When we look at how everyone’s favorite flying dinosaurs get around, we can see that although they use their wings a lot too, their legs are at least as important. Even waddling or hopping about somewhat ungainly on legs is more energy efficient than short flights, and taking off from the ground is helped by jumping into the air with a powerful leap from one’s legs. Based on this reasoning, a team of researchers set out to give flying drones their own bird-inspired legs, with their findings published in Nature (preprint on ArXiv).

The prototype RAVEN (Robotic Avian-inspired Vehicle for multiple ENvironments) drone is capable of hopping, walking, jumping onto an obstacle and jumping for take-off. This allows the drone to get into the optimal position for take-off and store energy in its legs to give it a boost when it takes to the skies. As it turned out, having passive & flexible toes here was essential for stability when waddling around, while jumping tests showed that the RAVEN’s legs provided well over 90% of the required take-off speed.

During take-off experiments the drone was able to jump to an altitude of about 0.4 meters, which allows it to clear ground-based obstacles and makes any kind of ‘runway’ unnecessary. Much like with our avian dinosaur friends the laws of physics dictate that there are strong scaling limits, which is why a raven can use this technique, but a swan or similar still requires a bit of runway instead of jumping elegantly into the air for near-vertical take-off. For smaller flying drones this approach would however absolutely seem to have legs.

youtube.com/embed/-8DJ1a3sLIc?…

hackaday.com/2024/12/10/flying…

Anyone who has operated a 3D printer before, especially those new to using these specialized tools, has likely had problems with the print bed. The bed might not always be the correct temperature leading to problems with adhesion of the print, it could be uncalibrated or dirty or cause any number of other issues that ultimately lead to a failed print. Most of us work these problems out through trial and error and eventually get settled in, but this novel 3D printer instead removes the bed itself and prints on whatever surface happens to be nearby.

The printer is the product of [Daniel Campos Zamora] at the University of Washington and is called MobiPrint. It uses a fairly standard, commercially available 3D printer head but attaches it to the base of a modified robotic vacuum cleaner. The vacuum cleaner is modified with open-source software that allows it to map its environment without the need for the manufacturer’s cloud services, which in turn lets the 3D printer print on whichever surface the robot finds in its travels. The goal isn’t necessarily to eliminate printer bed problems; a robot with this capability could have many more applications in the realm of accessibility or even, in the future, printing while on the move.

There were a few surprising discoveries along the way which were mentioned in an IEEE Spectrum article, as [Campos Zamora] found while testing various household surfaces that carpet is surprisingly good at adhering to these prints and almost can’t be unstuck from the prints made on it. There are a few other 3D printers out there that we’ve seen that are incredibly mobile, but none that allow interacting with their environment in quite this way.

youtube.com/embed/SknW-Oygh3w?…

hackaday.com/2024/12/10/3d-pri…

Il cybercrime rappresenta un universo in costante espansione, capace di attirare non solo l’interesse di singoli hacker esperti di informatica, ma anche di criminali tradizionali e organizzazioni ben strutturate, con obiettivi complessi e su larga scala.

L’espansione del Dark Web, con i suoi forum, chat e mercati anonimi e illegali, ha permesso di interconnettere i cybercriminali tra loro, facilitando la comunicazione e abbattendo le barriere geografiche tipiche del crimine tradizionale. Questo ha portato a un aumento dei fenomeni illeciti, come la condivisione di informazioni riservate, account personali o aziendali e database di vario tipo. Tra le attività più rilevanti in questo underground tecnologico si distingue il narcotraffico, che ha trovato nuovi spazi per espandersi e superare i confini territoriali. Inoltre, si è registrato un costante aumento di truffe (SCAM), accompagnato da un incremento del traffico di esseri umani e della diffusione di materiale pedopornografico.

Scarica il report “Dal Cybercrime al Cyber Organized Crime (COC) di DarkLab

Le criptovalute, come Monero e Bitcoin, sono diventate uno dei principali mezzi di pagamento nel cybercrime. La loro diffusione ha contribuito in modo significativo al radicamento del crimine informatico e alla sua crescita costante, rendendo estremamente complessa l’attività investigativa condotta dalle forze dell’ordine.

La facilità di utilizzo di queste piattaforme criminali, l’assenza di barriere significative e l’uso di criptovalute, facili da scambiare e ripulire, hanno attirato l’attenzione delle principali organizzazioni mafiose e dei gruppi criminali organizzati.

Ho deciso di redigere questo report per fornire una panoramica dettagliata sullo stato attuale del cybercrime, analizzando come il crimine organizzato e le mafie sfruttino questo contesto per accrescere il proprio potere ed espandere le loro attività, sia a livello territoriale che virtuale.

Nella prima parte esamineremo l’ambiente underground del web, dove si svolgono molteplici attività illecite: dallo spaccio di farmaci e stupefacenti alla pedopornografia, fino alle truffe di vario tipo. Nella seconda parte, ci concentreremo sul fenomeno del Cyber Organized Crime (COC), analizzando i gruppi che hanno attirato maggiore attenzione da parte delle forze dell’ordine. Concluderemo esplorando come i social network rappresentino uno strumento potente per le mafie, consentendo loro di costruire consenso, soprattutto tra i più giovani.

Scarica il report “Dal Cybercrime al Cyber Organized Crime (COC)” di DarkLab

L'articolo DarkLab Report : Dal Cybercrime al Cyber Organized Crime (COC) proviene da il blog della sicurezza informatica.

The RC car is controlled via an FPV setup. (Credit: Luke Bell, YouTube)
Fresh off a world record for the fastest quadcopter, [Luke Bell] decided to try his luck with something more own to earth, namely trying to tackle the world record for the fastest RC car, with the current record set at 360 km/h. Starting off with a first attempt in what will be a video series, the obvious approach seems to be to get some really powerful electric motors, a streamlined body and a disused runway to send said RC car hurtling along towards that golden medal. Of course, if it was that easy, others would have done it already.

With the quadcopter record of nearly 500 km/h which we covered previously, the challenge was in a way easier, as other than air resistance and accidental lithobraking there are no worries about ground texture, tire wear or boundary layer aerodynamics. In comparison, the RC car has to contend with all of these, with the runway’s rough tarmac surface being just one of the issues, along with making sure that the wheels would hold up to the required rotation speed. For the wheels you got options like foam, hard rubber, etc., all with their own advantages and disadvantages, mostly in terms of grip and reliability.

