Il Tor Project ha annunciato il lancio di una campagna per reclutare volontari per installare 200 nuovi bridge WebTunnel entro la fine dell’anno. Questi bridge sono essenziali per combattere la crescente censura di Internet, soprattutto nei paesi con accesso limitato a Internet.

Tor attualmente utilizza 143 bridge WebTunnel che aiutano gli utenti a aggirare il blocco dei siti Web e le restrizioni di accesso a Internet. Tuttavia, la maggiore censura di Internet in alcune regioni crea ulteriori ostacoli influenzando i meccanismi di elusione integrati come obfs4 e Snowflake.

I bridge WebTunnel sono un nuovo tipo di tecnologia introdotta da Tor nel marzo 2024. Consentono al traffico Tor di essere mascherato da HTTPS, rendendolo difficile da rilevare. A differenza dei bridge standard che utilizzano protocolli come obfs4, WebTunnel funziona attraverso un server web con un certificato SSL/TLS valido, rimanendo non rilevabile dai sistemi di blocco.

I problemi affrontati dagli utenti Tor includono tentativi di bloccare bridge e strumenti di bypass, rimozione di applicazioni rilevanti dagli store e restrizioni a livello di provider di hosting. Ciò rende difficile per gli utenti russi l’accesso gratuito a Internet e sottolinea la necessità di aumentare il numero di bridge WebTunnel.

La campagna durerà fino al 10 marzo 2025 e i partecipanti che installeranno cinque o più ponti riceveranno un regalo commemorativo dal Progetto Tor. Per partecipare è necessario:

• un bridge per indirizzo IPv4;
• disponibilità di un certificato SSL/TLS valido;
• sito web che supporta il bridge;
• larghezza di banda minima 1 TB/mese;
• Disponibilità dei bridge 24 ore su 24 (sono accettabili i riavvii per gli aggiornamenti);
• funzionamento obbligatorio dei ponti durante tutto l’anno.

L’organizzazione consiglia di evitare l’utilizzo dell’hosting Hetzner ed è pronta a fornire istruzioni per la creazione di bridge sul proprio sito ufficiale.

Il progetto Tor spera che i nuovi bridge WebTunnel contribuiscano a mantenere l’accesso a Internet libero a fronte di un maggiore controllo sulla rete.

L'articolo Vuoi Combattere la Censura? Tor Ha Bisogno di Te! proviene da il blog della sicurezza informatica.

I problemi legati allo spionaggio informatico e alle vulnerabilità della catena di approvvigionamento stanno costringendo i paesi africani a cercare modi per diversificare i propri partner tecnologici. I recenti incidenti che coinvolgono backdoor e violazioni dei dati hanno evidenziato i rischi derivanti dal fare affidamento su fornitori stranieri, in particolare dalla Cina e dagli Stati Uniti.

Si scopre che per cinque anni i computer della sede dell’Unione Africana in Etiopia, una struttura costruita da aziende cinesi, hanno trasmesso dati sensibili ai server in Cina. La Cina nega le accuse, ma il caso è diventato un simbolo della vulnerabilità delle forniture tecnologiche.

Secondo un rapporto dell’Africa Center for Strategic Studies (ACSS), i paesi africani stanno iniziando a riconsiderare il proprio approccio all’approvvigionamento. Particolare attenzione è rivolta alla sicurezza delle catene di fornitura che abbracciano applicazioni, dispositivi, infrastrutture e servizi.

Nate Allen, l’autore del rapporto, osserva che l’interesse dei paesi africani per una maggiore indipendenza tecnologica è in crescita. Gli Stati africani sono consapevoli della necessità di controllare e influenzare le proprie catene di approvvigionamento, ha affermato.

Tra le minacce globali come gli attacchi WannaCry e NotPetya, i paesi africani sono anche preoccupati per le interferenze straniere, non solo provenienti dalla Cina ma anche da altri attori, compresi gli Stati Uniti.

Mark Walker, vicepresidente di IDC Sud Africa, sottolinea che lo sviluppo della tecnologia locale e il miglioramento delle competenze delle comunità sono fondamentali per ridurre la dipendenza. Tuttavia, le risorse limitate rallentano questo processo.

Nonostante gli sforzi, 36 delle 100 app più popolari in Africa sono create da aziende cinesi e 23 da aziende americane, mentre la quota di sviluppatori africani è estremamente ridotta. Il dominio statunitense è evidente anche nei sistemi operativi, con Windows, Android e iOS in testa.

Tuttavia, il mercato tecnologico africano è in crescita e le aziende locali comprendono meglio le esigenze nazionali. La diversità e la concorrenza possono aiutare a ridurre l’influenza degli attori esterni, osserva il rapporto dell’ACSS.

Incidenti come l’attacco ai funzionari keniani per il debito verso la Cina, così come le operazioni contro le missioni diplomatiche e le forze militari, sottolineano l’importanza di migliorare la sicurezza informatica. Gli esperti africani mettono in guardia anche sulle vulnerabilità dei software open source ampiamente utilizzati nel continente.

Le aziende che desiderano operare nel mercato africano devono tenere conto delle caratteristiche locali e offrire soluzioni affidabili. Senza ciò rischiano di perdere terreno rispetto alla concorrenza, sottolinea Walker.

L'articolo Cybersecurity in Africa: Dalla Dipendenza Estera all’Indipendenza Tecnologica proviene da il blog della sicurezza informatica.

I ricercatori del team Unit42 hanno scoperto il nuovo malware FrostyGoop che prende di mira i dispositivi Industrial Control System (ICS). Il malware utilizza il protocollo Modbus TCP per sferrare attacchi alle infrastrutture critiche, comprese strutture in Ucraina e Romania. Inoltre il malware è in grado di provocare anche danni fisici.

FrostyGoop è stato avvistato per la prima volta nell’ottobre 2023. Il malware sfrutta le porte Telnet vulnerabili sui dispositivi ENCO e sui router TP-Link WR740N obsoleti, rendendo i sistemi particolarmente vulnerabili agli attacchi. Lo scopo principale è accedere ai dispositivi ed eseguire comandi Modbus.

Una caratteristica speciale di FrostyGoop è l’uso di una configurazione JSON unica e della libreria go-json di Goccy, che semplifica l’analisi del suo funzionamento. I ricercatori hanno anche trovato un eseguibile chiamato “go-encrypt.exe” che crittografa i file JSON utilizzando AES-CFB. Ciò potrebbe indicare un tentativo da parte degli aggressori di nascondere dati sensibili.

Il malware utilizza attivamente Modbus TCP per comunicare con i dispositivi tramite la porta 502. I comandi dannosi includono la lettura e la scrittura di registri utilizzando i codici funzione 3, 6 e 16, che consentono agli aggressori di controllare i dispositivi compromessi.

Gli esperti sottolineano che tali attacchi espongono vulnerabilità critiche nelle infrastrutture legacy ed evidenziano la necessità di rafforzare la protezione dei sistemi industriali. Con la crescente integrazione delle reti IT e OT, stanno emergendo nuovi vettori di attacco, rendendo le minacce provenienti da malware come FrostyGoop ancora più significative.

Gli attacchi alle infrastrutture critiche in paesi come Ucraina, Romania e Stati Uniti confermano l’urgenza del problema. Gli esperti di Palo Alto Networks sottolineano che la protezione dei sistemi legacy è un elemento chiave della sicurezza.

L'articolo ICS a Rischio: Il Nuovo Malware FrostyGoop Colpisce Ucraina e Romania proviene da il blog della sicurezza informatica.

