Nel luglio 2024, Field Effect ha scoperto una campagna di attacchi “Adversary-in-the-Middle” (AiTM) rivolta a Microsoft 365 (M365). Questo tipo di attacco compromette le email aziendali (BEC) utilizzando tecniche avanzate per intercettare e dirottare le credenziali degli utenti durante il processo di autenticazione.

Metodo di Attacco

1. Osservazione Iniziale: L’analisi ha rivelato l’uso sospetto della stringa user agent ‘axios/1.7.2’, associata a tentativi di accesso da ISP noti per attività malevole.
2. Strumento Utilizzato – Axios: Axios è un client HTTP legittimo per browser e node.js, sfruttato dagli attaccanti per imitare le richieste di login degli utenti legittimi. Axios permette di intercettare, trasformare e cancellare richieste e risposte HTTP, facilitando il furto delle credenziali.
3. Origine degli Attacchi: Molte richieste provenivano da Hostinger International Limited e Global Internet Solutions LLC, spesso utilizzati da attori malevoli russi.
4. Compromissione MFA: Gli attaccanti hanno superato l’autenticazione a più fattori (MFA), suggerendo l’accesso non solo alle password ma anche ai codici MFA degli utenti. Questo è stato possibile tramite l’intercettazione dei token di autenticazione durante il processo di login.

Catena di Attacco

1. Phishing: Le vittime ricevevano email di phishing che le inducevano a visitare domini malevoli. Questi domini presentavano pagine di login M365 fasulle costruite con Axios, progettate per apparire autentiche.
2. Raccolta delle Credenziali: Quando l’utente inseriva le proprie credenziali sulla pagina fasulla, Axios le intercettava e le utilizzava per autenticarsi sulla vera pagina M365 in tempo reale.
3. Dirottamento delle Sessioni: Gli attaccanti utilizzavano le credenziali raccolte e i token di sessione per accedere agli account delle vittime, aggirando l’MFA. Questo permetteva loro di accedere alle email e ai dati sensibili dell’azienda.

Tecniche Specifiche Utilizzate

1. Imitazione delle Richieste HTTP: Gli attaccanti utilizzavano Axios per creare richieste HTTP che imitavano quelle degli utenti legittimi, consentendo loro di intercettare le credenziali senza destare sospetti.
2. Intercettazione in Tempo Reale: Axios permetteva agli attaccanti di intercettare le credenziali in tempo reale, facendole passare dalla pagina fasulla al sito legittimo di M365. Questo includeva anche la cattura dei token MFA, permettendo loro di autenticarsi come se fossero l’utente legittimo.
3. Utilizzo di ISP Malevoli: Gli attaccanti sfruttavano ISP noti per attività malevole per mascherare la loro origine e rendere più difficile l’identificazione delle attività sospette.
4. Phishing Avanzato: Le email di phishing erano progettate per sembrare comunicazioni legittime da M365, aumentando la probabilità che le vittime inserissero le proprie credenziali senza sospetti.

Indicatori di Compromissione (IoC)

• User Agent Strings:
  
  • axios/1.7.2
  • axios/1.7.1
  • axios/1.6.8
  • BAV2ROPC

  
  

• Fornitori di Hosting:
  
  • Hostinger International Limited (AS47583)
  • Global Internet Solutions LLC (AS207713)

  
  

• Domini di Phishing:
  
  • lsj.logentr[.]com
  • okhyg.unsegin[.]com
  • ldn3.p9j32[.]com

  
  

• Indirizzi IP:
  
  • 141.98.233[.]86
  • 154.56.56[.]200
  • e molti altri elencati nel rapporto.

  
  

Mitigazione e Difesa

1. Monitoraggio dei Log: Ricercare tentativi di login con gli IoC sopra elencati.
2. Rotazione delle Credenziali: Uscire dai sistemi compromessi e cambiare le credenziali.
3. Implementazione MFA: Assicurarsi che MFA sia attivo su tutti gli account e monitorare le anomalie.
4. Formazione sul Phishing: Educare i dipendenti a riconoscere email di phishing e a non inserire credenziali in siti sospetti.

Conclusione

Questa campagna di attacchi AiTM su M365 dimostra la crescente sofisticazione delle tecniche di BEC. La difesa richiede un approccio integrato che includa il monitoraggio continuo delle attività sospette e l’educazione degli utenti sulle minacce di phishing. Implementare rigorose misure di sicurezza e rimanere vigili sono essenziali per proteggere le infrastrutture aziendali da tali minacce.