So far speeds of over 200 km/h are easy enough to do, with foam wheels being the preferred option. To push the RC car to 300 km/h and beyond, a lot more experimentation and trial runs will have to be performed. Pending are changes to the aerodynamic design with features also commonly seen in F1 race cars such as downforce spoilers, diffusers and other tricks which should prevent the RC car from (briefly) becoming an RC airplane.

youtube.com/embed/8sLmrpDYoLs?…

hackaday.com/2024/12/10/trying…

Hackaday’s Supercon is still warm in our hearts, and the snow is just now starting to fall, but we’re already looking forward to Spring. Or at least to Hackaday Europe, which will be taking place March 15th and 16th in Berlin, Germany.

Tickets aren’t on sale yet, but we know a way that you can get in for free.

Call for Participation

What makes Hackaday Europe special? Well, it’s you! We’re excited to announce that we’re opening up our call for talks right now, and we can’t wait to hear what you have to say. Speakers of course get in free, but the real reason that you want to present is whom you’re presenting to.

The Hackaday audience is interested, inquisitive, and friendly. If you have a tale of hardware, firmware, or software derring-do that would only really go over with a Hackaday crowd, this is your chance. We have slots open for shorter 20-minute talks as well as longer 40-minute ones, so whether you’ve got a quick hack or you want to take a deep dive, we’ve got you covered. We especially love to hear from new voices, so if you’ve never given a talk about your projects before, we’d really encourage you to apply!

Hackaday Europe, the Badge, and the SAOs

If you’re not familiar with Hackaday Europe, it’s a gathering of 350 folks for a ridiculously fun weekend of talks, badge hacking, music, and everything else that goes with it. Saturday the 15th is the big day, and Sunday is a half-day of brunch, lightning talks, and showing off the badge hacks from the day before. And if you’re in town on Friday the 14th, we’ll be going out in the evening for drinks and dinner, location TBA.

We’ll be re-spinning the 2024 Supercon SAO badge, which was all about the Supercon Add-Ons. (Can anyone think up a Hackaday-Europe-themed backronym: “Spree Add Ons”?) The badge was an inspiration for many stateside Supercon attendees to dip their toes into the warm waters of small badgelet designs, and we’re hoping to bring the same to the Continent. Additionally, there are two prototyping “petals” that you can hack on during the event, even if you didn’t make anything beforehand. And of course, there’s always hacking the firmware.

But wait, there’s more! We also ran a contest for pre-Supercon SAO designs, and the top three designs will be in your schwag bags at Hackaday Europe. Yes, this means that every attendee will be receiving a functional plug-in multimeter, etch-a-sketch, and blinky wavy-arm-art-thing. These are among the most creative and fun SAOs that we’ve ever seen, and now you too can have one!

See you There!

Again, tickets aren’t on sale yet, but we’re opening the green-room door to those who want to present first. Take the next few weeks to firm up an outline and get your talk proposal in to us before January 14th. We can’t wait to see what you’re up to!

hackaday.com/2024/12/10/2025-h…

If you’re a fan of the Fallout series of games, you’ve probably come across a Radiation King radio before. In the game, that is, they don’t exist in real life. Which is precisely why [zapwizard] built one!

Externally, the design faithfully recreates the mid-century design of the Radiation King. It’s got the louvered venting on the front panel, the chunky knobs, and a lovely analog needle dial, too. Inside, it’s got a Raspberry Pi Zero which is charged with running the show and dealing with audio playback. It’s paired with a Pi Pico, which handles other interface tasks.

It might seem simple, but the details are what really make this thing shine. It doesn’t just play music, it runs a series of simulated radio stations which you can “tune into” using the radio dial. [zapwizard dives into how it all works—from the air core motor behind the simulated tuning dial, to the mixing of music and simulated static. It’s really worth digging into if you like building retro-styled equipment that feels more like the real thing.

It’s not just a prop—it’s a fully-functional item from the Fallout universe, made manifest. You know how much we love those. If you’re cooking up your own post-apocalyptic hacks, fictional or non-fictional, don’t hesitate to let us know.

hackaday.com/2024/12/10/creati…

Having a penchant for cheap second-hand cameras can lead to all manner of interesting equipment. You never know what the next second-hand store will provide, and thus everything from good quality rangefinders an SLRs to handheld snapshot cameras can be yours for what is often a very acceptable price. Most old cameras can use modern film in some way, wither directly or through some manner of adapter, but there is one format that has no modern equivalent and for which refilling a cartridge might be difficult. I’m talking about Kodak’s Disc, the super-compact and convenient snapshot cameras which were their Next Big Thing in the early 1980s. In finding out its history and ultimate fate, I’m surprised to find that it introduced some photographic technologies we all still use today.

Easy Photography For The 1980s

Since their inception, Kodak specialised in easy-to-use consumer cameras and films. While almost all the film formats you can think of were created by the company, their quest was always for a super-convenient product which didn’t require any fiddling about to take photographs. By the 1960s this had given us all-in-one cartridge films and cameras such as the Instamatic series, but their enclosed rolls of conventional film made them bulkier than required. The new camera and film system for the 1980s would replace roll film entirely, replacing it with a disc of film that would be rotated between shots to line up the lens on an new unexposed part of its surface. Thus the film cartridge would be compact and thinner than any other, and the cameras could be smaller, thinner, and lighter too. The Disc format was launched in 1982, and the glossy TV adverts extolled both the svelteness of the cameras and the advanced technology they contained.
The Disc cartridge, with Fuji “HR” planar crystal film.
The film disc is about 65mm in diameter, with sixteen 10x8mm exposures spaced at every 24 degrees of rotation round its edge. It has a much thicker acetate backing than the more flexible roll film, with a set of sprocket-hole-like cutouts round its edge and a moulded plastic centre boss. The cassette is quite complex, having a protective low friction layer and a vacuum-formed lightproof film window cover and disc advancer inside the two injection moulded halves. Meanwhile the image size is significantly smaller than that of the 16mm 110 cartridge film or a 35mm frame, meaning that Disc films were the first to be released with Kodak’s new higher-resolution tabular grain emulsion. This film had the silver halide crystals aligned flat on the substrate, reducing light scattering.

