As practical SD cards are, they lack much of what made floppy disks and cartridges so awesome: room for art and a list of contents, as well as the ability to not be lost in shaggy carpet or down a pet’s gullet. In a fit of righteous nostalgia, [Abe] decided that he’d turn SD cards into cartridges in the best way possible, and amazingly managed to not only finish the project after two years, but also make it look snazzy enough to have come straight out of the 1980s. The resulting cartridges come both with fixed (256 MB) and removable micro SD card storage, which are mounted on a PCB that passively connects to pogo pins in the custom, 3D printed reader.
Front of an SD-card-turned-cartridge with adn without decal. (Credit: Abe’s Projects, YouTube)
The inspiration for this project kicked in while [Abe] was working on a floppy drive conversion project called the Floppy8, which crammed an MCU into an external floppy drive along with a rough version of these SD card-based cartridges that used the physical card’s edge connector to connect with a micro SD slot inside the converted floppy drive. The problem with this setup was that alignment was terrible, and micro SD cards would break, along with a range of other quality of life issues.

Next, the SD card was put into a slot on the carrier PCB that featured its own edge connector. This improved matters, but the overly complicated (moving) read head in the reader turned out to be very unreliable, in addition to FDM printed parts having general tolerance and durability issues. Eventually a simplified design which takes these limitations in mind was created that so far seems to work just fine.

Although SD cards in cartridges are not a new idea, using them purely as a data carrier is far less common. One could argue about the practicality of turning a fingernail-sized micro SD card into something much larger, but in terms of aesthetics and handleability it definitely gets an A+.

youtube.com/embed/END_PVp3Eds?…

When we talk about audio amplifier tubes, we’re normally talking about the glass little blobby things you might find in a guitar amplifier. We’re not normally talking about big ol’ color CRTs, but apparently they can do the job too. That’s what [Termadnator] is here to show us.

The CRT in question is a 14″ unit from a common garden variety Philips color TV. [Termadnator] pulled out the TV’s original circuitry, and replaced much of it with his own. He had to whip up a high-voltage power supply with a 555 and a laptop power supply, along with a bunch of fake MOSFETs pressed into service. He also had to build his own Leyden jar capacitor, too. The specifics of converting it to audio operation get a bit messy, but fear not—[Termadnator] explains the idea well, and also supplies a schematic. Perhaps the coolest thing, though, is the crazy color pattern that appears on the display when it’s working as an amp.

Sound output isn’t exactly loud, and it’s a little distorted, too. Still, it’s amusing to see an entire TV instead doing the job of a single amplifier tube. Video after the break.

youtube.com/embed/iqRT1vKovaQ?…

[Thanks to bugminer for the tip!]

Questa settimana Microsoft ha risolto una vulnerabilità di 0day su Windows. Come hanno riferito gli esperti di Check Point, questo problema è stato attivamente sfruttato dagli hacker negli attacchi per 18 mesi ed è stato utilizzato per lanciare script dannosi che aggirano le misure di sicurezza integrate.

La vulnerabilità CVE-2024-38112 è un problema di spoofing in Windows MSHTML. Questo problema è stato scoperto dallo specialista di Check Point Research Haifei Li e ne ha informato Microsoft nel maggio 2024. Allo stesso tempo, nel suo rapporto sul problema, Lee osserva che nel gennaio 2023 sono stati scoperti campioni di malware che sfruttavano questa falla.

Secondo il ricercatore, gli aggressori distribuiscono file Windows Internet Shortcut (.url) per falsificare file legittimi (ad esempio PDF) e quindi scaricare ed eseguire file HTA sul sistema della vittima per installare malware in grado di rubare password.

Un file di collegamento Internet è un semplice file di testo contenente varie impostazioni di configurazione, ad esempio quale icona mostrare, quale collegamento aprire quando si fa doppio clic e così via. Quando salvi come .url e fai doppio clic sul file, Windows aprirà l’URL specifico nel browser predefinito.

Tuttavia, gli aggressori hanno scoperto che possono forzare l’apertura dell’URL specificato tramite Internet Explorer utilizzando mhtml:. MHTML sta per MIME Encapsulation of Aggregate HTML Documents, una tecnologia introdotta in Internet Explorer che trasforma un’intera pagina Web, comprese le immagini, in un unico archivio.