“The Nintendo DS isn’t wide enough!” said nobody, ever. Most players found Nintendo’s form factor to be perfectly acceptable for gaming on the go, after all. Still, that doesn’t mean a handheld gaming rig with a more… cinematic aspect ratio couldn’t be fun! [Marcin Plaza] built just that, with great results.

The initial plan was to build a Steam Deck-like device, but using laptop trackpads instead of joysticks. [Marcin] had a broken Lenovo Yoga 730-13 to use as the basis for the build. That caused the plan to diverge, as the only screen [Marcin] could find that was easily compatible with the laptop’s eDP interface was an ultrawide unit. From there, a clamshell enclosure was designed specifically to rehouse all the key components from the Lenovo laptop. The top half of the clamshell would hold the screen, while the base would feature a small custom keyboard, some buttons, and the aforementioned trackpad. This thing reminds us of the Nintendo DS for multiple reasons. It’s not just the clamshell design—it’s the fact it has a touch control on the lower deck, albeit without a screen.

It’s an original concept for a handheld gaming device, and it makes us wish there were more games built for the ultrawide aspect ratio. This is one project that has us browsing the usual websites to see just what other oddball screens are out there… round screens in a makeup compact clamshell, anyone? Video after the break.

youtube.com/embed/PJccc3qpPh0?…

hackaday.com/2024/11/28/ultra-…

28 novembre 2024

Il Wirral University Teaching Hospital (WUTH), una delle principali strutture sanitarie nel Regno Unito, è stato vittima di un grave attacco informatico che ha paralizzato i suoi sistemi IT, costringendo l’ospedale a rimandare molte procedure non urgenti. In un comunicato ufficiale, l’ente sanitario ha confermato che l’incidente ha avuto un impatto significativo sulla capacità operativa e che si stanno adottando misure per proteggere i dati dei pazienti e ristabilire i servizi essenziali.

L’attacco ha colpito non solo i sistemi clinici, ma anche le infrastrutture amministrative, ostacolando il lavoro del personale e complicando la comunicazione con i pazienti. Al momento, non è stato reso noto se i dati sensibili siano stati esfiltrati o compromessi, ma l’entità del danno sottolinea la vulnerabilità delle infrastrutture sanitarie nel contesto delle moderne minacce cibernetiche.

Analisi dell’evento

Gli attacchi informatici nel settore sanitario non sono un fenomeno nuovo, ma la loro frequenza e gravità stanno crescendo esponenzialmente. Secondo dati recenti, il 34% degli attacchi ransomware a livello globale prende di mira strutture sanitarie, con conseguenze devastanti in termini di costi, interruzioni del servizio e rischi per i pazienti. Il caso del WUTH evidenzia due problematiche principali:

1. La fragilità dei sistemi sanitari digitali: La transizione verso la digitalizzazione, pur offrendo enormi benefici, ha esposto molte istituzioni a rischi elevati. Sistemi obsoleti, mancanza di investimenti adeguati nella cybersecurity e scarsa consapevolezza del personale rendono ospedali e cliniche facili bersagli.
2. L’impatto umano degli attacchi: Quando un ospedale viene colpito, non si tratta solo di dati rubati o denaro richiesto: la vita dei pazienti è direttamente a rischio. Ritardi nelle procedure, impossibilità di accedere a informazioni mediche cruciali e perdita di fiducia nel sistema sanitario sono solo alcune delle conseguenze tangibili.

Commento e considerazioni

Questo attacco arriva in un momento critico in cui molte nazioni stanno recependo normative europee come la Direttiva NIS2 (Norme sulla Sicurezza delle Reti e dei Sistemi Informativi), che impone misure più rigorose per proteggere le infrastrutture critiche. Tuttavia, come dimostra il caso del WUTH, il semplice rispetto di queste normative potrebbe non essere sufficiente se non accompagnato da un cambiamento culturale e operativo.

Inoltre, gli hacker sembrano preferire il settore sanitario proprio per la sua natura critica: gli ospedali, sotto pressione, spesso cedono al ricatto per ripristinare i sistemi il più rapidamente possibile. Ciò alimenta un circolo vizioso che incoraggia ulteriori attacchi.

Conclusioni

Questo evento deve fungere da campanello d’allarme per tutte le organizzazioni sanitarie a livello globale. È necessario:

• Aumentare gli investimenti nella sicurezza informatica: Questo include non solo l’adozione di tecnologie avanzate, ma anche la formazione del personale per riconoscere e rispondere a minacce.
• Migliorare la resilienza operativa: Oltre a prevenire gli attacchi, gli ospedali devono sviluppare piani di continuità che permettano di operare anche in caso di incidenti gravi.
• Rafforzare la collaborazione internazionale: Gli attacchi informatici non conoscono confini, e solo una risposta coordinata e condivisa può arginarne la diffusione.

Infine, la lezione più importante è che la sicurezza informatica non è un costo, ma un investimento essenziale per proteggere non solo dati e infrastrutture, ma anche vite umane. L’attacco al WUTH dimostra quanto possa essere fragile un sistema sanitario, e quanto sia urgente proteggerlo.

L'articolo Ancora Ospedali Sotto Attacco! Pazienti a Rischio e Procedure Rinviate proviene da il blog della sicurezza informatica.

Renewables let you have a more diverse set of energy inputs so you aren’t putting all your generation eggs in one basket. One type of renewable that doesn’t see a lot of love, despite 80% of the world’s population living within 100 km (~60 mi) of a coastline, is harnessing the energy of the tides. [via Electrek]

“The U.S. Department of Energy’s National Renewable Energy Laboratory estimates that wave energy has the potential to generate over 1,400 terawatt-hours per year,” so while this initial project won’t be huge, the overall possible power generation from tidal power is nothing to sneeze at. Known more for its role in shipping fossil fuels, the Port of Los Angeles will host the new wave power pilot being built by Eco Wave Power and Shell. Eco Wave’s system uses floaters to drive pistons that compress hydraulic fluid and turn a generator before the decompressed fluid is returned to the pistons in a nice, tidy loop.

Eco Wave plans to finish construction by early 2025 and already has the power conversion unit onsite at the Port of Los Angeles. While the press release is mum on the planned install capacity, Eco Wave claims they will soon have 404.7 MW of installed capacity through several different pilot projects around the world.

We covered another Swiss company trying to harness tidal power with underwater kites, and if wave power isn’t your thing but you still like mixing water and electricity, why not try offshore wind or a floating solar farm? Just make sure to keep the noise down!

hackaday.com/2024/11/28/us-is-…

They simply don’t make them like they used to, and in the case of this retro LX system build, they only make what never existed in the first place. Earlier this year the long awaited video game UFO 50 released to widespread critical acclaim. The conceit of the game is an interactive anthology of a faux 1980’s game console constructed by a large group of actual indie game developers. Leave it to [Luke], who admitted to UFO 50 to taking over his life, to bring the LX system from the digital screen to the real world.

Each piece of the LX System case was printed on a multi-color filament capable Bambu Labs P1S. Dual XLR jacks wired up as USB serve as controller ports, and the controller itself is a repurposed NES style USB controller fitted with a new housing printed with the same filament as the case. Both the prominent front mounted power and “sys” buttons are functional; the latter actually switches to a new game within UFO 50. The brains of this project is a mini Windows PC hooked up to a 9 inch 720p LCD screen which is plenty enough resolution for pixelated look of the games. As impressive as replicating the whole case look is, it’s really brought together by the addition of a 3.5 inch floppy drive. It could be an interesting way to backup save files, provided they fit within 1.44 MB.

