1994, la maggior parte delle tecnologie di scansione utilizzavano codici a barre unidimensionali in grado di memorizzare solo fino a 80 caratteri alfanumerici. Denso Wave ha creato i primi codici QR, aumentando la capacità a 7.000 caratteri digitali o 4.300 alfanumerici.

Uno studio di Cisco Talos ha dimostrato che i filtri antispam sono praticamente impotenti contro i codici QR dannosi perché non sono in grado di riconoscerne la presenza nelle immagini. Le statistiche mostrano che, sebbene i codici QR appaiano solo in una e-mail su 500, uno scioccante 60% di essi contiene spam o malware.

Questa nuova tipologia di frode è ancora molto giovane. Si chiama “quishing“. Gli aggressori creano siti Web falsi che imitano risorse legittime e inseriscono codici QR in luoghi pubblici. Ad esempio, ci sono stati casi in cui qualcuno ha posizionato adesivi QR sui parchimetri che reindirizzano le vittime a sistemi di pagamento falsi.

Le e-mail con codici QR mascherati da richieste di autenticazione a due fattori sono lo stratagemma più comune. I truffatori li usano per rubare credenziali. Quando un codice QR viene scansionato da un dispositivo mobile, tutto il traffico successivo tra la vittima e l’aggressore passa attraverso la rete cellulare, aggirando i sistemi di sicurezza aziendali.

Nonostante la quota relativamente piccola di tali email (0,1-0,2% del volume totale), finiscono molto più spesso nella casella di posta, aggirando i filtri antispam. Inoltre, i truffatori ingegnosi hanno imparato a creare codici QR utilizzando i caratteri Unicode, rendendoli ancora più difficili da rilevare. I metodi tradizionali per neutralizzare i collegamenti dannosi, come la sostituzione del protocollo “http” con “hxxp” o l’aggiunta di parentesi all’URL, funzionano molto peggio in questo caso.

Esistono modi per rendere i codici QR sicuri da visualizzare, ad esempio mascherando i moduli dati o rimuovendo uno o più modelli di posizione (grandi quadrati agli angoli del codice). Questi trucchi però non sono chiari a tutti e non si sono ancora diffusi.

Una minaccia separata è rappresentata dalla cosiddetta “QR art”, immagini in cui il codice è mascherato da una normale immagine. Un utente potrebbe accidentalmente scansionarlo con una fotocamera e fare clic su un collegamento dannoso senza nemmeno rendersene conto.

Gli analisti di Cisco Talos consigliano di usare la stessa cautela durante la scansione dei codici utilizzata quando si fa clic su collegamenti sospetti. Per chi li utilizza regolarmente, esistono appositi decoder online che consentono di pre-controllare il contenuto.

Ricorda: la semplicità e la comodità delle tecnologie QR non dovrebbero mettere in secondo piano la necessità di rispettare le regole basilari di sicurezza digitale.

L'articolo Codici QR e Sicurezza: Nuove Frodi Tecnologiche all’Orizzonte proviene da il blog della sicurezza informatica.

Nelle ultime settimane, il panorama delle minacce è stato scosso dall’emergere di attacchi che sfruttano la combinazione letale di due vulnerabilità zero-day, CVE-2024-9680 e CVE-2024-49039, collegate rispettivamente a Firefox e a Windows. L’obiettivo è stato identificato in una campagna mirata guidata dal gruppo di cybercriminali dietro la backdoor RomCom. Questa operazione dimostra una sofisticazione crescente nei metodi di attacco e una pericolosa rapidità nello sfruttamento di vulnerabilità.

Le vulnerabilità e il meccanismo di attacco

CVE-2024-9680, una vulnerabilità use-after-free nelle timeline di animazione di Firefox, permette l’esecuzione di codice malevolo senza necessità di interazione da parte della vittima. Gli attacchi che sfruttano questa vulnerabilità sono stati confermati in-the-wild, con un punteggio di gravità pari a 9.8 su 10, evidenziando la sua pericolosità e criticità.

La seconda vulnerabilità, CVE-2024-49039, una falla di elevazione dei privilegi in Windows, consente agli attaccanti di compromettere il sistema sfruttando la combinazione con lo zero-day di Firefox, guadagnando accesso completo al dispositivo della vittima.

La catena di compromissione, scoperta da Damien Schaeffer di ESET, ha avuto inizio con un sito web malevolo progettato per reindirizzare gli utenti a un server che ospitava un exploit zero-click. Non è stata necessaria alcuna interazione da parte dell’utente: una volta attivato, l’exploit scaricava e installava RomCom Backdoor, un malware avanzato che consente agli attaccanti di eseguire comandi remoti, raccogliere informazioni sensibili e scaricare moduli aggiuntivi per ampliare le capacità del malware.