Turning to the camera, for teardown purposes here we have a battered old Kodak 4000. This was the slightly fancier of the disc cameras at launch, but now they can easily be found for pennies in thrift stores. Opening it up is a case of gently easing the aluminum front panel away from the body, revealing all the internals. Once inside the camera, everything is automatic. On the left is the xenon flash tube, the flash capacitor, and a pair of Matsushita lithium batteries, in the middle the circuit board covered by a high voltage warning sticker, and on the right are the mechanical parts. If you teardown one of these for yourself, you’ll want to disconnect the battery as we did, and discharge that flash capacitor. Even four-decade-old lithium batteries can hold enough capacity to charge it, and at 200 volts it packs a punch.

A Lot Of Complexity For A Simple Product

This thing is a lot more complex than the 126 cameras it replaced.
Carefully unsoldering the connections and lifting the board from the camera, we find a mixture of through-hole and surface-mount parts. The flash circuit is conventional, a small single transistor inverter that’s responsible for the “Wheeee” sound you hear when cameras of that era are turned on. The rest of the circuit is interesting, because all the control and light metering circuitry is driven by an integrated circuit. Marked “ACP 152”, it has no makers mark other than stating it was manufactured in Malaysia, and all manner of online searches on the part number reveal nothing. If this camera had been made in 2002 it would certainly be a microcontroller, but in 1982 such a conclusion would be much less likely and would certainly have been central to their marketing if present. Looking at its support components I see no clock circuit or other likely microcontroller ancillaries, so my best guess is it’s an ASIC containing analogue and logic circuitry, forming part of a simple state machine along with the electromechanical cam arrangement in the mechanism.

On the right a small motor turns a wheel (the blue plastic part in the photographs) with that selection of cams that open the window in the film cartridge and cock the shutter, for which the release is electronic via a small electromagnet. One of the functions is to push up a pin which lifts part of the film window cover clear of its locking protrusion, allowing the film to be advanced and the window opened. The lens doesn’t look special but in fact it’s the part which has most relevance to some of the cameras you’ll use today, because it’s the first mass-produced aspherical plastic lens. To deliver as sharp an image as possible on the smaller negative they needed a lens which would minimise aberations, and given the compact size of the camera they couldn’t have a multi-element lens that poked out of the front. This was the solution, and it’s a technology that has had a massive effect on miniature cameras ever since.

Where They Pushed Convenience Too Far

Looking for the first time at the workings of a Disc camera then, it’s a beautiful piece of miniaturisation, but it’s undeniably a complex mechanism when compared to the Instamatic 126 cameras it replaced or the 35mm compact cameras which competed with it. The specialist electronics, the electronic shutter release, and all those mechanical parts are impressive, but there’s a lot in there for a consumer snapshot camera. In doing this teardown we start for the first time to gain an inkling of why the disc format never achieved the success Kodak evidently hoped for it, though it’s when we consider a typical Disc photo that the real reason for its failure emerges.
The size of the negative is especially obvious when looking at a developed film. D. Meyer, CC BY-SA 3.0.
The Disc’s tiny negative, when combined with the high-resolution film, gave a good quality image. But in those days when photographic prints were the medium through which people consumed their pictures, it was a this smaller negative which led to lower quality enlargements. To solve this problem Kodak sold a complete printing package to laboratories with an enlarger system specifically for Disc film, but many laboratories chose to use their existing equipment instead. The result was that the new cameras often generated disappointing-quality prints. By comparison a 35mm snapshot camera gave a much higher quality and had 36 pictures on a roll of film, so for all its sophistication and innovation the Disc format was not a success. By the 1990s the cameras were gone, and the film followed some time around the millennium. Kodak would try one last shot at ultimate film convenience in the mid 1990s with the Advanced Photo System, but by then the digital camera revolution was well under way.

Looking at the Disc camera here in 2024, it’s clearly a well designed item both mechanically and aesthetically. I have three of them on my bench, they still look sleek, and amazingly those four-decade-old lithium batteries still have enough power to run them. With hindsight it’s easy to say that its shortcomings should have been obvious, but I remember at the time they were seen as futuristic and the way forward. I didn’t buy one though, perhaps it says it all that they were way outside pocket-money prices. Maybe the real insight comes in using Disc to explain why Kodak are now a shadow of their former self; when the reason for extreme convenience in film photography was eclipsed by digital cameras they had nothing else to offer.

hackaday.com/2024/12/10/disc-f…

Negli ultimi anni, le botnet hanno rappresentato una delle minacce più insidiose e difficili da contrastare nel panorama della cybersicurezza. Tra queste, una delle più persistenti e sofisticate è senza dubbio Socks5Systemz, una botnet attiva sin dal 2013. Questa rete malevola alimenta un servizio proxy illegale noto come PROXY.AM, utilizzando dispositivi compromessi per fornire a criminali informatici una rete anonima con cui occultare le loro attività illecite.

Indagini attraverso la threat Intelligence permettono di comprendere meglio l’ampiezza di questa minaccia e i meccanismi alla base del suo funzionamento. Vediamo come questa botnet è strutturata, quali sono le sue implicazioni sulla sicurezza globale e perché rappresenta un rischio concreto e costante.

Cos’è una Botnet e Come Funziona Socks5Systemz

Una botnet è una rete di dispositivi infettati da malware e controllati da remoto da un attaccante, noto come botmaster. I dispositivi compromessi, spesso chiamati bot o zombie, possono includere computer, smartphone, router e persino dispositivi IoT. L’attaccante utilizza questa rete per svolgere attività malevole come inviare spam, lanciare attacchi DDoS o, come nel caso di Socks5Systemz, fornire servizi di proxy anonimi.

La botnet Socks5Systemz ha una caratteristica distintiva: trasforma i dispositivi infetti in nodi di uscita proxy. Ciò significa che il traffico internet dei cybercriminali può essere instradato attraverso questi dispositivi, rendendo estremamente difficile risalire alla vera origine degli attacchi. Questo tipo di infrastruttura è fondamentale per garantire l’anonimato degli attaccanti e rendere le loro attività quasi impossibili da tracciare.

Il Servizio Proxy Illegale PROXY.AM

La botnet Socks5Systemz supporta il funzionamento di un servizio proxy illegale noto come PROXY.AM. Secondo il rapporto di The Hacker News, questo servizio offre ai cybercriminali l’accesso a proxy privati e anonimi dietro pagamento di una quota mensile che varia tra 126 e 700 dollari. PROXY.AM pubblicizza i suoi servizi come:

• “Elite” proxy server, garantendo elevate prestazioni e anonimato.
• “Privati” e “anonimi”, assicurando che le connessioni siano sicure e non tracciabili.