In addition to sharing the completed LX System, [Luke] has also made the print files available online along with a list of project materials used. It would be neat to see an alternate color scheme or remix for this working prototype of a console that never actually existed. In the meantime, there are plenty more games to play and discover in UFO 50…there’s 50 of them after all.

via Time Extension

hackaday.com/2024/11/28/ufo-50…

If you’re good at music theory, you can probably find all the chords and progressions you need just by using your fingers and a suitable instrument. For a lot of musicians, though, remembering huge banks of chords can be difficult, and experimenting with combinations can quickly become tedious and tiring. Enter the minichord, a tiny version of the Omnichord synth designed by [Benjamin] that offers to help out by putting all the chords you need a mere button press away.

The minichord is based around the Teensy 4.0, a capable microcontroller platform if ever there was one. It’s paired with a bunch of tactile buttons which are used to tell the Teensy which chord you desire to play. Various combinations of buttons can be used to play more advanced chords, too. There are potentiometers on board as well for volume control, as well as a touch pad for “strumming” arpeggios and other fine control tasks. An online interface allows modifying the presets onboard, too.

[Benjamin] hopes to get the minichord into production; it’s currently in a Seeedstudio competition that could see that happen, based on likes on the project video. The minichord isn’t the only player in this space, of course. The Orchard synth has been making similar waves this week. We’ve seen [Benjamin’s] work before, too. Video after the break.

youtube.com/embed/66Gu4NNnHgA?…

hackaday.com/2024/11/28/minich…

Gli scienziati dell’Università dell’Illinois hanno sviluppato un nanorobot, NanoGripper, creato da una singola molecola di DNA. Questa struttura in miniatura ricorda una mano con quattro dita flessibili in grado di catturare i virus, incluso il Covid-19, e impedire loro di entrare nelle cellule. Il dispositivo può essere utilizzato per la diagnosi, il blocco delle infezioni e la somministrazione di farmaci alle cellule bersaglio.

Il DNA è diventato la base del design grazie alla sua forza, flessibilità e capacità di essere programmato. Il nanorobot utilizza speciali aptameri del DNA che riconoscono bersagli molecolari, come la proteina spike del coronavirus.

Una volta rilevato il bersaglio, le dita si piegano per bloccare il virus . Il dispositivo può essere fissato a superfici o sistemi complessi per applicazioni biomediche, comprese la diagnostica e la terapia.

Per rilevare il COVID-19, NanoGripper è stato integrato con un cristallo fotonico, che ha permesso di sviluppare un test rapido paragonabile in termini di accuratezza ai metodi PCR. Il test dura circa 30 minuti ed è altamente sensibile grazie alla capacità del nanorobot di catturare singole particelle virali. Quando viene rilevato un virus nel sistema, viene attivato un segnale fluorescente che consente il conteggio delle particelle.

Inoltre, NanoGripper è in grado di bloccare i virus nella fase della loro interazione con le cellule. Negli esperimenti di laboratorio, i nanorobot hanno avvolto le braccia attorno ai virus, impedendo loro di legarsi ai recettori cellulari. Ciò apre la prospettiva di sviluppare agenti antivirali, come uno spray nasale, che potrebbero prevenire l’infezione da virus respiratori.

Il dispositivo viene preso in considerazione anche per altre applicazioni mediche, come la lotta al cancro. Il nanorobot può essere programmato per riconoscere marcatori tumorali specifici e somministrare farmaci direttamente alle cellule colpite. In futuro è prevista un’ulteriore ottimizzazione della progettazione e del test della tecnologia per un’ampia gamma di applicazioni biomediche.

L'articolo Addio Virus! Gli Scienziati Creano NanoGripper, il NanoRobot DNA che li “Cattura” proviene da il blog della sicurezza informatica.

Google ha introdotto una nuova funzionalità chiamata Ripristina credenziali. Tale funzionalità dovrebbe aiutare gli utenti a ripristinare in modo sicuro e rapido l’accesso alle applicazioni di terze parti. Questo ovviamente dopo il passaggio a un nuovo dispositivo Android.

Come funziona Ripristina Credenziali

La funzionalità fa parte dell’API Credential Manager ed è progettata per eliminare la necessità per gli utenti di reinserire più credenziali per ciascuna applicazione. “Con Ripristina credenziali, le app possono connettere facilmente gli utenti agli account su un nuovo dispositivo dopo aver ripristinato app e dati da un dispositivo precedente”, afferma Google.

Secondo l’azienda, questo processo avverrà automaticamente in background mentre l’utente ripristina applicazioni e dati dal vecchio dispositivo. Ciò utilizzerà una cosiddetta chiave di ripristino, che in realtà è una chiave pubblica conforme a FIDO2. Il ripristino della chiave verrà eseguito utilizzando il processo di backup e ripristino integrato di Android.

Pertanto, quando un utente accede a un’app che supporta questa funzionalità, la chiave di ripristino viene archiviata in Credential Manager (localmente sul dispositivo e crittografata).

L’Utilizzo della chiave di ripristino

Se lo si desidera, la chiave di ripristino crittografata può essere archiviata nel cloud se è configurato il backup nel cloud. Naturalmente è anche possibile trasferire manualmente le chiavi di ripristino direttamente da un dispositivo all’altro.

Di conseguenza, quando si passa a un nuovo dispositivo e si ripristinano le applicazioni, durante il processo verranno richieste le chiavi di ripristino. Queste ti consentiranno di accedere automaticamente agli account senza dover reinserire le credenziali.

“Se l’utente attualmente registrato è attendibile, puoi generare una chiave di ripristino in qualsiasi momento dopo che si è autenticato sulla tua app“, istruisce Google agli sviluppatori di app. “Ad esempio, immediatamente dopo l’accesso o durante un controllo di routine per una chiave di ripristino esistente.”

Si consiglia inoltre di eliminare la chiave di ripristino immediatamente dopo la disconnessione dell’utente per evitare un ciclo in cui l’utente si disconnette intenzionalmente e accede nuovamente automaticamente.
Metodi per trasferire la chiave di ripristino tra il vecchio e il nuovo dispositivo: backup su cloud o connessione diretta al dispositivo
Va notato che Apple ha implementato da tempo funzionalità simili in iOS, che utilizza l’attributo kSecAttrAccessible per controllare l’accesso delle app a determinate credenziali archiviate nel portachiavi iCloud.

L'articolo Ripristina Credenziali: la nuova funzione di Android per cambiare Telefono senza Stress! proviene da il blog della sicurezza informatica.

L’edizione 2024 del Digital Security Festival ha portato i racconti di più esperienze con il comune denominatore della sicurezza cyber in tutto il Nordest, parlando a cittadini, imprenditori e professionisti di come la tecnologia sia – o meglio: debba essere – comunque al servizio dell’uomo. Da qui il tema di “Umanocentrico per natura” che ha saputo caratterizzare 10 incontri in presenza e 4 online.

Marco Cozzi, Presidente del Digital Security Festival 2024, si è reso disponibile per un’intervista dopo la conclusione del Festival offrendoci un feedback ma soprattutto un’anteprima del prossimo futuro.

Com’è andata la sesta edizione del Digital Security Festival?

È stata un’edizione straordinaria, che ha superato ogni aspettativa. Dal 18 ottobre all’8 novembre, il Festival ha coinvolto un pubblico incredibilmente vasto, con oltre 1.000 partecipanti agli eventi fisici e online. Abbiamo avuto 10 tappe in presenza, toccando le Province di Udine, Trieste, Treviso, Padova e Vicenza, oltre a quattro eventi online, con la partecipazione di più di 50 relatori, tra esperti nazionali e internazionali. È stato emozionante vedere studenti, imprenditori e cittadini unirsi a noi per discutere temi cruciali come la sicurezza digitale e l’intelligenza artificiale.