E se un URL viene avviato con mhtml:, Windows lo apre automaticamente in Internet Explorer anziché nel browser predefinito. Secondo il noto esperto di sicurezza informatica Will Dormann, l’apertura di una pagina in Internet Explorer offre agli hacker un ulteriore vantaggio perché l’utente vede molti meno avvisi di pericolo durante il download di file dannosi.

“In primo luogo, IE ti consente di scaricare un file .HTA da Internet senza alcun preavviso”, afferma Dohrmann. – In secondo luogo, dopo il download, il file .HTA si troverà nella directory INetCache, ma NON riceverà un marchio MotW (Mark of the Web) esplicito. A questo punto, l’unica protezione dell’utente è un avvertimento che il “sito web” sta tentando di aprire il contenuto utilizzando un programma sul computer. Non è specificato di quale sito stiamo parlando. Se l’utente ritiene di fidarsi del sito, avviene l’esecuzione del codice.”

In sostanza, gli aggressori approfittano del fatto che Internet Explorer è ancora incluso in Windows 10 e Windows 11 per impostazione predefinita. Anche se Microsoft ha finalmente ritirato IE circa due anni fa e Edge lo ha sostituito quasi completamente, è ancora possibile accedere al browser obsoleto e utilizzarlo per scopi dannosi.

Check Point spiega che gli hacker creano file di collegamento Internet con icone che assomigliano a collegamenti a file PDF. Facendo clic su di essi in Internet Explorer, si apre la pagina Web specificata, che tenta automaticamente di scaricare quello che dovrebbe essere un file PDF, ma in realtà è un file HTA.

In questo caso, gli aggressori possono nascondere l’estensione HTA e far sembrare che il file PDF venga scaricato utilizzando Unicode in modo che l’estensione .hta non venga visualizzata.

Quando Internet Explorer scarica un file HTA, il browser chiede se salvarlo o aprirlo. Se l’utente decide di aprire il file pensando che sia un PDF, allora all’avvio ci sarà solo un avviso generale sull’apertura di contenuto da un sito web. Poiché la persona sta aspettando il download del PDF, può ignorare questo avviso e il file finirà per essere eseguito.

Secondo i ricercatori, consentire l’esecuzione del file HTA porta all’installazione del malware Atlantida Stealer sul computer della vittima, che ruba i dati. Una volta lanciato, il malware ruba tutte le credenziali archiviate nel browser, i cookie, la cronologia del browser, i dati del portafoglio di criptovaluta, le credenziali di Steam e così via.

Dopo aver risolto la vulnerabilità CVE-2024-38112, mhtml:non funziona più e non consente in ogni caso l’apertura di Internet Explorer;

L'articolo Internet Explorer non è Morto! I criminali informatici hanno trovato un modo per utilizzarlo proviene da il blog della sicurezza informatica.

Ogni giorno emergono spesso nuovi attori di minaccia che destabilizzano le fondamenta digitali delle organizzazioni di tutto il mondo. Una delle più recenti e inquietanti cybergang scoperte dal team Darklab di Red Hot Cyber è il gruppo VANIR, un collettivo noto per le sue spietate operazioni di ransomware. Questa intervista esclusiva, condotta da Dark Lab, getta luce su un nemico tanto misterioso quanto pericoloso.

“Devi conoscere i demoni per imparare a contrastarli.” Questa frase, frequentemente citata da Red Hot Cyber in conferenze e articoli, sottolinea l’importanza di comprendere il modus operandi dei cyber-criminali. Conoscere i “demoni” significa capire le loro motivazioni, le loro tecniche, tattiche e procedure (TTPs). Questo approccio non solo aiuta a prevedere e identificare le minacce, ma è anche essenziale per sviluppare difese informatiche efficaci, capaci di contrastare gli attacchi sul loro stesso terreno.

Le interviste ai Threat Actors, curate dal gruppo RHC Dark Lab, divisione di Cyber Threat Intelligence di Red Hot Cyber, sono uno strumento cruciale per ottenere questa comprensione. Conoscere come ragionano e operano i cyber-criminali permette di migliorare continuamente le difese cibernetiche, aumentando la consapevolezza delle minacce e la capacità di prevenire attacchi futuri.

Il Threat Actors Vanir Group

Scoperto per la prima volta grazie alla costante vigilanza di Red Hot Cyber, il gruppo VANIR si è distinto non solo per l’efficacia dei suoi attacchi, ma anche per l’estetica unica del suo data leak site. Quest’ultimo, progettato in stile retrò, accoglie i visitatori con un prompt minimalista dove le informazioni possono essere richieste tramite un testo verde fluorescente su sfondo nero, evocando un’atmosfera da vecchio terminale.