L'articolo Attacco “Adversary-in-the-Middle” su Microsoft 365 proviene da il blog della sicurezza informatica.

NetScaler ADC (precedentemente Citrix ADC) e il NetScaler Gateway (precedentemente Citrix Gateway) sono soluzioni consolidate per la distribuzione di applicazioni e l’accesso sicuro alle risorse aziendali. Questi dispositivi sono ampiamente utilizzati per migliorare le prestazioni delle applicazioni e garantire un accesso controllato e sicuro ai dati sensibili.

Sono state identificate due vulnerabilità critiche in NetScaler ADC e NetScaler Gateway. Le Versioni Interessate Le seguenti versioni supportate di NetScaler ADC e NetScaler Gateway sono vulnerabili:

• NetScaler ADC e NetScaler Gateway 14.1 prima della versione 14.1-25.53
• NetScaler ADC e NetScaler Gateway 13.1 prima della versione 13.1-53.17
• NetScaler ADC e NetScaler Gateway 13.0 prima della versione 13.0-92.31
• NetScaler ADC 13.1-FIPS prima della versione 13.1-37.183
• NetScaler ADC 12.1-FIPS prima della versione 12.1-55.304
• NetScaler ADC 12.1-NDcPP prima della versione 12.1-55.304

Nota: La versione 12.1 di NetScaler ADC e NetScaler Gateway è ora End Of Life (EOL) e pertanto vulnerabile. Si consiglia ai clienti di aggiornare i loro dispositivi alle versioni supportate.

Sommario delle Vulnerabilità NetScaler ADC e NetScaler Gateway presentano le seguenti vulnerabilità:

• CVE-2024-5491: Vulnerabilità di Denial of Service che colpisce gli appliance ADC o Gateway configurati con SNMP (NSIP/SNIP).
  
  • CWE: Improrer restriction delle operazioni all’interno dei limiti di un buffer di memoria
  • Punteggio Base CVSS v4.0: 7.1

  
  

• CVE-2024-5492: Vulnerabilità di reindirizzamento aperto che consente a un attaccante remoto e non autenticato di reindirizzare gli utenti verso siti web arbitrari.
  
  • CWE: Reindirizzamento URL verso siti non attendibili (‘Open Redirect’)
  • Punteggio Base CVSS v4.0: 5.1

  
  

Azioni Consigliate per i Clienti Cloud Software Group consiglia vivamente ai clienti interessati di NetScaler ADC e NetScaler Gateway di installare immediatamente le versioni aggiornate pertinenti:

• NetScaler ADC e NetScaler Gateway versione 14.1-25.53 e successive
• NetScaler ADC e NetScaler Gateway versione 13.1-53.17 e successive di 13.1
• NetScaler ADC e NetScaler Gateway versione 13.0-92.31 e successive di 13.0
• NetScaler ADC versione 13.1-FIPS 13.1-37.183 e successive
• NetScaler ADC versione 12.1-FIPS 12.1-55.304 e successive
• NetScaler ADC versione 12.1-NDcPP 12.1-55.304 e successive

Cloud Software Group desidera esprimere gratitudine nei confronti di Nanyu Zhong di VARAS@IIE e di Mauro Dini per il loro prezioso contributo nel garantire la sicurezza dei clienti Citrix.

Nel frattempo, Citrix sta informando attivamente i propri clienti e partner riguardo a queste importanti questioni di sicurezza tramite un bollettino pubblicato sul Citrix Knowledge Center, accessibile al seguente indirizzo: support.citrix.com/securitybul….

L'articolo Citrix Netscaler ADC e Gateway afflitti da una grave falla di DOS e Open Redirect proviene da il blog della sicurezza informatica.

Around 2010 or so, Samsung cameras came with an online service: Social Network Services. It enabled pictures to be unloaded wirelessly to social media with minimum hassle, which back then wasn’t quite as easily accomplished as it is today. Sadly they shuttered the service in 2021, leaving that generation of cameras, like so many connected devices, orphaned. Now along comes [Ge0rG] with a replacement, replicating the API on a $20 LTE dongle.

The dongle in question is one we featured a couple of years ago, packing a Linux-capable computer of similar power to a Raspberry Pi Zero alongside its cell modem. The camera can connect to the device, and a photo can be sent in a Mastodon post. It’s something of a modern version of the original, but for owners of the affected cameras it’s a useful recovery of a lost service.