I clienti di PROXY.AM possono utilizzare questi proxy per nascondere le proprie attività malevole, come campagne di phishing, furti di dati, frodi online e diffusione di malware.

Declino e Rinascita della Botnet

Dal 2013, la botnet ha subito diverse trasformazioni. Inizialmente, contava circa 250.000 dispositivi compromessi. Tuttavia, grazie alle azioni delle autorità e alla perdita parziale di controllo da parte dei suoi gestori, la rete si è ridotta. Attualmente, si stima che la botnet sia composta da circa 85.000 dispositivi infetti, che continuano a essere utilizzati come nodi di uscita per il servizio PROXY.AM. Questo declino è stato seguito da una fase di ricostruzione, dimostrando la resilienza e la capacità di adattamento dei botmaster.

Analisi della Struttura della Botnet

L’immagine allegata fornisce una chiara rappresentazione visiva delle interconnessioni tra i vari elementi della botnet. Vediamo alcuni punti salienti:

Nodo Centrale: Socks5Systemz

• Socks5Systemz è il fulcro della rete, il nodo principale da cui si diramano numerose connessioni.
• Questo nodo controlla e gestisce il traffico che viene instradato attraverso i dispositivi infetti.

Servizi Collegati

• PROXY.AM e proxyam.one sono servizi direttamente collegati a Socks5Systemz. Essi rappresentano l’infrastruttura utilizzata per vendere accessi proxy ai criminali informatici.
• Questi servizi sono indicati come fonti di traffico malevolo, offrendo connessioni anonime e private per attività illegali.

Paesi Colpiti

Dalla mappa della rete, è evidente che la botnet colpisce dispositivi in diverse parti del mondo. I paesi più colpiti includono:

• India
• Indonesia
• Ucraina
• Brasile
• Bangladesh
• Federazione Russa
• Messico
• Stati Uniti
• Nigeria

Questi paesi fungono da base per i dispositivi compromessi che vengono utilizzati come nodi proxy, permettendo al traffico malevolo di apparire come proveniente da queste aree.

Implicazioni per la Sicurezza Informatica

L’esistenza di una botnet come Socks5Systemz evidenzia diverse criticità e implicazioni per la sicurezza globale:

1. Difficoltà nel Tracciamento degli Attaccanti:
   Poiché gli attaccanti utilizzano dispositivi compromessi come nodi di uscita proxy, risalire alla loro identità diventa estremamente difficile. Questo complica le indagini e favorisce l’impunità dei cybercriminali.
2. Frode e Criminalità Organizzata:
   Servizi come PROXY.AM facilitano attività criminali su larga scala, inclusi attacchi di phishing, frodi finanziarie e campagne di spam. Il costo relativamente basso per l’accesso a questi servizi rende la criminalità informatica accessibile anche a individui con risorse limitate.
3. Rischi per le Vittime Inconsapevoli:
   I dispositivi compromessi spesso appartengono a utenti ignari. Questi dispositivi possono essere utilizzati per scopi malevoli senza che i proprietari se ne accorgano, esponendoli a potenziali conseguenze legali e compromettendo la loro privacy.
4. Minacce per le Aziende:
   Le aziende possono subire attacchi originati da queste reti proxy, mettendo a rischio dati sensibili, reputazione e stabilità operativa.

Come Proteggersi dalle Botnet

Per contrastare minacce come Socks5Systemz, è fondamentale adottare buone pratiche di sicurezza informatica:

• Mantenere sempre aggiornati i sistemi operativi e il software per ridurre le vulnerabilità sfruttabili dai malware.
• Utilizzare antivirus e soluzioni di sicurezza avanzate per rilevare e bloccare attività sospette.
• Monitorare il traffico di rete per individuare comportamenti anomali, come connessioni non autorizzate a server esterni.
• Eseguire backup regolari dei dati per mitigare i danni in caso di compromissione.
• Educare gli utenti sui rischi delle email di phishing e dei download non sicuri.

La botnet Socks5Systemz e il servizio proxy illegale PROXY.AM rappresentano una minaccia persistente e sofisticata per la sicurezza informatica globale. La capacità di questa rete di adattarsi e sopravvivere nel tempo dimostra quanto sia difficile contrastare efficacemente queste infrastrutture malevole. La collaborazione internazionale e l’adozione di misure preventive sono essenziali per mitigare l’impatto di queste minacce e proteggere utenti e aziende dagli attacchi dei cybercriminali.

L'articolo Socks5Systemz : 250.000 dispositivi nella botnet che fornisce proxy anonimi ai criminali proviene da il blog della sicurezza informatica.

Sintesi

• Da fine giugno a metà luglio 2024, un presunto autore di minacce con legami con la Cina ha preso di mira grandi fornitori di servizi IT B2B nell’Europa meridionale, un cluster di attività che abbiamo soprannominato “Operation Digital Eye”.
• Le intrusioni avrebbero potuto consentire agli avversari di stabilire punti di appoggio strategici e compromettere le entità a valle. SentinelLabs e Tinexta Cyber ​​hanno rilevato e interrotto le attività nelle loro fasi iniziali.
• Gli autori della minaccia hanno utilizzato una capacità di movimento laterale indicativa della presenza di un fornitore condiviso o di un quartiermastro digitale che si occupa della manutenzione e del provisioning degli strumenti all’interno dell’ecosistema APT cinese.
• Gli autori della minaccia hanno sfruttato in modo improprio Visual Studio Code e l’infrastruttura Microsoft Azure per scopi C2, tentando di eludere il rilevamento facendo apparire legittime le attività dannose.
• La nostra visibilità suggerisce che l’abuso di Visual Studio Code per scopi C2 era stato relativamente raro in natura prima di questa campagna. Operation Digital Eye segna il primo caso di un presunto gruppo APT cinese che utilizza questa tecnica che abbiamo osservato direttamente.

Panoramica

Tinexta Cyber ​​e SentinelLabs hanno monitorato le attività di minaccia che hanno preso di mira i provider di servizi IT business-to-business nell’Europa meridionale. Sulla base del malware, dell’infrastruttura, delle tecniche utilizzate, della vittimologia e della tempistica delle attività, è altamente probabile che questi attacchi siano stati condotti da un attore di minacce China-nexus con motivazioni di cyberspionaggio.