Il messaggio di benvenuto che accoglie i nuovi “visitatori” è diretto e minaccioso:

“Salve, Devi essere l’amministratore di dominio o il CEO, in altre parole, la nostra ultima vittima. Se stai leggendo questo messaggio, significa che l’infrastruttura interna della tua azienda è stata compromessa, tutti i tuoi backup sono stati eliminati o crittografati. Abbiamo anche rubato la maggior parte dei dati importanti detenuti dalla tua azienda. Andando avanti, sarebbe nel tuo interesse cooperare con noi, per prevenire ulteriori disgrazie. Siamo a conoscenza di tutto. Abbiamo studiato attentamente tutte le tue finanze e sappiamo quanto è un prezzo equo per te da pagare, tenendo conto di ciò, sappi che ti tratteremo con giustizia. Quando scegli di ignorare la nostra gentilezza e di segnalare alle forze dell’ordine o agli esperti di recupero dati per aiutarti a trovare un modo per recuperare i tuoi dati persi, perdi solo TEMPO e SOLDI, e noi nel processo perdiamo la nostra pazienza. Perdere la nostra pazienza comporterebbe la perdita delle tue informazioni sensibili a vantaggio dei tuoi concorrenti e di altri criminali informatici che certamente ne trarrebbero profitto. Sarebbe nel tuo miglior interesse evitare questo. Siamo sempre disposti a negoziare poiché crediamo che il dialogo debba essere sempre la prima opzione e le azioni drastiche debbano essere salvate per ultime. Se non riusciremo a raggiungere un accordo, venderemo o cederemo tutte le informazioni che abbiamo rubato. Navigare in questo sito è stato mantenuto al minimo e semplice. Per elencare tutti i comandi, digita help nel terminale.”

L’Intervista

Attraverso questa intervista, Dark Lab offre uno sguardo approfondito nelle menti di coloro che si celano dietro gli attacchi di VANIR, esplorando le loro motivazioni, le loro tecniche e le loro strategie di negoziazione. Un viaggio che ci permette di capire meglio chi sono questi attori di minaccia e come possiamo difenderci dalle loro azioni devastanti.
Dove si è svolta l’intervista, tramite il messenger TOX
1 – RHC: Grazie ragazzi per aver accettato questa intervista. Cominciamo con una domanda diretta: qual è l’origine del gruppo VANIR e cosa vi ha spinto a dedicarvi alle operazioni ransomware? Il nome ha un’origine specifica?
BlackEyedBastard: Il gruppo Vanir è composto da ex affiliati di gruppi come karakurt e lockbit e knight ransomware, erano tutti scontenti per diversi motivo e sono venuti da noi. Lavoriamo solo per guadagno finanziario, non abbiamo interessi politici.

2 – RHC : Siete un rebrand di un gruppo ransomware già esistente o affiliati di altri RaaS che volevano mettersi in proprio?
BlackEyedBastard: Sì, lo siamo.

3 – RHC : Utilizzate un modello di affiliazione nelle vostre operazioni di ransomware? Se sì, come funziona e come selezionate i vostri affiliati?
BlackEyedBastard: Abbiamo un modello di affiliazione, come ho detto nella prima domanda. La selezione avviene sulla base della fiducia e della reputazione.

4 – RHC : Attualmente vi occupate di tutto internamente (malware, violazione e richiesta di riscatto) o siete distribuiti su più gruppi? Ad esempio, fate uso di Initial Access Broker (IaB)?
BlackEyedBastard: A volte acquistiamo i servizi degli IAB, ma tutto ciò che è abbastanza interessante di solito non viene divulgato.

5 – RHC : Molti gruppi si sono dati regole rigide sugli obiettivi (come non colpire ospedali e istituti per bambini, ecc…) su cui lanciare gli attacchi. Voi ne avete?
BlackEyedBastard: Non attacchiamo i Paesi della CSI.

6 – RHC : Quali sono le motivazioni principali che vi spingono a svolgere attività ransomware? È solo un modo per fare più soldi o c’è un pensiero più ampio come il miglioramento della sicurezza informatica delle infrastrutture IT?
BlackEyedBastard: È solo per profitto, non ci interessa l’incapacità delle aziende di cui vi fidate per proteggere i vostri dati, piuttosto siamo felici di fare soldi grazie alla loro avidità e negligenza.