It’s surprising in a way that we’ve not heard more of these dongles, as they do represent a useful opportunity. That we haven’t should be seen as a measure of the success of the Raspberry Pi and other boards like it, just as it’s no longer worth hacking old routers for Linux hardware projects, so there’s less of a need to do the same here.

On 22 May, the Coalition for Open Digital Ecosystems (CODE) hosted "CODE Talks: A More Competitive Europe Starts with Open Digital Ecosystems."

euractiv.com/section/digital/v…

Gli esperti del centro di ricerca sulle minacce informatiche Solar 4RAYS del Solar Group hanno parlato di una serie di attacchi da parte del gruppo di hacker filogovernativo Lifting Zmiy, mirati ad agenzie governative russe e aziende private. Gli aggressori hanno posizionato i loro server di controllo su apparecchiature hackerate che fanno parte dei sistemi SCADA utilizzati, ad esempio, per controllare gli ascensori.

Gli esperti si sono imbattuti per la prima volta in questo gruppo alla fine del 2023, quando uno dei canali Telegram filo-ucraini ha pubblicato informazioni sull’hacking di un’organizzazione statale russa. Gli esperti hanno partecipato alle indagini su questo attacco contro un anonimo appaltatore IT di un’organizzazione governativa russa e nei sei mesi successivi hanno studiato altri tre incidenti, anch’essi associati alle attività di Lifting Zmiy.

Lo schema degli hacker si ripete di attacco in attacco: la penetrazione iniziale è stata effettuata indovinando le password, poi gli aggressori hanno preso piede nel sistema e hanno sviluppato l’attacco principalmente utilizzando vari strumenti open source, tra cui:

• Reverse SSH – shell inversa per la gestione dei sistemi infetti e la fornitura di payload aggiuntivi;
• Backdoor SSH – per intercettare le password per le sessioni di accesso remoto;
• GSocket – un’utilità per creare una connessione remota a un sistema attaccato, aggirando alcune soluzioni di sicurezza.

Strumenti e tattiche di Lifting Zmiy in diversi attacchi
L’utilizzo di questo software accomuna tutti gli attacchi Lifting Zmiy studiati, nonché l’ubicazione dei server di controllo: gli aggressori li hanno posizionati sui controller del produttore russo Tekon-Avtomatika, che servono al controllo e all’invio, comprese le apparecchiature degli ascensori.

In totale sono stati scoperti più di una dozzina di dispositivi infetti e al momento della pubblicazione dello studio otto di essi erano ancora in uno stato di compromissione. Il firmware per questi dispositivi è universale e funziona sul kernel Linux che, insieme alla possibilità di scrivere plugin LUA personalizzati, offre agli aggressori ampie opportunità di sfruttamento.

“Crediamo che durante l’attacco Lifting, Zmiy abbia approfittato delle informazioni pubblicate pubblicamente sulle imperfezioni di sicurezza dei dispositivi Tekon-Avtomatika e abbia sfruttato le vulnerabilità esistenti del sistema per ospitare su di essi una parte del server C2, che è stata utilizzata in ulteriori attacchi contro i loro obiettivi principali, ” scrivono gli esperti.

I ricercatori scrivono che l’obiettivo principale di Lifting Zmiy sono i dati riservati delle organizzazioni attaccate. E dopo aver raggiunto l’obiettivo, o se è impossibile penetrare più in profondità nell’infrastruttura dell’organizzazione vittima, gli hacker intraprendono azioni distruttive: cancellano i dati nei sistemi a loro disposizione.

È interessante notare che nella maggior parte degli incidenti il ​​gruppo si è collegato a sistemi infetti da indirizzi IP di diversi provider di hosting, ma nell’attacco a un’azienda informatica, su cui gli esperti hanno indagato nell’inverno del 2024, la loro tattica è cambiata. Hanno utilizzato indirizzi IP di un pool di proprietà del provider Starlink. Secondo i dati pubblici, questi indirizzi IP sono utilizzati dai terminali Starlink che operano in Ucraina.

In generale, sulla base di una serie di indizi, gli esperti di Solar 4RAYS ritengono che il gruppo Lifting Zmiy sia originario dell’Europa dell’Est.