Le relazioni tra i paesi europei e la Cina sono complesse, caratterizzate da cooperazione, competizione e tensioni sottostanti in settori quali commercio, investimenti e tecnologia. I gruppi di cyberspionaggio sospetti legati alla Cina prendono spesso di mira organizzazioni pubbliche e private in tutta Europa per raccogliere informazioni strategiche, ottenere vantaggi competitivi e promuovere interessi geopolitici, economici e tecnologici.

La campagna di attacco, che è stata soprannominata Operation Digital Eye, si è svolta da fine giugno a metà luglio 2024, per una durata di circa tre settimane. Le organizzazioni prese di mira forniscono soluzioni per la gestione di dati, infrastrutture e sicurezza informatica per clienti di vari settori, il che le rende obiettivi primari per gli attori del cyberspionaggio.

Una presenza sostenuta all’interno di queste organizzazioni fornirebbe agli attori di Operation Digital Eye un punto d’appoggio strategico, creando opportunità di intrusioni nella supply chain digitale e consentendo loro di esercitare il controllo sui processi IT critici all’interno delle entità compromesse a valle. Gli attacchi sono stati rilevati e interrotti durante le loro fasi iniziali.

Il gruppo esatto dietro Operation Digital Eye rimane poco chiaro a causa dell’ampia condivisione di malware, manuali operativi e processi di gestione delle infrastrutture all’interno del panorama delle minacce cinesi. Gli autori delle minacce hanno utilizzato una capacità pass-the-hash, probabilmente proveniente dalla stessa fonte delle modifiche Mimikatz personalizzate closed-source osservate esclusivamente in presunte attività di cyberspionaggio cinese, come Operation Soft Cell e Operation Tainted Love. Il malware e gli strumenti utilizzati in queste campagne sono stati collegati a diversi gruppi APT cinesi distinti. Ci riferiamo collettivamente a queste modifiche Mimikatz personalizzate come mimCN.

L’evoluzione a lungo termine e il versioning dei campioni mimCN, insieme a caratteristiche notevoli come le istruzioni rilevate per un team separato di operatori, suggeriscono il coinvolgimento di un fornitore condiviso o di un quartier generale digitale responsabile della manutenzione attiva e della fornitura di strumenti. Questa funzione all’interno dell’ecosistema APT cinese, corroborata dalla fuga di notizie I-Soon, probabilmente svolge un ruolo chiave nel facilitare le operazioni di cyberspionaggio China-nexus.

L’abuso di Visual Studio Code Remote Tunnels per scopi C2 è centrale in questa campagna. Originariamente progettata per abilitare lo sviluppo remoto, questa tecnologia fornisce un accesso completo agli endpoint, inclusa l’esecuzione dei comandi e la manipolazione del file system. Inoltre, il tunneling di Visual Studio Code coinvolge eseguibili firmati da Microsoft e dall’infrastruttura di rete di Microsoft Azure, entrambi spesso non monitorati attentamente e in genere consentiti dai controlli delle applicazioni e dalle regole del firewall. Di conseguenza, questa tecnica potrebbe essere difficile da rilevare e potrebbe eludere le difese di sicurezza. In combinazione con l’accesso completo agli endpoint che fornisce, ciò rende il tunneling di Visual Studio Code una capacità attraente e potente da sfruttare per gli attori delle minacce.

Tinexta Cyber ​​e SentinelLabs hanno informato Microsoft dell’abuso di Visual Studio Code e dell’infrastruttura di Azure in relazione all’operazione Digital Eye.

Vettore di infezione e progressione dell’attacco

Gli aggressori hanno utilizzato l’iniezione di SQL (Structured Query Language) come vettore di accesso iniziale per infiltrarsi nei server Web e nei database connessi a Internet. Le intestazioni User-Agent delle richieste nei registri del traffico Web recuperate indicano che gli aggressori hanno utilizzato lo strumento sqlmap per automatizzare il rilevamento e lo sfruttamento delle vulnerabilità di iniezione di SQL.

Per stabilire un punto d’appoggio iniziale e mantenere un accesso persistente, gli autori della minaccia hanno distribuito una webshell basata su PHP. Relativamente semplice nella progettazione e nell’implementazione, la webshell utilizza la funzione assert per eseguire il codice PHP fornito dall’aggressore. La sua implementazione non assomiglia ad altre webshell con cui si ha familiarità. A questa webshell è stato dato il di PHPsert.

Per mascherare i file che implementano PHPsert e tentare di eludere il rilevamento in base all’attività del file system, gli aggressori hanno utilizzato nomi personalizzati su misura per gli ambienti infiltrati, facendo apparire legittimi i nomi dei file. Ciò includeva l’utilizzo della lingua locale e di termini allineati al contesto tecnologico delle organizzazioni prese di mira.

Dopo aver stabilito un punto d’appoggio iniziale, gli autori della minaccia hanno condotto una ricognizione utilizzando una varietà di strumenti di terze parti e utilità Windows integrate, come GetUserInfo e ping. Hanno anche distribuito lo strumento local.exe, che fa parte del Microsoft Windows NT Resource Kit e consente di visualizzare le appartenenze ai gruppi di utenti.

Per rubare le credenziali, gli aggressori hanno utilizzato lo strumento CreateDump per estrarre la memoria allocata al processo Local Security Authority Subsystem Service (LSASS) ed esfiltrare le credenziali. CreateDump fa parte della distribuzione di Microsoft .NET Framework. Gli autori della minaccia hanno anche recuperato le credenziali dal database Security Account Manager (SAM), che hanno estratto dal Registro di sistema di Windows utilizzando il comando reg save.

Gli attori della minaccia spesso nominano i file che distribuiscono utilizzando il pattern do.*. Esempi includono do.log (output dai comandi ping), do.exe (lo strumento CreateDump) e do.bat(uno script che esegue ed elimina l’eseguibile CreateDump).

Dagli endpoint inizialmente compromessi, gli aggressori si sono spostati lateralmente attraverso la rete interna, utilizzando principalmente connessioni RDP (Remote Desktop Protocol) e tecniche pass-the-hash. Per gli attacchi pass-the-hash, hanno utilizzato una versione modificata personalizzata di Mimikatz, implementata in un eseguibile denominato bK2o.exe.