Quali sono stati i momenti più significativi di questa edizione?

Uno dei momenti più emozionanti è stato sicuramente l’annuncio dell’onorevole Walter Rizzetto sull’approvazione della legge che introdurrà la sicurezza sul lavoro nelle scuole, fatto davanti a centinaia di studenti a Udine. È stato anche entusiasmante l’annuncio della collaborazione del Festival con le Olimpiadi Italiane di Informatica. Ogni incontro è stato unico: a Trieste abbiamo affrontato l’importanza delle normative europee come la NIS2, mentre a Padova abbiamo discusso degli impatti futuri dell’intelligenza artificiale e del computer quantistico. La chiusura a Vicenza, in una location storica, ha offerto un’esperienza speciale, con interventi di relatori di altissimo livello.
Marco Cozzi e l’on. Walter Rizzetto

Qual è stato il tema principale di questa edizione?

Il tema “Umanocentrico per natura” è stato il filo conduttore. Abbiamo voluto mettere al centro il ruolo dell’essere umano nell’evoluzione tecnologica, ispirandoci alla prima legge della robotica di Isaac Asimov. La tecnologia deve essere un mezzo per migliorare la vita delle persone, non un fine in sé. Questo approccio ha stimolato riflessioni profonde, puntando sull’importanza dell’etica e dell’equilibrio tra progresso tecnologico e necessità umane.

Quanto è stato importante il contributo del direttivo e dei partner del Festival?

Fondamentale. Voglio ringraziare il nostro direttivo, composto da Gabriele Gobbo, Sonia Gastaldi, Luigi Gregori e Davide Bazzan, per il loro impegno e la loro passione. Ogni membro ha dato un contributo essenziale per rendere il Festival quello che è oggi: un punto di riferimento per la cultura della sicurezza digitale. Inoltre, il supporto dei nostri partner e sponsor è stato determinante per il successo e il sostentamento dell’evento
Marco Cozzi, Presidente del Digital Security Festival

Quali sono i prossimi obiettivi per il Digital Security Festival?

Il futuro è entusiasmante. Con la trasformazione in Associazione di Promozione Sociale (APS), possiamo espandere le nostre attività e raggiungere tutta l’Italia e pensare anche all’estero. Inoltre abbiamo gettato le basi per studiare un protocollo con il Consiglio per la Parità di Genere, volto al contrasto al divario di genere nelle aree Stem. Il nostro obiettivo è continuare a diffondere la cultura digitale e rafforzare il legame tra tecnologia, etica e umanità, creando un ecosistema digitale più sicuro e inclusivo per tutti.
Siamo solo all’inizio di un percorso che mira a unire tecnologia e umanità in modo responsabile e sostenibile.

L'articolo Digital Security Festival 2024: l’esperienza del presente al servizio del futuro proviene da il blog della sicurezza informatica.

This holiday season, [Chaz] wanted to continue his family’s tradition of enrobing a little bit of everything in dark chocolate, and built an improved, rotating chocolate-coating machine.

You may remember last year’s offering, aka the conveyor belt version. Although that one worked, too much chocolate was ultimately lost to the surface of the kitchen table. [Chaz] once again started with a standard chocolate fountain and bought a round wire rack that fits the circumference of the bowl at the bottom. He snipped a hole in the center large enough to accommodate the business part of the fountain and printed a collar with holes that he cleverly zip-tied to the rack.

[Chaz] also printed a large gear to go around the bowl, a small gear to attach to a six RPM motor, a motor mount for the bowl, and an air blade attachment for a portable Ryobi fan. The air blade worked quite well, doing the double duty of distributing the chocolate and thinning out the coating. Plus, it gives things a neat rumpled look on the top.

Want to make some special chocolates this year, but don’t want to build an enrober? Get yourself a diffraction grating and make some rainbow goodies with melted chocolate.

youtube.com/embed/vCmFPCjinH8?…

hackaday.com/2024/11/28/chocol…

Schemi fraudolenti come la il “pig butchering” sono diventati una minaccia globale, che colpisce milioni di persone ogni anno. Il termine è una truffa complessa che si basa sulla creazione di relazioni di fiducia online per attirare le vittime verso investimenti fasulli, spesso utilizzando criptovaluta. Di norma, le vittime rimangono senza fondi e gli aggressori scompaiono.

L’epicentro di tali schemi sono i centri criminali nel sud-est asiatico. Secondo l’Istituto statunitense per la pace, circa 300mila persone sono coinvolte in questa attività sotto costrizione e il costo annuo delle frodi supera i 64 miliardi di dollari. I truffatori attirano ignari cercatori di lavoro con un “lavoro da sogno” e poi li ingannano con minacce di violenza.

Dal 2021 Meta si oppone attivamente a questi schemi. Inizialmente l’attenzione dell’azienda era rivolta alla Cambogia, ma con l’espansione delle reti criminali, l’operazione di contromisure si è estesa al Laos, al Myanmar, agli Emirati Arabi Uniti e alle Filippine. Nell’ultimo anno, la società ha rimosso più di due milioni di account associati a questi gruppi criminali e continua a sviluppare soluzioni tecniche per identificarli.

Gli schemi di inganno coprono molte piattaforme, dai social network alla messaggistica istantanea. I truffatori creano profili falsi fingendo di essere persone attraenti, funzionari governativi o aziende famose. Nella fase iniziale, alla vittima è consentito prelevare piccole somme per acquisire fiducia, ma in seguito scompaiono insieme a tutti i fondi.

Meta collabora con le forze dell’ordine e le aziende tecnologiche di tutto il mondo. Ad esempio, grazie agli sforzi del team OpenAI, è stato possibile identificare e fermare l’attività dei truffatori che utilizzavano strumenti automatizzati per creare contenuti in giapponese e cinese. Questi dati hanno contribuito non solo a bloccare le attività dei criminali, ma anche ad espandere le indagini oltre una piattaforma.

Nell’ambito dell’iniziativa Tech Against Scams, Meta ha ospitato un vertice sulle frodi online in collaborazione con organizzazioni internazionali, governi e altre società, tra cui Coinbase e Match Group. I partecipanti hanno discusso delle opportunità per rafforzare il coordinamento per contrastare la minaccia transnazionale.

Meta sta inoltre introducendo nuove funzionalità per proteggere gli utenti. Pertanto, Messenger e Instagram stanno introducendo avvisi sui messaggi sospetti e WhatsApp sta aggiungendo strumenti per verificare le informazioni sui gruppi e sui loro membri. Tali misure aiutano a prevenire l’interazione con i truffatori prima che inizi la comunicazione.

Queste iniziative fanno parte di una strategia globale per proteggere gli utenti. Meta continua a migliorare i prodotti e a condividere il proprio lavoro per combattere le frodi e migliorare l’alfabetizzazione digitale.

L'articolo Meta vs Frodi Online: 2 Milioni di Account Criminali Eliminati! proviene da il blog della sicurezza informatica.

Nel plugin anti-spam sviluppato da CleanTalk sono state scoperte due vulnerabilità critiche. Questi bug consentono a un utente malintenzionato non autorizzato di installare e attivare plug-in dannosi su siti vulnerabili, il che può portare all’esecuzione di codice in modalità remota e al completo controllo della risorsa.