7 – RHC : Se doveste consigliare a un’azienda di proteggersi meglio dalla criminalità informatica, quale sarebbe la prima cosa da fare?
BlackEyedBastard : Assumere un team di professionisti e non essere tirchi.

8 – RHC : Riportate nel vostro DLS che “sappiamo qual è il prezzo giusto da pagare per voi” e poi “sappiate che vi tratteremo in modo equo“. A quanto pare la scelta è quella di una negoziazione “collaborativa“. Quanto sono alte le vostre richieste di riscatto oggi?
BlackEyedBastard: Qualsiasi cifra compresa tra l’1,5 e il 2% del fatturato annuale di un’azienda ci sembra equa.

9 – RHC : Puoi spiegarci brevemente come funziona la tua soluzione?
BlackEyedBastard: Una volta ottenuto l’accesso, entriamo nella rete ed effettuiamo la massima ricognizione possibile. Al termine, blocchiamo immediatamente il server.

10 – RHC : Qual è la nazionalità prevalente dei membri del gruppo Vanir?
BlackEyedBastard : Al momento siamo tutti dell’Europa dell’Est.

11 – RHC : Ricevete supporto o sponsorizzazione da agenzie governative o altre organizzazioni?
BlackEyedBastard: No, non siamo un gruppo APT, non riceviamo supporto da nessuno o organizzazione, non possiamo essere comprati per eseguire un attacco contro qualcuno che non siamo disposti a colpire.

12 – RHC : Quali sono i vostri obiettivi a lungo termine?
BlackEyedBastard : Creare scompiglio.

13 – RHC : Il vostro ransomware si ispira a codici esistenti? Se sì, quali e come li avete modificati per renderli unici?
BlackEyedBastard : Il codice sorgente del nostro ransomware è scritto da zero, non è un compito arduo per chiunque abbia un po’ di esperienza.

14 – RHC : Ci sono altri cybergang da cui traete ispirazione? Se sì, quali sono e cosa ammiri di loro?
BlackEyedBastard : Personalmente, amo la tenacia di lockbit e sono un grande fan di Akira.

15 – RHC : Qual è la tua filosofia nel trattare le vittime?
BlackEyedBastard : Cerchiamo il più possibile di essere corretti, anche se di solito siamo severi con i dirigenti, che avrebbero dovuto fare di più per proteggersi, ma hanno fallito e messo a rischio persone innocenti.

16 – RHC : Il vostro sito dedicato alle fughe di dati ha un design unico e retrò, che ricorda i vecchi monitor CRT degli anni 80. Qual è l’idea alla base di questa estetica che ricorda anche il DLS di un’altra cyber gang come AKIRA?
BlackEyedBastard : Sì, l’interfaccia utente del sito è fortemente ispirata ad Akira, inoltre, non amate la nostalgia? Volevamo qualcosa di semplice che non necessitasse di codice backend, questa era la soluzione. Nessun PHP o Node in esecuzione in background, quindi nessuna possibilità di sfruttamento.

17 – RHC : Avete qualche messaggio finale per le organizzazioni che potrebbero diventare vostre future vittime?
BlackEyedBastard : Non siate stupidi, pagate il riscatto, facciamo sul serio e la morte della vostra azienda non è altro che un piccolo divertimento per noi. Non puoi essere l’eroe. Sottomettiti o sarai distrutto.

18 – RHC : Vi ringraziamo per questa intervista. Facciamo queste interviste per far capire ai nostri lettori che la cybersecurity è un argomento puramente tecnico e che per poter vincere la lotta al cybercrime dobbiamo essere più forti di voi, che notoriamente siete spesso un passo avanti a tutti. Vuole aggiungere qualcosa o fare qualche considerazione che potrebbe essere interessante per i nostri lettori?
BlackEyedBastard : Ciao caro lettore, ascolta, sappiamo entrambi che il mondo e il sistema in cui viviamo è fottuto. Le persone cresciute da famiglie di classe media o povera sono destinate a rimanere tali se si comportano come le pecore che ci si aspetta che siano, ma tu non sei così. Potete controllare il vostro destino, altrimenti perché stareste leggendo questo articolo? Se siete scontenti di questo sistema ingiusto, potete sempre rivolgervi a noi. Vi mostreremo come possiamo farlo tutti insieme.