Oltre alla webshell PHPsert, gli autori della minaccia hanno utilizzato due metodi per l’esecuzione di comandi remoti: l’accesso SSH, abilitato authorized_keys distribuendo file contenenti chiavi pubbliche per l’autenticazione, e Visual Studio Code Remote Tunnels.

Visual Studio Code Remote Tunnels, basato sulla tecnologia dev tunnel di Microsoft, consente agli sviluppatori di accedere e lavorare su sistemi remoti. Questo accesso include il terminale di comando e il file system, consentendo attività come l’esecuzione di comandi e la modifica di file. Gli attori di Operation Digital Eye hanno abusato di questa funzionalità per mantenere un accesso backdoor persistente ai sistemi compromessi.

Nel tentativo di eludere il rilevamento basato sull’attività del file system, gli autori della minaccia hanno utilizzato %System[url=https://www.redhotcyber.com/post/la-storia-della-superuser-la-storia-di-root]Root[/url]%\Temp e %ProgramData%\Visual Studio Code come directory di lavoro principali per l’archiviazione di strumenti e dati. %SystemRoot%\Temp è una directory in cui Windows archivia i file temporanei e spesso viene monitorata con minore attenzione. %ProgramData%\Visual Studio Code doveva apparire come una directory legittima associata a Visual Studio Code.

Le intrusioni sono state rilevate e interrotte prima che gli aggressori potessero procedere con fasi successive, come l’esfiltrazione dei dati.

Abuso di Visual Studio Code

Gli autori della minaccia hanno distribuito un eseguibile portatile di Visual Studio Code denominato code.exe, che è firmato digitalmente da Microsoft, e hanno utilizzato lo strumento winsw per eseguirlo come servizio Windows. Il file di configurazione winsw che è stato recuperato indica che gli aggressori hanno creato un servizio denominato Visual Studio Code Service, che viene eseguito code.exe con il parametro tunnel della riga di comando a ogni avvio del sistema.

Il file di configurazione rivela un approccio pragmatico da parte degli attori della minaccia, che hanno probabilmente modificato una configurazione disponibile al pubblico winsw. Ciò è suggerito dall’uso dell’identificativo myapp del servizio e della directory %BASE%\logs per l’archiviazione dei file winsw di registro, entrambi presenti nel file di configurazione pubblico e in quello recuperato.
file di configurazione winsw
Il parametro tunnel ordina a Visual Studio Code di creare un tunnel di sviluppo e di agire come server a cui gli utenti remoti possono connettersi. Dopo l’autenticazione al tunnel con un account Microsoft o GitHub, gli utenti remoti possono accedere all’endpoint che esegue il server di Visual Studio Code, tramite l’applicazione desktop di Visual Studio Code o la versione basata su browser, vscode.dev.

Dopo aver creato i tunnel di sviluppo, gli autori della minaccia si sono autenticati tramite account GitHub e hanno avuto accesso agli endpoint compromessi tramite la versione basata su browser di Visual Studio Code. Non si sa ancora se gli autori della minaccia abbiano utilizzato l’account GitHub auto registrato o compromesso per autenticarsi nei tunnel.

Infrastruttura di rete

Gli autori dell’Operazione Digital Eye hanno utilizzato infrastrutture situate esclusivamente in Europa, provenienti dal provider M247 e dalla piattaforma Cloud Microsoft Azure. Ciò faceva probabilmente parte di una strategia deliberata. Poiché le organizzazioni prese di mira hanno sede e operano in Europa, gli aggressori potrebbero aver cercato di ridurre al minimo i sospetti allineando la posizione della loro infrastruttura a quella dei loro obiettivi. Inoltre, l’infrastruttura Cloud comunemente utilizzata nei flussi di lavoro IT legittimi, come Microsoft Azure, spesso non è monitorata attentamente ed è frequentemente consentita tramite restrizioni firewall. Sfruttando l’infrastruttura Cloud pubblica per scopi dannosi, gli aggressori hanno fatto apparire legittimo il traffico, il che può essere difficile da rilevare e potrebbe eludere le difese di sicurezza.

Nelle fasi iniziali degli attacchi, gli autori della minaccia hanno utilizzato il server con indirizzo IP 146.70.161[.]78 per stabilire l’accesso iniziale rilevando e sfruttando le vulnerabilità di SQL injection, e il server con indirizzo IP 185.76.78[.]117 per gestire la webshell PHPsert. Entrambi gli indirizzi IP sono assegnati al provider di infrastrutture M247 e si trovano rispettivamente in Polonia e Italia.

Nelle fasi successive degli attacchi, gli autori della minaccia hanno utilizzato il server con indirizzo IP 4.232.170[.]137 per scopi C2 quando accedevano da remoto agli endpoint compromessi tramite il protocollo SSH. Questo server fa parte dell’infrastruttura Azure di Microsoft nella region del data center ( intervallo IP Azure :, tag di servizio 🙂 . Al momento non si hanno informazioni sul fatto che gli autori della minaccia abbiano utilizzato credenziali Azure auto-registrate o compromesse per accedere e gestire le risorse e 4.232.128[.]0/18 i servizi Azure learn.microsoft.com/en-us/azur…AzureCloud.italynorth.

L’abuso del tunneling di Visual Studio Code per scopi C2 si basa anche sull’infrastruttura di Microsoft Azure. La creazione e l’hosting di un tunnel di sviluppo richiedono la connessione a un server Microsoft Azure con un dominio di *.[clusterID].devtunnels.ms, dove [clusterID]corrisponde alla regione di Azure dell’endpoint che esegue il server di Visual Studio Code, come euw per West Europe. In Operation Digital Eye, la creazione di tunnel di sviluppo ha comportato l’instaurazione di connessioni al server con il dominio [REDACTED].euw.devtunnels[.]ms, che si è risolto nell’indirizzo IP 20.103.221[.]187. Questo server fa parte dell’infrastruttura di Microsoft Azure nella regione West Europe del data center (intervallo IP di Azure: 20.103.0[.]0/16, tag di servizio: AzureCloud.westeurope).