Le vulnerabilità nei plugin Protezione spam, Anti-Spam e FireWall, installati più di 200.000 volte, hanno ricevuto gli identificatori CVE-2024-10542 e CVE-2024-10781 (9,8 punti su 10 possibili sulla scala CVSS). È stato riferito che sono già stati corretti nelle versioni 6.44 e 6.45.

Il plug-in CleanTalk Spam è pubblicizzato come uno “strumento anti-spam tutto in uno” che blocca lo spam nei commenti, nei sondaggi, nelle registrazioni e altro ancora.

Secondo gli specialisti di Wordfence, entrambe le vulnerabilità sono associate a un problema di bypass dell’autorizzazione, che alla fine consente a un utente malintenzionato di installare e attivare plug-in di terze parti. Ciò potrebbe portare all’esecuzione di codice in modalità remota se il nuovo plugin contiene anche una vulnerabilità sfruttata dall’hacker.

I ricercatori spiegano che il primo bypass di autorizzazione (CVE-2024-10542) ha interessato una funzione che gestisce le chiamate remote e le installazioni di plug-in, che eseguivano l’autorizzazione del token per queste azioni. E altre due funzioni utilizzate per verificare l’indirizzo IP e il nome di dominio erano vulnerabili allo spoofing IP e DNS, che consentiva agli hacker di specificare un IP e un sottodominio sotto il loro controllo e aggirare l’autorizzazione.

Allo stesso tempo, il problema originale CVE-2024-10542 è stato scoperto alla fine di ottobre e risolto il 1° novembre con il rilascio della versione 6.44. Tuttavia, la versione corretta del plugin si è rivelata vulnerabile a CVE-2024-10781, un altro modo per aggirare l’autorizzazione.

Come nel caso della prima vulnerabilità, lo sfruttamento riuscito del CVE-2024-10781 ha consentito l’installazione e l’attivazione di plugin arbitrari, quindi sfruttati per un attacco RCE. Una patch per questo bug è stata rilasciata con la versione 6.45 il 14 novembre 2024.

Secondo le statistiche ufficiali, al 27 novembre 2024, circa la metà delle installazioni attive del plugin non sono ancora state aggiornate alla versione corretta, il che significa che sono potenzialmente vulnerabili agli attacchi.

L'articolo Un plugin AntiSpam che ti porta una RCE! 200.000 siti WordPress in pericolo proviene da il blog della sicurezza informatica.

The games consoles which came out of Japan in the 1980s are the stuff of legend, with the offerings from Nintendo and Sega weaving themselves into global popular culture. Most of us can recite a list of the main players in the market, but how many of us would have Epoch and their Super Cassette Vision on that list? [Nicole Express] is here with a look at this forgotten machine which tried so hard and yet missed the target when competing with the NES or Master System.

Before the arrival of the Sega and Nintendo cartridge based systems, one of the better known Japanese consoles was the Epoch Cassette Vision. This was something of a hybrid between single-game TV games and an Atari 2600 style computing device for games, in that it used pre-programmed microcontrollers in its cartridges rather than the ROMs of the 2600. For the late-70s gamer this was still hot stuff, but by 1983 as the Master System and NES hove into view it was definitely past its best. Epoch’s response for 1984 was the Super Cassette Vision, a much more conventional 8-bit console with on the face of it some respectable graphics and sound hardware.

The article looks at the console’s capabilities in detail, highlighting the multi-colored sprites and smooth sprite movement, but also the tilemap limitations and the somewhat awful sound chip shared with handheld games and sounding very much like it. Coupled with its inferior controllers and TV game style aesthetic, it’s not difficult to see why it would be the last console from this manufacturer.

If forgotten consoles are your thing, have a read about the Fairchild Channel F, the machine that gave us console cartridges.

hackaday.com/2024/11/28/the-ja…

Le forze dell’ordine africane hanno annunciato l’operazione Serengeti, durante la quale sono state arrestate più di 1.000 persone sospettate di coinvolgimento in attività di criminalità informatica. L’importo totale del danno finanziario causato è stimato a 193 milioni di dollari.

L’operazione è stata coordinata da Interpol e Afripol ed è stata effettuata tra il 2 settembre e il 31 ottobre 2024. È stato riferito che il Serengeti “prendeva di mira principalmente i criminali associati a ransomware, attacchi BEC (compromissione della posta elettronica aziendale), estorsione digitale e frode online”.

Distrutte 134.089 infrastrutture informatiche

In totale, le autorità di 19 paesi africani hanno arrestato 1.006 sospetti e distrutto 134.089 infrastrutture e reti dannose, sulla base delle informazioni operative fornite loro da partner di società di sicurezza informatica come Cybercrime Atlas, Fortinet, Group-IB, Kaspersky Lab, Team Cymru, Trend Micro e la sicurezza di Uppsala.

Gli investigatori hanno scoperto che i sospettati e le loro infrastrutture erano collegati ad almeno 35.224 vittime identificate che hanno perso circa 193 milioni di dollari a causa di vari attacchi di hacking e frode. Durante l’operazione Serengeti, le vittime riuscirono a recuperare circa 44 milioni di dollari.

Una vasta operazione che copre tutta l’Africa

Le forze dell’ordine in regioni specifiche riferiscono che le seguenti azioni sono il risultato del Serengeti.

• Kenya : risolto un caso di frode con carta di credito che comportava perdite per 8,6 milioni di dollari. I fondi sono stati rubati utilizzando script fraudolenti e reindirizzati tramite il sistema SWIFT ad aziende negli Emirati Arabi Uniti, Nigeria e Cina. Sono state effettuate circa due dozzine di arresti.
• Senegal : Scoperto uno schema Ponzi che ha coinvolto 1.811 vittime che hanno perso circa sei milioni di dollari. Sono state sequestrate più di 900 carte SIM, 11.000 dollari in contanti, telefoni, computer portatili e carte d’identità delle vittime. Otto persone sono state arrestate (tra cui cinque cittadini cinesi).
• Nigeria : un uomo è stato arrestato per aver gestito una truffa sugli investimenti online e aver guadagnato 300.000 dollari con false promesse di criptovalute.
• Camerun: è stata smascherata una truffa di network marketing che ha coinvolto vittime provenienti da sette paesi. Alle vittime era stato promesso un lavoro, ma alla fine sono state tenute prigioniere e costrette a reclutare altre persone per essere rilasciate. Il gruppo ha raccolto almeno 150.000 dollari in quote associative.
• Angola: sono state interrotte le attività di un gruppo internazionale che gestisce un casinò virtuale a Luanda. Centinaia di persone sono state ingannate con promesse di vincite in cambio dell’attrazione di nuovi membri. Sono stati effettuati 150 arresti, sequestrati 200 computer e più di 100 telefoni cellulari.

All’operazione Serengeti hanno preso parte anche Algeria, Benin, Costa d’Avorio, RDC, Gabon, Ghana, Mauritius, Mozambico, Ruanda, Sud Africa, Tanzania, Tunisia, Zambia e Zimbabwe.

L'articolo Operazione Serengeti in Africa: 1.000 hacker criminali arrestati e 193 milioni di dollari di danni! proviene da il blog della sicurezza informatica.

Kaspersky’s Global Research and Analysis Team (GReAT) has been releasing quarterly summaries of advanced persistent threat (APT) activity for over seven years now. Based on our threat intelligence research, these summaries offer a representative overview of what we’ve published and discussed in more detail in our private APT reports. They are intended to highlight the significant events and findings that we think are important for people to know about. This is our latest roundup, covering activity we observed during Q3 2024.

If you’d like to learn more about our intelligence reports or request more information about a specific report, please contact intelreports@kaspersky.com.