“Al momento della nostra ricerca, Lifting Zmiy è ancora molto attiva: utilizzando i nostri sistemi troviamo costantemente nuovi elementi della loro infrastruttura. Pertanto, raccomandiamo alle organizzazioni che utilizzano sistemi SCADA simili a quelli attaccati dagli aggressori di prestare la massima attenzione nel garantire la propria sicurezza informatica. Inoltre, in tutti i casi esaminati, l’accesso all’infrastruttura è stato ottenuto tramite la consueta attacco di forza bruta nelle password, quindi le aziende dovrebbero verificare ancora una volta l’affidabilità delle loro politiche relative alle password e, come minimo, introdurre l’autenticazione a due fattori”, commenta Dmitry. Marichev, un esperto del centro di ricerca sulle minacce informatiche Solar 4RAYS.

L'articolo Lifting Zmiy: il gruppo che colpisce i sistemi SCADA e controlla gli ascensori proviene da il blog della sicurezza informatica.

@Notizie dall'Italia e dal mondo

A Rio de Janeiro si è recentemente svolto il corso “I Caschi Blu della Cultura. Il Patrimonio Culturale in caso di catastrofe: rischi e interventi di sicurezza””. La giornata conclusiva si è tenuta il 2 luglio al Paço Imperial (Palazzo Imperial).

I "caschi blu della cultura" sono una idea italiana, sviluppatasi sin dal 2016 nell’ambito della campagna #Unite4Heritage. Il governo italiano e l’Unesco siglarono un memorandum d’intesa per la creazione di una task force di sessanta unità, composta da carabinieri, storici dell’arte, studiosi e restauratori, pronti a intervenire per salvaguardare il patrimonio culturale in zone di crisi. Con Decreto firmato il 31 marzo 2022 dal Ministro della Cultura pro–tempore Franceschini fu perfezionata la Task Force, formalmente denominata “Caschi Blu della Cultura”, unità operativa concepita per intervenire in aree colpite da emergenze, quali calamità o crisi prodotte dall’uomo, in una cornice di sicurezza, al fine di: – salvaguardare i siti archeologici, i luoghi della cultura ed i beni culturali; – contrastare il traffico internazionale di beni culturali illecitamente sottratti; – supportare l’Autorità dei Paesi esteri richiedenti, nella predisposizione di misure atte a limitare i rischi che situazioni di crisi o emergenziali potrebbero arrecare al patrimonio culturale di quella Nazione. L' #Armadeicarabinieri – con personale tratto dal Comando Tutela Patrimonio Culturale (#TPC) assegnato al Ministero della Cultura – hanno la gestione operativa–logistica delle missioni.

Tornando al corso in Brasile, questo è stato realizzato dall’Organizzazione Internazionale Italo-Latino Americana (#IILA), con il finanziamento della Direzione Generale per la Cooperazione allo Sviluppo del Ministero degli Affari Esteri e della Cooperazione Internazionale (#MAECI), in collaborazione con il Ministero della Cultura italiano (#MIC), il Comando Carabinieri Tutela Patrimonio Culturale e, da parte brasiliana, con il Ministério das Relações Exteriores, Ministerio da Cultura, Centro Lucio Costa, IPHAN – Instituto do Patrimônio Histórico e Artístico Nacional, SBM – Sistema Brasiliero de Museus, IBRAM – Instituto Brasileiro de Museus, Instituto Guimarães Rosa, #PoliciaFederal e #INTERPOL Brasil. Hanno partecipato 55 funzionari pubblici latinoamericani, provenienti da forze di polizia, forze armate, protezione civile e vigile del fuoco, Ministero della Cultura oltre a restauratori e conservatori di beni culturali, per formare di una task force italo-latinoamericana per la protezione del patrimonio culturale

Tra gli altri intervenuti alla giornata finale il Generale D. Francesco Gargaro, Comandante Carabinieri Tutela Patrimonio Culturale; Paolo Iannelli, Rappresentante del MIC – Caschi Blu della Cultura; Marcos Moreira Nizio, Capo del Settore Protezione del Patrimonio storico e culturale della Polizia Federale brasiliana.