Di seguito l’intervista nel linguaggio originale:
1 - RHC: Thank you guys for accepting this interview. Let's start with a direct question: what is the origin of the VANIR group and what prompted you to engage in ransomware operations? Does the name have any specific origin?
BlackEyedBastard: Vanir group is made up of ex-affiliates of groups like karakurt and lockbit as well as knight ransomware, they were all disgruntled for whatever reasons and they came to us. We work soley for financial gain, we have no political interests.

2 - RHC: Are you a rebrand of a previously existing ransomware group or affiliates of other RaaS that wanted to go out on their own?
BlackEyedBastard: Yes, we are.

3 - RHC: Do you use an affiliate model in your ransomware operations? If so, how does it work and how do you select your affiliates?
BlackEyedBastard: We do have an affiliate model as I stated in the first question. Selection is on a trust and reputation basis.

4 - RHC: Do you currently do everything in-house (malware, breach, and ransom demand) or are you distributed across multiple groups? For example, do you make use of Initial Access Broker (IaB)?
BlackEyedBastard: We sometimes purchase the services of IABs, anything that is interesting enough usually isnt passed on.

5 - RHC: Many groups have given themselves strict rules about targets (such as not hitting hospitals and institutions for children, etc...) on which to launch attacks. Do you guys have any?
BlackEyedBastard: We do not attack CIS countries.

6 - RHC: What are your main motivations behind in ransomware activities? Is it just a way to make more money or is there a broader thought such as improving IT infrastructure cybersecurity?
BlackEyedBastard: It is soley for profit, we are not interested in the inability of the companies you trust to protect your data, rather, we are happy to make money off their greed and carelessness.

7 - RHC: If you were to advise any company to better protect itself from cybercrime, what would you recommend as the first thing to start with?
BlackEyedBastard: Hire an actual, professional team and don't be cheap about it

8 - RHC: Report in your DLS that "we know what is a fair price for you to pay" and then "know that we will treat you fairly." Apparently the choice is for "collaborative" negotiation. How high are your ransom demands today?
BlackEyedBastard: Anything from 1.5- 2% of a companies yearly revenue seems fair to us.

9 - RHC: Can you explain to us how your solution works briefly?
BlackEyedBastard: Once we have access, we walk in the network and perform as much reconnaisance as possible. When this is complete, we immediately lock the server.

10 - RHC: What is the predominant nationality of the Vanir group members?
BlackEyedBastard: We are all from Eastern Europe as of now.

11 - RHC: Do you receive support or sponsorship from government agencies or other organizations?
BlackEyedBastard: No, we are not an APT group, we do not receive support from any one or organisation, we cannot be bought to perform an attack on anyone we are not willing to hit.

12 - RHC: What are your long-term goals for the Vanir group?
BlackEyedBastard: To wreak havoc.

13 - RHC: Is your ransomware inspired by existing codes? If so, which ones and how did you modify them to make them unique?
BlackEyedBastard: The source code of our ransomware is written from scratch, this is not a daunting task for anyone with a bit of experience.

14 - RHC: Are there other cybergangs from which you draw inspiration? If yes, what are they and what do you admire about them?
BlackEyedBastard: Personally, I love the tenacity of lockbit, and I am a big fan of Akira.

15 - RHC: What is your philosophy in dealing with victims?
BlackEyedBastard: We try as much as possible to be fair, although we are usually strict on the management, they should have done more to protect themselves, but they failed and put the innocent at risk

16 - RHC: Your data leak site has a unique, retro design and reminds us of old CRT monitors from the 1980s. What is the idea behind this aesthetic that also reminds us of the DLS of another cyber gang such as AKIRA?
BlackEyedBastard: Yes, the UI of the site is heavily inspired by Akira, also, don't you love nostalgia? We wanted something simple with 0 need for backend code, that was the solution. No PHP or Node running in the background, means 0 possibility of exploitation.

17 - RHC: Do you have any final messages for organizations that may become your future victims?
BlackEyedBastard: Don't be stupid, pay your ransom, we mean business and the death of your company is nothing but some little entertainment to us. You can't be the hero. Submit, or be destroyed.