The most remarkable findings

In the second half of 2022, a wave of attacks from an unknown threat actor targeted victims with a new type of attack framework that we dubbed P8. The campaign targeted Vietnamese victims, mostly from the financial sector, with some from the real estate sector. Later, in 2023, Elastic Lab published a report about an OceanLotus APT (aka APT32) attack that leveraged a new set of malicious tools called Spectral Viper. Although the campaigns are the same, we cannot conclusively attribute P8 to OceanLotus.

The P8 framework includes a loader and multiple plugins. Except for the first-stage loader and the PipeShell plugin, all plugins are downloaded from the C2 and then loaded into memory, leaving no trace on disk. After a thorough analysis of the framework and its modules, we believe P8 was developed based on the open source project C2Implant, which is a red teaming C2 framework. However, P8 contains many built-in functions and redesigns of the communication protocol and encryption algorithm, making it a well-designed and powerful espionage platform. Based on the implemented supported commands, we suspect the goal is to implement another Cobalt Strike-like post-exploitation platform. Methods to gain persistence on affected systems are not built in and depend on commands received from the C2.

Unfortunately, we were unable to obtain any bait files or initial infection vectors. Based on limited telemetry, we believe with medium to low confidence that some of the initial infections were spear-phishing emails. Notably, these attacks use an obsolete version of the Kaspersky Removal Tool to side-load the P8 beacon. We also observed SMB and printer driver vulnerabilities being used to move laterally through the network.

We published a follow-up report on P8 that describes the plugins used in the attacks. Each time the system restarts, or as required by the operation, P8 downloads additional plugins from the C2 or loads them from disk into memory. So far, we have collected 12 plugins or modules that are used to support the operation by adding functionality for lateral movement, exfiltration, file management, credential stealing, taking screenshots or custom loading capabilities. In particular, two plugins are used to upload files of interest; one plugin is used for small files, while a second is used to upload large files to another server, presumably to reduce the network load on the C2.

We subsequently detected new attacks from this threat actor. While carrying out these attacks, the actor changed its TTPs from those outlined in our previous reports. For example, new persistence mechanisms were detected and we found that the loading mechanism of the final payload, the P8 beacon, also changed. In terms of victimology, there was little change. Most of the infections were still at financial institutions in Vietnam, with one victim active in the manufacturing industry. The infection vector has still not been found, nor have we been able to link these attacks to OceanLotus (APT32).

Earlier in 2024, a secure USB drive was found to be compromised and malicious code was injected into the access management software installed on the USB drive. The secure USB drive was developed by a government entity in Southeast Asia to securely store and transfer files between machines in sensitive environments. The access management software facilitates access to the encrypted partition of the drive. A Trojanized version of the software module was found to be used in these attacks. The malicious code injected into it is designed to steal sensitive files saved on the secure partition of the drive, while also acting as a USB worm and spreading the infection to USB drives of the same type.

Last year we investigated attacks against another different type of secure USB drive. Similarly, the attacks were delivered via a Trojanized USB management software called UTetris. We are tracking the threat actor behind the UTetris software attack as TetrisPhantom. In addition to the Trojanized UTetris software, TetrisPhantom uses a number of other malicious tools that have been in use for a few years. TetrisPhantom is still active and new samples of its tools have recently been detected.

While both the tactic of targeting a secure USB drive by compromising the software module installed on the drive and the victim profile in the recent attacks are similar to TetrisPhantom attacks, the malicious code implanted in the drive bears little similarity to the code injected into the utetris.exe program.

Our report provided an initial analysis of the Trojanized USB management program.

Chinese-speaking activity

In July 2021, we detected a campaign called ExCone targeting government entities in Russia. The attackers leveraged the VLC media player to deploy the FourteenHi backdoor after exploiting MS Exchange vulnerabilities. We also found Cobalt Strike beacons and several traces tying this actor to the ShadowPad malware and UNC2643 activity, which is in turn associated with the HAFNIUM threat actor.

Later that year, we discovered a new set of activities. This time the victimology changed: victims were also found in Europe, Central Asia and Southeast Asia. We also found new samples that we linked to Microcin, a Trojan used exclusively by SixLittleMonkeys. Shortly after, another campaign called DexCone was discovered, with similar TTPs to the ExCone campaign. Several new backdoors such as Pangolin and Iguania were discovered, both of which have similarities to FourteenHi.

Then, in 2022, we discovered another campaign by the same threat actor targeting Russia, with a special interest in government institutions, using spear-phishing emails as an infection vector and deploying an updated version of the Pangolin Trojan.

After that, we did not observe any new activity related to this actor until mid-July 2024. In this most recent campaign, the actor uses spear-phishing emails, embedding a JavaScript loader as the initial infection vector. The JavaScript loader loads yet another loader from a ZIP file, which in turn downloads a BMP image containing shellcode and an embedded PE file, which is the final payload. This is a new backdoor with limited functionality, reading and writing to files and injecting code into the msiexec.exe process. In this campaign, the actor decided to attack Russian educational institutions instead of government entities as it had previously.

The Scieron backdoor, a tool commonly used in cyber-espionage campaigns by the Scarab group, was detected in a new campaign. This campaign introduces novel decoders and loaders that use machine-specific information to decode and decrypt the Scieron backdoor and run it in memory. The campaign has specifically targeted a government entity in an African country and a telecoms provider in Central Asia. Notably, the infections within the telecoms provider have been traced back to 2022.

More recently, in June 2024, an updated infection chain was identified, with an updated set of decoders and loaders designed to run the Scieron backdoor and make it persistent. Our private report also provides a detailed description of the attackers’ post-compromise activities.

Europe

Awaken Likho is an APT campaign, active since at least July 2021, primarily targeting government organizations and contractors. To date, we have detected more than 120 targets in Russia, but there are also targets in other countries and territories such as India, China, Vietnam, Taiwan, Turkey, Slovakia, the Philippines, Australia, Switzerland and the Czech Republic, among others. Based on our findings, we would like to highlight two specific features of this campaign: all attacks are well prepared, and the hackers rely on the use of the legitimate remote administration tool UltraVNC. While this approach is rather simplistic, the attackers have been using this technique successfully for years.

We discovered a new Awaken Likho campaign that emerged in May 2024, in which the threat actor adjusted its TTPs slightly. The threat actor cleaned up its Golang SFX-based archives by removing unused files and also switched to executing AutoIT scripts after file extraction. UltraVNC remained the final payload, but in this campaign it was made to look like a OneDrive update utility. The targeting remained the same as in the earlier campaign – mainly government organizations and their contractors located in Russia.

Awaken Likho then adjusted its TTPs again, in a campaign uncovered in June 2024 that is still ongoing. The threat actor continued to favor the use of AutoIT scripts and also began using protectors such as Themida to protect its samples. While most of the samples we found still deployed the UltraVNC module, the attackers changed the final payload from UltraVNC to MeshAgent in several samples. Unlike previous campaigns, we did not observe the Golang SFX droppers this time. The nature of the threat actor, leveraging open source and free tools, allows it to quickly change its arsenal during active campaigns.

Epeius is a commercial spyware tool developed by an Italian company that claims to provide intelligence solutions to law enforcement agencies and governments. In recent years, the malware attracted the attention of the community due to the publication of two articles. The first, published in 2021 by Motherboard and Citizen Lab, shared the first evidence and indicators related to the software. The second, an article published in 2024 by the Google Threat Analysis Group, described the business model of various companies that provide commercial surveillance solutions. Knowledge of this threat is sparse and the Epeius malware has never been publicly described in detail. Our own threat hunting efforts to obtain related samples started in 2021, and last year we discovered a DEX file that we attribute with medium to high confidence to Epeius. Our private report describes what we know about Epeius and provides a technical description of its main Android component.