La campagna, attiva tra ottobre e novembre 2024, ha colpito principalmente utenti in Europa e Nord America, mirandoli in particolare nei settori governativo, energetico e sanitario. La scelta di questi settori strategici sottolinea l’interesse di RomCom per dati sensibili e operazioni di sabotaggio.

Mappa delle potenziali vittime che riporta ESET

RomCom: Il gruppo dietro gli attacchi

RomCom (noto anche come Tropical Scorpius o UNC2596) è un gruppo di cybercriminali allineato con la Russia, coinvolto in numerose campagne di cybercrimine e spionaggio. Già nel 2023, aveva sfruttato un attacco zero-day tramite Microsoft Word, dimostrando la sua capacità di adattarsi alle nuove vulnerabilità. Nel 2024, RomCom ha espanso la sua attività colpendo settori critici in Ucraina, Europa e Stati Uniti, confermando l’intensificazione della sua operatività nel rubare dati strategici e danneggiare infrastrutture critiche.

Tempestività nelle Patch

La tempestività nella risposta alle vulnerabilità è stata cruciale per mitigare l’impatto di questa campagna. Mozilla, ad esempio, ha dimostrato una reattività eccezionale: entro 48 ore dalla segnalazione da parte di ESET, sono stati distribuiti aggiornamenti per Firefox e Thunderbird, garantendo protezione agli utenti contro CVE-2024-9680. Anche Microsoft ha seguito rapidamente con il rilascio della patch per CVE-2024-49039 il 12 novembre, chiudendo un’importante porta di accesso sfruttata dagli attaccanti. Questi interventi rapidi hanno dimostrato l’importanza di una collaborazione efficace tra ricercatori di sicurezza e aziende tecnologiche per contenere le minacce prima che possano espandersi su scala più ampia.

Raccomandazioni

1. Aggiornamenti immediati: Applicare prontamente le patch per i browser e i sistemi operativi è fondamentale per proteggere i propri dispositivi da vulnerabilità simili a quelle sfruttate in questa campagna.
2. Monitoraggio continuo: Implementare strumenti avanzati di rilevamento per identificare movimenti laterali e comandi malevoli è cruciale per evitare che gli attaccanti possano passare inosservati.
3. Consapevolezza del personale: Formare i dipendenti sui rischi legati a siti web fasulli e vulnerabilità zero-click può fare la differenza nella prevenzione degli attacchi.

Conclusione

La campagna RomCom evidenzia una crescente sofisticazione nelle operazioni dei gruppi di cybercriminali allineati a stati nazionali, con un utilizzo sempre più frequente di vulnerabilità zero-day per eseguire attacchi mirati e devastanti. La combinazione di falle in Firefox e Windows ha dimostrato come gli exploit possano aggirare le protezioni tradizionali, colpendo senza alcuna interazione da parte delle vittime. Tuttavia, la tempestività nella distribuzione delle patch da parte di Mozilla e Microsoft sottolinea l’importanza di una risposta rapida e coordinata per limitare i danni. Questa vicenda ci ricorda l’urgenza di mantenere sistemi aggiornati, monitorare attivamente le minacce e investire nella sicurezza informatica, poiché i rischi non solo evolvono, ma colpiscono con una velocità senza precedenti.

L'articolo Scoperto l’attacco zero-day più sofisticato del 2024 e RomCom e la Backdoor invisibile proviene da il blog della sicurezza informatica.

There can be few among those of us who produce printed circuit boards, who have not at some point placed a component the wrong way round, or with the wrong footprint. Usually this can be rectified with a bit of rework and a fresh board spin, but just occasionally these mishaps make it into the wild undetected. It seems nobody is immune, as [Doug Brown] is here to tell us with a tale of an Apple product with a misplaced capacitor.

The LC series of Macs came out through the early 1990s, and their pizza-box style cases could be found slowly turning yellow in universities and schools throughout that decade. Of them there was a persistent rumor of the LCIII had a misplaced capacitor, so when he received an unmodified original machine he took a look. The investigation is quite simple, but revealing — there are three power supply rails and one of the capacitors does have a significant leak.

The explanation is simple enough, the designer had placed a capacitor on each rail, with its negative side to the ground plane, but one of the rails delivers -5 volts. Thus the capacitor is the wrong way round, and must have failed pretty early in the lifetime of each LCIII. We’re curious then since so many of them went through their lives without the component being replaced, how the circuit remained functional. We’re guessing that there were enough other capacitors in the -5 volt line to provide enough smoothing.

hackaday.com/2024/11/27/even-a…