18 - RHC: We thank you for this interview. We do these interviews to make our readers understand that cybersecurity is a purely technical subject and that in order to be able to win the fight against cybercrime we need to be stronger than you, who are notoriously often one step ahead of everyone. Would you like to add anything or make any points that might be of interest to our readers?
BlackEyedBastard: Hello dear reader, Listen up, we both know the world and the system in which we live is fucked. People raised from middle or poor class families are doomed to remain that way if they are like the sheep they are expected to be, but you are not like that. You can control your destiny, else why would you be reading this? If you are disgruntled by this unfair system, you can always reach out to us. We would show you how we can all become reach together.
L'articolo Parla Vanir Group! L’intervista di RHC agli ex affiliati di LockBit, Karakurt and Knight: “Assumete professionisti, non siate tirchi!” proviene da il blog della sicurezza informatica.

Nel giugno 2024, è stata resa pubblica una grave vulnerabilità nel linguaggio di programmazione PHP, identificata come CVE-2024-4577. Questa falla di sicurezza colpisce le installazioni di PHP che operano in modalità CGI (Common Gateway Interface) ed è particolarmente critica per le installazioni su sistemi Windows con impostazioni locali in cinese e giapponese. Tuttavia, non si esclude che possa interessare un numero più ampio di configurazioni​ (Akamai)​​.

Dettagli della Vulnerabilità

La vulnerabilità è presente nelle versioni di PHP 8.1., 8.2., e 8.3.*, precedenti rispettivamente alle versioni 8.1.29, 8.2.20, e 8.3.8. La falla è causata dal modo in cui PHP e i gestori CGI interpretano determinati caratteri Unicode, permettendo agli aggressori di eseguire codice remoto (Remote Code Execution, RCE) inviando codice PHP che viene successivamente interpretato erroneamente dal server. Questo tipo di attacco sfrutta l’input php://input, un flusso I/O di sola lettura che consente di leggere i dati grezzi dal corpo della richiesta​.

Modalità di Sfruttamento

Gli attacchi sfruttano l’input php://input, un flusso I/O di sola lettura che permette di leggere i dati grezzi dal corpo della richiesta. Questo metodo consente di inserire codice malevolo che viene eseguito prima del codice principale del file PHP. Una tecnica comune è l’uso dell’opzione auto_prepend_file di PHP, che specifica un file da analizzare automaticamente prima del file principale. Questo assicura che il codice dell’attaccante venga eseguito per primo. Inoltre, viene spesso utilizzata l’opzione allow_url_include, che abilita il recupero di dati da posizioni remote tramite funzioni come fopen e file_get_contents​.

In modalità CGI, il server web analizza le richieste HTTP e le passa a uno script PHP per ulteriori elaborazioni. Questo può lasciare aperta una via per l’iniezione di comandi, poiché i parametri delle query vengono passati al PHP interpreter tramite la linea di comando. Ad esempio, una richiesta del tipo http://host/cgi.php?foo=bar potrebbe essere eseguita come php.exe cgi.php foo=bar, lasciando aperta la possibilità di eseguire comandi arbitrari se gli input non vengono correttamente sanitizzati​.

Impatti e Conseguenze

Il primo giorno dopo la divulgazione della vulnerabilità, il team di Akamai ha osservato numerosi tentativi di sfruttamento, segnalando la rapidità con cui gli attori malevoli hanno adottato questa vulnerabilità. Gli attacchi osservati includono iniezioni di comandi e l’implementazione di vari malware, tra cui Gh0st RAT, miner di criptovalute come RedTail e XMRig. Questi attacchi dimostrano l’alta criticità e la facile sfruttabilità della vulnerabilità, con conseguenze potenzialmente devastanti per i sistemi compromessi​​.