Middle East

In September 2023, our colleagues at ESET published a report on a newly discovered and sophisticated backdoor used by the FruityArmor threat actor, which they named DeadGlyph. The same month, we released an APT report detailing the ShadowWhisperer and NightmareLoader tools used in conjunction with the DeadGlyph malware. More recently, we identified what appears to be the latest version of the native DeadGlyph Executor backdoor module, with changes to both its architecture and workflow components.

MuddyWater is an APT actor that surfaced in 2017 and has traditionally targeted countries in the Middle East, Europe and the USA. The actor typically uses multi-stage PowerShell execution in its attacks, probably to obfuscate the attacks, evade defenses and hinder analysis.

Recently we uncovered VBS/DLL-based implants used in intrusions by the MuddyWater APT group that are still active today. The implants were found at multiple government and telecoms entities in Egypt, Kazakhstan, Kuwait, Morocco, Oman, Syria and the UAE. The threat actor achieves persistence through scheduled tasks that execute a malicious VBS file with the wscript.exe utility.

The TTPs and infrastructure we analyzed for the current intrusions are similar to previously reported intrusions by the MuddyWater APT group.

Southeast Asia and Korean Peninsula

Gh0st RAT, an open source RAT created about 15 years ago, is used by various groups, including state-sponsored actors. One of them is Dragon Breath (aka APT-Q-27 and Golden Eye Dog), first discussed in 2020 in connection with a watering hole campaign aimed at tricking users into installing a Trojanized version of Telegram. By 2022, the group was still using Trojanized Telegram applications as an infection vector, but had changed the final payload to Gh0st RAT.

A year later, Sophos published a blog post describing the latest change in the group’s TTPs, which included double side-loading DLLs. Since then, the Gh0st RAT payload has remained the same, but the attackers have again slightly adjusted their TTPs. DLL side-loading was abandoned and replaced by leveraging a logical flaw in a version of the TrueUpdate application, while more recently the group began to run the malware via a Python-based infection chain executed by the installer package.

Historically, Dragon Breath has targeted the online gaming and gambling industry. Given the nature of the infection vector, we’re not yet able to determine the target audience for this campaign. The attack begins by tricking users into downloading a malicious MSI installer. Once the installer is started, the malware is installed alongside the legitimate application. We believe the victim is prompted to download and launch it from a fake site while searching for a Chinese version of the legitimate TrueUpdate MSI installer.

Bitter APT has been active for over a decade. Since late 2023, this threat actor has used and continues to use CHM (compiled HTML) files, LNK shortcuts and DOC files as the first stage of infection. These files carry malicious scripts to connect to a remote server and download the next stage of the attacks, and appear to be used as attachments to spear-phishing emails. The payloads delivered via these malicious scripts represent new samples of backdoor modules described in previous private reports. However, in several cases, the final payloads can only be downloaded by pre-selected system configurations authorized by the threat actor after the initial reconnaissance phase. In a recent report, we discussed the workflow of the initial LNK, DOC and CHM files, their progress through the next stages of the attack, as well as the updates to the final backdoor modules and corresponding infrastructure.

Tropic Trooper (aka KeyBoy and Pirate Panda) is an APT group operating since 2011. The group’s targets have traditionally been in government, as well as the healthcare, transportation and high-tech industries located in Taiwan, the Philippines, and Hong Kong. Our most recent investigation revealed that in 2024, the group conducted persistent campaigns against a government entity in Egypt, which began in June 2023.

We noticed the infection in June 2024, when our telemetry showed recurring alerts for a new China Chopper web shell variant (China Chopper is used by many Chinese-speaking actors) found on a public web server. The server hosted a Content Management System (CMS) called Umbraco, an open source CMS platform for publishing content written in C#. The observed web shell component was compiled as a .NET module of Umbraco CMS.

During our subsequent investigation, we looked for other suspicious detections on this public server and identified several related malware sets. These include post-exploitation tools that we believe with medium confidence are related and being used as part of this intrusion.

We also identified new DLL search-order hijacking implants that are loaded from a legitimate vulnerable executable because it lacks the full path to the required DLL. This attack chain attempted to load the Crowdoor loader, named after SparrowDoor described by ESET. During the attack, the security agent blocked the first Crowdoor loader, which prompted the attackers to switch to a new, as yet unreported variant, with almost the same effect.

We investigated the attribution of this activity to the Chinese-language threat actor known as Tropic Trooper. Our findings show an overlap in capabilities reported in recent Tropic Trooper campaigns. The samples we found also show a high degree of overlap with samples previously attributed to Tropic Trooper.

PhantomNet is a RAT first described by ESET in late 2020. In 2021, we released our analysis of the PhantomNet malware, which at the time was being used in attacks against the Vietnamese government sector. Our report discussed in detail the plugins we found and the commands it supported.

We rediscovered PhantomNet during a recent investigation into a cyberattack on the Brazilian education and government sectors that occurred in April. This time we were able to recover several scripts, commands executed by the attackers, and the PhantomNet builder tool. The threat actor has changed the persistence mechanism so that the payload is now stored in an encrypted manner in the Windows registry and with an associated loader to retrieve the payload from the registry. There are also some changes to the victimology. Previously, PhantomNet infections were found in Asia, but now the infections have been found in many regions around the world and affect a wide variety of industries.

We discussed these findings in our private report, filling in the gaps from our previous report.

We have observed that the Kimsuky group uses a strategy of registering malware as a service for reliable persistence. The so-called ServiceChanger malware drops a malicious DLL file and registers a service disguised as a legitimate service. In the case we analyzed, ServiceChanger installed the TOGREASE malware, which is an evolved version of GREASE that adds the ability to toggle RDP activation when necessary by the operator; and in another instance, it was observed installing the XMRig miner.

In addition, this year’s updated version of the GREASE malware creates backdoor accounts to use RDP connections under the names “Guest” and “IIS_USER”, respectively. They borrow code from the publicly available UACME, allowing them to bypass UAC and execute commands with escalated privileges. Uniquely, the resources section within the GREASE malware includes a Zoom Opener installer vulnerable to DLL hijacking, which has not been observed in use by Kimsuky. However, it is possible that they may create malware that exploits this vulnerability in the future.

The updated GREASE malware is thought to be connected to the RandomQuery malware also used by Kimsuky, as it communicates with the C2 in a similar manner. The similarity and the overlap between the TOGREASE and GREASE malware used by the Kimsuky group suggests that this group is behind the malware.

Hacktivism

In the course of our research on hacktivist groups targeting organizations based in Russia, we have identified similarities among several of these groups. This suggests either that these clusters of activity share at least a subset of the same individuals, or that the groups are working closely together in their attacks. Our report details the tools, malware, and procedures of the BlackJack group and links it to the previously known group Twelve. In addition, further examination of its preferred wiper and ransomware tools uncovered samples that cannot be definitively attributed to either group.

Other interesting discoveries

In June, we identified an active campaign called “PassiveNeuron”, targeting government entities in Latin America and East Asia using previously unknown malware. The servers were compromised before security products were installed, and the method of infection is still unknown. The implants used in this operation were dubbed “Neursite” and “NeuralExecutor”. They do not share any code similarities with known malware, so attribution to a known threat actor is not possible at this time. The campaign shows a high level of sophistication, with the threat actor using compromised internal servers as an intermediate C2 infrastructure. The threat actor is able to move laterally through the infrastructure and exfiltrate data, optionally creating virtual networks that allow attackers to steal files of interest even from machines isolated from the internet. A plugin-based approach provides dynamic adaptation to the attacker’s needs.