Il Generale Gargaro (foto sopra) ha dichiarato nella circostanza:“Il corso che oggi si conclude è stato concepito per dotarvi degli strumenti necessari per affrontare queste sfide. Attraverso questo confronto tra diverse esperienze si sono volute trasmettere competenze tecniche e operative che permetteranno di intervenire sempre più efficacemente in situazioni di emergenza. Avete imparato l’importanza dell’identificazione e catalogazione dei beni culturali anche in situazioni emergenziali, della collaborare con le comunità locali e con le diverse istituzioni in contesti complessi. In un’epoca in cui i conflitti, crisi e catastrofi naturali minacciano di cancellare la memoria storica e culturale dei popoli, l’importanza del nostro lavoro non può essere sottovalutata. La distruzione di beni culturali non è solo una perdita per le comunità direttamente coinvolte, ma per tutta l’umanità.
È la cancellazione della nostra storia condivisa, delle nostre identità e dei valori che ci uniscono come esseri umani”.

La missione addestrativa, tenuta dal 24 giugno al 2 luglio 2024 da esperti italiani del Ministero della Cultura e del Comando Carabinieri Tutela del Patrimonio Culturale, ha voluto trasmettere ai paesi partecipanti quali Brasile, Cile, Colombia e Paraguay il modello italiano di tutela del patrimonio culturale attraverso sessioni teoriche ed esercitazioni pratiche, tra cui la simulazione di una inondazione e un focus rivolto alla sicurezza di beni archivistici e librari in ragione delle esigenze di tutela del territorio ospitante.

Durante la consegna dei diplomi, la Segretaria Generale dell'Organizzazione internazionale italo-latino americana Cavallari, nel ringraziare tutte le istituzioni partners che hanno reso possibile il successo del corso, ha sottolineato che l’obiettivo principale dell’IILA è proprio quello di stimolare la reciproca conoscenza e integrazione fra i paesi membri. Il programma addestrativo di quest’anno, come quello realizzato nel giugno 2023 a Città del Messico con la partecipazione di esperti di Bolivia, Costa Rica, Ecuador, Guatemala, Messico, Perù e Repubblica Dominicana, ha conseguito l’obiettivo di promuovere la condivisione di esperienze e buone pratiche per la possibile creazione di Caschi Blu della Cultura in Brasile, Colombia, Cile e Paraguay.

Importante infine sottolineare come la partecipazione dei carabinieri esalta il loro ruolo nella difesa a livello internazionale del patrimonio culturale italiano e mondiale: ruolo che l’Arma svolge nella protezione dei beni culturali da più di cinque decenni .

@Notizie dall'Italia e dal mondo

Anche la #PoliziadiStato italiana (a mezzo del Servizio Polizia Postale e per la Sicurezza Cibernetica) ha partecipato al Referral Action Day di #Europol mirato ad identificare e combattere i contenuti antisemiti online (a sua volta mediante l'Unità europea per le segnalazioni su Internet denominata EU IRU - Internet Referral Unit - che rileva e indaga sui contenuti dannosi presenti su Internet e nei social media).

Si è trattato di una operazione coordinata, guidata dalle autorità di Svizzera e Regno Unito, svoltasi il 27 giugno scorso, che ha coinvolto le forze dell'ordine di 18 paesi (leggi nora a conclusione), che hanno lavorato in tandem come cennato all'Unità EU IRU di Europol e i principali fornitori di servizi online.

Il Referral Action Day ha preso di mira un'ampia gamma di contenuti antisemiti, tra cui incitamento all'odio, negazione dell'Olocausto e glorificazione della violenza contro la comunità ebraica. L'obiettivo principale era rimuovere i contenuti illegali e garantire che le piattaforme online aderissero alle normative europee in materia di incitamento all'odio e discriminazione.

In totale, sono stati identificati e segnalati circa 2.000 contenuti antisemiti ai fornitori di servizi online per la rimozione.

Il focus del Referral Action Day nasce dall'aumento di un antisemitismo diffuso, giustificato e coltivato nelle sfere jihadiste e nei gruppi estremisti di destra e di sinistra online. Questo contenuto antisemita viene diffuso anche da individui non affiliati su varie piattaforme online. A quanto è risultato la ondata di discorsi d'odio è stata innescata dall'attacco del 7 ottobre dell'organizzazione terroristica Hamas contro Israele e dalla successiva risposta militare israeliana.

Le National Internet Referral Unit e le unità di polizia specializzate dei seguenti paesi hanno preso parte a questo Referral Action Day: Albania, Austria, Bosnia-Erzegovina, Danimarca, Francia, Germania, Ungheria, Irlanda,Italia, Lituania, Malta, Portogallo, Romania, Spagna, Svezia, Svizzera, Ucraina e Regno Unito.
#EUIRU