La Webshell PHPsert

PHPsert esegue il codice PHP fornito dall’attaccante utilizzando la funzione assert, che, nelle versioni PHP precedenti alla 8.0.0, interpreta ed esegue stringhe di parametri come codice PHP. Per ostacolare l’analisi statica ed eludere il rilevamento, la webshell utilizza varie tecniche di offuscamento del codice, tra cui la codifica XOR, la rappresentazione dei caratteri esadecimali, la concatenazione di stringhe e nomi di variabili randomizzati.
Implementazione PHPsert
La webshell PHPsert funziona come segue:

• PHPsert istanzia una classe con un singolo metodo regolare, che decodifica tramite XOR e concatena i caratteri esadecimali per generare la stringa assert. Il distruttore della classe (il metodo magico __destruct) usa questa stringa per invocare la funzione assert, passando il codice PHP fornito dall’attaccante come parametro.
• La webshell recupera il codice PHP fornito dall’attaccante da un parametro di richiesta HTTP POST, ad esempio, momomomo. Se il parametro id è presente nell’URL della richiesta, PHPsert decodifica il valore codificato in Base64 del parametro POST. Se il parametro id è assente, la webshell utilizza il valore raw del parametro.
• Infine, quando PHPsert termina l’esecuzione, viene richiamato il distruttore della classe, che a sua volta richiama la funzione assert per eseguire il codice PHP fornito dall’aggressore.

Abbiamo identificato diverse varianti di PHPsert, che sono state inviate a piattaforme di condivisione di malware da maggio 2023, da varie località tra cui Giappone, Singapore, Perù, Taiwan, Iran, Corea e Filippine. Queste varianti mostrano solo piccole differenze nella loro implementazione, come nomi di variabili e parametri di richiesta POST come mr6, brute, e qq. L’analisi suggerisce che PHPsert è distribuito non solo come file PHP autonomo, ma è anche integrato in vari tipi di contenuti Web, tra cui editor di testo Web e sistemi di gestione dei contenuti.

Una delle varianti di PHPsert contiene frammenti di codice commentati in cinese semplificato che descrivono il codice vicino. Questi commenti e frammenti non sono presenti nelle versioni di PHPsert osservate in Operation Digital Eye, né in nessuna delle altre varianti della webshell. Di seguito sono riportati i commenti del codice, tutti tradotti automaticamente dal cinese semplificato:

• 结果是"assert", che si traduce in The result is "assert".
• 验证 $this->rg 是否安全, che si traduce in Verify that $this->rg is safe.
• 验证和清理用户输入, che si traduce in Validating and sanitizing user input.

Frammenti di codice PHPsert con commenti in cinese
La presenza di questi commenti, insieme agli indicatori di codice rimosso nelle varianti di PHPsert, suggerisce il potenziale coinvolgimento di sviluppatori di lingua cinese che potrebbero aver semplificato la logica di esecuzione della webshell.

Capacità di Pass-the-Hash

L’eseguibile bK2o.exe (una versione modificata personalizzata di Mimikatz utilizzata in Operation Digital Eye per gli attacchi pass-the-hash) consente l’esecuzione di processi all’interno del contesto di sicurezza di un utente sfruttando un hash di password NTLM compromesso, bypassando la necessità della password effettiva dell’utente. Per ottenere ciò, bK2o.exe sovrascrive la memoria del processo LSASS. Lo strumento supporta i seguenti parametri della riga di comando:

• /c: Processo da eseguire; cmd.exe se non specificato, il valore predefinito è .
• /u: Nome utente dell’utente.
• /d: Il dominio dell’utente.
• /h: Hash della password NTLM.

bK2o.exe implementa una tecnica pass-the-hash sovrascrivendo la memoria LSASS in modo simile a Mimikatz, con la sua implementazione parzialmente sovrapposta alle funzioni Mimikatz come kuhl_m_sekurlsa_pth_luide kuhl_m_sekurlsa_msv_enum_cred_callback_pth. In sintesi, bK2o.exe esegue quanto segue:

• Crea un processo sospeso in una nuova sessione di accesso, specificando il processo fornito dall’aggressore, il nome utente, il dominio e una password vuota.
• In base all’identificatore univoco locale (LUID) della sessione, individua ed estrae dalla memoria del processo LSASS un blob di dati di credenziali crittografati contenente l’hash NTLM dell’utente e le chiavi di crittografia necessarie per decrittografare il blob.
• Decrittografa il blob di dati, sovrascrive l’hash NTLM dell’utente con l’hash fornito dall’aggressore e crittografa nuovamente il blob di dati.
• Riprende il processo sospeso.

bK2o.exe crea un nuovo processo e recupera il LUID della sessione di accesso
Per navigare nella memoria LSASS, bK2o.exe usa le firme di codice, rappresentate come sequenze di byte in formato esadecimale. Queste sequenze corrispondono a istruzioni LSASS note, che servono come punti di navigazione all’interno della memoria.

Per ostacolare l’analisi statica ed eludere il rilevamento, bK2o.exe offusca le firme del codice e le stringhe costruendole dinamicamente sullo stack in fase di esecuzione, anziché memorizzarle come dati statici.
bK2o.exe costruisce la firma del codice 33 ff 41 89 37 4c 8b f3 […] sullo stack

Dall’operazione Digital Eye a Tainted Love e Soft Cell

Sono stati quindi identificati altri due campioni e caricati su piattaforme di condivisione malware che costruiscono firme di codice sullo stack, che si chiamano wsx1.exe e wsx1.exe. Come bK2o.exe, entrambi wsx.exe e wsx1.exe sono versioni personalizzate modificate di Mimikatz e implementano la funzionalità pass-the-hash.

Segmenti di codice sostanziali in wsx.exe e wsx1.exe, che implementano la costruzione di firme di codice sullo stack, si sovrappongono a quelli in bK2o.exe, includendo dimensioni mov e valori di operandi di istruzione identici. Ciò suggerisce che wsx.exe, wsx1.exe, e bK2o.exe sono molto probabilmente derivati ​​dalla stessa fonte.
Segmento di codice in bK2o.exe Segmento di codice in wsx1.exe
A loro volta, si è osservato sovrapposizioni tra i componenti wsx.exe, wsx1.exe e mim221. mim221 è uno strumento che esegue un “antifurto” di credenziali ben gestito e con più versioni, nonché una versione modificata personalizzata di Mimikatz, che SentinelLabs ha osservato nell’operazione Tainted Love, una campagna che ha preso di mira i fornitori di servizi di telecomunicazioni in Medio Oriente nel 2023.