In mid-April, we discovered a suspicious domain which, upon further investigation, revealed two backdoors written in Golang. During analysis, another backdoor was discovered that was used earlier in the attack timeline and protected using VMProtect. As well as the backdoors, an unknown keylogger and the use of the SOCAT tool were observed in this attack. The campaign exhibits a few peculiarities. First, the Golang backdoor uses Google Translate services as a proxy to communicate with the C2. Second, the threat actor tries to imitate Kaspersky software in terms of file names and names of scheduled tasks. Thirdly, we found only one infection, targeting a telecoms research center in India. We were unable to attribute this campaign to any known threat actor based on code similarity or TTPs.

In early April, we decided to take a closer look at the Windows Desktop Window Manager (DWM) Core Library Elevation of Privilege vulnerability (CVE-2023-36033), which was previously discovered as a zero-day and exploited in the wild. While searching for samples related to this exploit and attacks using it, we found a document of note that was uploaded to a multi-scanner service on April 1, 2024. This document had a rather descriptive file name, indicating that it contained information about a vulnerability in the Windows operating system. Inside the document we found a brief description of a Windows Desktop Window Manager vulnerability and how it could be exploited to gain system privileges.

The exploitation process described in the document was identical to that used in the previously mentioned zero-day exploit for CVE-2023-36033. However, the vulnerability was different. Judging by the quality of the writing and the fact that the document was missing critical details about how to actually trigger the vulnerability, there was a high probability that the vulnerability described was made up or was present in code that could not be accessed or controlled by the attackers. The subsequent investigation revealed a zero-day vulnerability that can be used to escalate privileges. After reporting the findings to Microsoft, the vulnerability was designated CVE-2024-30051 and a patch was released as part of Patch Tuesday on May 14, 2024.

After closely monitoring our statistics for related exploits and attacks, it became clear that there were several exploits for this zero-day vulnerability. Our discoveries showed that it was being used in conjunction with QakBot and other malware such as NewBot, leading us to believe that multiple threat actors have access to it. While previous findings of in-the-wild exploitation of CVE-2024-30051 showed financial motivation, it is possible that it could be leveraged in future APT activity.

An updated set of intrusions, possibly related to the Deathstalker cyber-mercenary group, employs an updated DarkMe VB6 OCX/DLL implant and stealthier TTPs, such as a more sophisticated infection chain.

In the intrusions we reported previously, the threat actor typically delivered the initial dropper through instant messaging (IM) apps such as Skype. In more recent intrusions, the actor typically delivered the initial dropper through Telegram. We assess with medium confidence that the threat actor delivered the initial droppers via Telegram channels related to e-trading and fintech news.

Apart from the delivery method, the attackers also increased their level of OPSEC and post-compromise cleanup by deleting post-exploitation files, tools, and registry keys after the operators achieve their objectives. Such actions, in turn, make the infection harder to detect and complicate post-compromise investigation.

Final thoughts

While some threat actors’ TTPs remain consistent over time, such as a heavy reliance on social engineering as a means of gaining entry into a target organization or compromising an individual’s device, others have updated their toolsets and expanded the scope of their activities. Our regular quarterly reviews are designed to highlight the most significant developments related to APT groups.

Here are the key trends we observed in Q3 2024:

• This quarter, we saw threat actors broaden their targeting, both in terms of verticals and geography.
• The purpose of most APT activity is cyber-espionage, although hacktivist attacks remain a feature of the threat landscape this quarter, mirroring areas of real-world conflict.
• Even more open source tools have been employed by APT threat actors, mostly to manage network connectivity with C2s.
• We continue to see threat actors using LOTL (Living off the Land) techniques in their campaigns.

As always, we would like to point out that our reports are the product of our visibility into the threat landscape. However, it is important to remember that while we strive for continuous improvement, there is always the possibility that other sophisticated attacks may fly under our radar.

Disclaimer: When we refer to APT groups as Russian-speaking, Chinese-speaking, etc., we are referring to various artifacts used by the groups (such as malware debugging strings, comments found in scripts, etc.) that contain words in those languages, based on information we have obtained directly or that is otherwise publicly known and widely reported. The use of certain languages does not necessarily indicate a specific geographic relationship, but rather indicates the languages used by the developers behind these APT artifacts.

securelist.com/apt-report-q3-2…

Gli sviluppatori del malware Banshee Stealer hanno cessato le attività dopo che il codice sorgente del programma è trapelato online. Banshee Stealer, apparso nell’agosto del 2024, è diventato uno dei pochi infostealer progettati per attaccare macOS.

Tuttavia, il programma è diventato famoso soprattutto per il suo prezzo di affitto elevato: oltre 3.000 dollari al mese, ovvero circa 10 volte superiore al costo standard di programmi simili.

Secondo un rapporto di Elastic Security Labs, il malware aveva tutte le funzioni tipiche degli infostealer: rubare password dai browser, rubare chiavi di portafogli di criptovalute, raccogliere dati sul sistema operativo e lanciare pagine di phishing.

La fuga del codice sorgente, secondo gli esperti, potrebbe essere collegata ad un cliente insoddisfatto. Simili situazioni non sono rare nei forum underground: gli acquirenti, sentendosi ingannati o volendo danneggiare i concorrenti, spesso pubblicano i codici sorgente dei malware rendendoli di pubblico dominio.

Recentemente, il team Elastic Security Labs ha anche identificato un nuovo metodo per diffondere il malware GHOSTPULSE: caricare i dati attraverso i pixel di un file PNG. Questo approccio è stato definito uno dei cambiamenti più significativi nel funzionamento del malware dalla sua introduzione nel 2023.

In precedenza, GHOSTPULSE (HIJACKLOADER, IDATLOADER) nascondeva dati dannosi nei blocchi IDAT dei file PNG. Inoltre, il nuovo algoritmo consente di incorporare dati dannosi direttamente nella struttura dei pixel dell’immagine, complicandone il rilevamento.

L'articolo Banshee Stealer ha Chiuso! Tutto per colpa del codice trapelato online proviene da il blog della sicurezza informatica.

Spoiler alert: almond butter isn’t phosphorescent. But powdered milk is, at least to the limit of detection of this homebrew phosphorescence detector.

Why spend a bunch of time and money on such a thing? The obvious answer is “Why not?”, but more specifically, when [lcamtuf]’s son took a shine (lol) to making phosphorescent compounds, it just seemed natural for dad to tag along in his own way. The basic concept of the detector is to build a light-tight test chamber that can be periodically and briefly flooded with UV light, charging up the putatively phosphorescent compounds within. A high-speed photodiode is then used to detect the afterglow, which can be quantified and displayed.

The analog end of the circuit was the far fussier end of the design, with a high-speed transimpedance amplifier to provide the needed current gain. Another scaling amp and a low-pass filter boosts and cleans up the signal for a 14-bit ADC. [lcamtuf] went to great lengths to make the front end as low-noise as possible, including ferrite beads and short leads to prevent picking up RF interference. The digital side has an AVR microcontroller that talks to the ADC and runs an LCD panel, plus switches the 340 nm LEDs on and off rapidly via a low gate capacitance MOSFET.

Unfortunately, not many things found randomly around the average home are all that phosphorescent. We’re not sure what [lcamtuf] tried other than the aforementioned foodstuffs, but we’d have thought something like table salt would do the trick, at least the iodized stuff. But no matter, the lessons learned along the way were worth the trip.

hackaday.com/2024/11/28/homebr…