Si è quindi attribuito Operation Tainted Love a un presunto gruppo cinese di cyberspionaggio all’interno del nesso tra Granite Typhoon (precedentemente noto come Gallium) e APT41, pur riconoscendo la possibilità di condivisione di strumenti tra attori di minacce sponsorizzati dallo stato cinese e il potenziale coinvolgimento di un fornitore condiviso o di un quartiermastro digitale. Si sta valutando che mim221 rappresenti un’evoluzione degli strumenti associati a Operation Soft Cell, come simplify_32.exe . Operation Soft Cell, che ha preso di mira i provider di telecomunicazioni nel 2017 e nel 2018, è stata collegata a Granite Typhoon e sono state suggerite anche possibili connessioni tra gli attori di Soft Cell e APT41.

mim221 ha un’architettura multi-componente, con un singolo eseguibile che organizza tre componenti — pc.dll, AddSecurityPackage64.dll, e getHashFlsa64.dll— usando tecniche come la decrittazione, l’iniezione e il caricamento di immagini riflettenti. Questi componenti condividono diverse sovrapposizioni con bK2o.exe, wsx.exe, e wsx1.exe.

Per ostacolare l’analisi statica, alcuni componenti mim221 offuscano anche le stringhe costruendole sullo stack in fase di esecuzione. Inoltre, i componenti mim221 AddSecurityPackage64.dlle getHashFlsa64.dll implementano la registrazione degli errori simile a quella di wsx.exe e wsx1.exe, inclusi messaggi di errore personalizzati identici, un formato di output coerente e gli stessi errori in lingua inglese.
Messaggi di errore in wsx.exe e wsx1.exe
Inoltre, le informazioni RTTI (Run-Time Type Information) memorizzate in wsx.exe, wsx1.exe, e nel componente mim221 getHashFlsa64.dll rivelano che classi con gli stessi nomi sono dichiarate in questi eseguibili. Non abbiamo osservato questi nomi di classe in strumenti open source o disponibili al pubblico.

L'articolo Operation Digital Eye: il primo attacco cinese che sfrutta Visual Studio Code come C2 proviene da il blog della sicurezza informatica.

Have you ever wished for easy mouse controls to go along with your VR headset experience? Or maybe you just want a cooler way to mouse in general. In any case, look no further than [rafgaj78]’s Bluetooth Mouse Ring project.

This is version two, which of course comes with several improvements over version one. The biggest change is from tactile buttons to a joystick input. [rafgaj78] also did away with the power switch, using deep-sleep mode instead. Version two is easier to assemble and offers improved ergonomics, as well as a range of ring sizes.

Like the first version, this ring runs on a Seeed Xiao nRF52840 and is programmed in CircuitPython. There are two modes to choose from. In one mode, the joystick does left and right mouse click and wheel up and down, while the push action recovers the micro from deep sleep. In the other mode, the joystick axis is a mouse pointer mover, and you push down to left click.

We really like this sleek design, and [rafgaj78] has great instructions if you want to build your own. This isn’t the first cool mouse ring we’ve seen, and it certainly won’t be the last.

hackaday.com/2024/12/10/update…

Il personale del Congresso degli Stati Uniti è stato allertato di una campagna di phishing in cui individui sconosciuti che si spacciano per funzionari governativi inviano messaggi sospetti ai legislatori chiedendo loro di scaricare un’app di messaggistica crittografata.

L’ufficio amministrativo della Camera e il servizio dei marescialli hanno emesso un avviso interno di emergenza ai membri del Congresso avvertendo del pericolo. L’avviso non specifica se l’attacco di phishing è associato a Salt Typhoon, ma i funzionari sconsigliano vivamente di aprire messaggi inaspettati o di scaricare applicazioni sconosciute.

L’incidente avviene nel contesto di una grave intrusione da parte del gruppo hacker cinese Salt Typhoon nelle reti di telecomunicazioni statunitensi. Gli aggressori sono riusciti ad accedere ai sistemi di circa 80 provider, tra cui le più grandi aziende AT&T, Verizon e T-Mobile.

La Federal Communications Commission (FCC) ha già avviato un processo per aggiornare gli standard di sicurezza per i sistemi di telecomunicazioni. La presidente della Commissione Jessica Rosenworcel ha chiesto un rafforzamento immediato delle misure di sicurezza informatica per contrastare gli accessi non autorizzati.

Il capo della Commissione per la Sicurezza Nazionale della Camera, Mark Green, ha sottolineato la necessità di un’indagine approfondita. Secondo lui è importante comprendere a fondo la portata dell’attacco informatico ed elaborare raccomandazioni per migliorare la resilienza delle reti di telecomunicazioni statunitensi.

Gli esperti di sicurezza informatica raccomandano ai cittadini e ai funzionari governativi di essere il più vigili possibile. Gli esperti consigliano di controllare le fonti dei messaggi, di non aprire collegamenti sospetti e di utilizzare solo canali di comunicazione affidabili.

Il Cyber ​​​​Security Council ha avviato una propria indagine sulle attività del gruppo Salt Typhoon. Le forze dell’ordine statunitensi intendono analizzare attentamente i metodi degli hacker e prevenire possibili attacchi futuri.

L'articolo Salt Typhoon Sotto Accusa! Una Campagna di Phishing si Scaglia Contro il Congresso USA proviene da il blog della sicurezza informatica.

If you’ve ever wanted to merge the worlds of holiday cheer and clever geometry, [Kris Wilk]’s gingerbread house hack is your ultimate inspiration. Shared in a mesmerising video, [Wilk] showcases his 2024 entry for his neighborhood’s gingerbread house contest. Designed in FreeCAD and baked to perfection, this is no ordinary holiday treat. His pièce de résistance was a brilliant trompe l’oeil effect, visible only from one carefully calculated angle. Skip to the last twenty seconds of the video to wrap your head around how it actually looks.

[Wilk] used FreeCAD’s hidden true perspective projection function—a rarity in CAD software. This feature allowed him to calculate the perfect forced perspective, essential for crafting the optical illusion. The supporting structures were printed on a Prusa MK4, while the gingerbread itself was baked at home. Precision photography captured the final reveal, adding a professional touch to this homemade masterpiece. [Wilk]’s meticulous process highlights how accessible tools and a sprinkle of curiosity can push creative boundaries.

For those itching to experiment with optical illusions, this bakery battle is only the beginning. Why not build a similar one inside out? Or construct a gingerbread man in the same way? Fire up the oven, bend your mind, and challenge your CAD skills!

youtube.com/embed/Xm2xWJrqf-k?…

hackaday.com/2024/12/10/an-eng…