Descrizione dei Malware Utilizzati

• Gh0st RAT: Gh0st RAT (Remote Access Trojan) è un malware utilizzato per il controllo remoto di sistemi infetti. Permette agli attaccanti di eseguire comandi da remoto, rubare informazioni sensibili, catturare schermate, registrare audio e video, e trasferire file. Questo malware è noto per la sua versatilità e la capacità di nascondersi nei sistemi infetti, rendendo difficile la sua rilevazione e rimozione​.
• RedTail Cryptominer: RedTail è un miner di criptovalute che sfrutta le risorse del sistema infetto per minare criptovalute senza il consenso dell’utente. Questo tipo di malware consuma una quantità significativa di risorse di sistema, causando rallentamenti e potenziali danni hardware dovuti al surriscaldamento​.
• XMRig: XMRig è un altro esempio di software di mining di criptovalute, specificamente progettato per minare Monero (XMR). Questo malware è altamente efficiente nel mascherare la sua presenza e può operare silenziosamente in background, riducendo al minimo la possibilità di essere rilevato dall’utente o dai software di sicurezza​.
• Muhstik: Muhstik è un noto botnet malware che colpisce principalmente server basati su Linux. Viene utilizzato per lanciare attacchi DDoS (Distributed Denial of Service), eseguire criptominazioni, e propagare ulteriori malware. Muhstik è in grado di auto-propagarsi sfruttando vulnerabilità note e può compromettere rapidamente reti estese​.
• RAT (Remote Access Trojan): I RAT sono trojan che permettono agli attaccanti di controllare completamente i sistemi infetti da remoto. Questi malware possono rubare dati, installare altri malware, monitorare le attività degli utenti, e trasformare i computer infetti in parte di una botnet per ulteriori attacchi. La loro caratteristica principale è la capacità di nascondersi efficacemente per evitare il rilevamento e la rimozione.

Indicatori di Compromissione (IOCs)

Gli Indicatori di Compromissione (IOCs) sono elementi di dati che suggeriscono una potenziale compromissione del sistema. Nel contesto della vulnerabilità CVE-2024-4577, gli IOCs possono includere:

• Traffico di rete anomalo: Rilevamento di comunicazioni con server noti per essere utilizzati da attori malevoli.
• File sospetti: Presenza di file sconosciuti o non autorizzati nelle directory dei server PHP, specialmente quelli specificati tramite auto_prepend_file.
• Processi in esecuzione: Processi PHP o web server che eseguono comandi inusuali o che consumano eccessive risorse di sistema.
• Log di sistema: Voci nei log del server che indicano tentativi di accesso non autorizzato o l’esecuzione di script PHP non previsti.
• Modifiche ai file di configurazione: Alterazioni non autorizzate dei file di configurazione PHP, specialmente quelli che abilitano l’inclusione di URL remoti o specificano file da eseguire automaticamente​.

Identificazione della Vulnerabilità tramite Threat Intelligence

L’identificazione e la mitigazione delle minacce come la vulnerabilità CVE-2024-4577 possono essere effettuate tramite l’uso di Threat Intelligence, che include:

• Monitoraggio dei Threat Feeds: Iscriversi a servizi di threat intelligence per ricevere aggiornamenti tempestivi su nuove vulnerabilità e indicatori di compromissione.
• Analisi dei Log: Utilizzare strumenti di analisi dei log per identificare attività sospette o anomale nei log del server.
• Implementazione di Sistemi di Intrusion Detection/Prevention (IDS/IPS): Questi sistemi possono rilevare e prevenire tentativi di sfruttamento delle vulnerabilità noti.
• Patch Management: Implementare un processo di gestione delle patch efficace per assicurarsi che tutte le vulnerabilità note siano tempestivamente corrette.
• Audit di Sicurezza: Condurre regolari audit di sicurezza per identificare e correggere potenziali punti deboli nel sistema​.

Misure di Protezione e Mitigazione

Per proteggersi da questa vulnerabilità, è fondamentale che le organizzazioni aggiornino immediatamente le loro installazioni di PHP alle versioni più recenti. Akamai ha implementato misure di mitigazione tramite il loro servizio App & API Protector, che protegge i clienti bloccando automaticamente gli exploit noti. Inoltre, nel loro blog, Akamai ha fornito una lista completa degli indicatori di compromesso (IOCs) per aiutare le organizzazioni a identificare e rispondere agli attacchi​.

Conclusione

La vulnerabilità CVE-2024-4577 rappresenta una seria minaccia per le installazioni di PHP in modalità CGI. La rapidità con cui è stata sfruttata dimostra la necessità per le organizzazioni di adottare misure di sicurezza tempestive e proattive. Aggiornare PHP alle versioni più sicure e utilizzare soluzioni di mitigazione automatica come quelle offerte da Akamai sono passi cruciali per proteggere i sistemi da attacchi futuri.

L'articolo CVE-2024-4577: La Vulnerabilità PHP Sfruttata entro 24 Ore dalla Sua Scoperta proviene da il blog della sicurezza informatica.

Chat control is back on the agenda of EU governments. They will discuss “progress” on 10/11 October and are to endorse it on 12/13 December.
In June we managed to stop the unprecedented plan by an extremely narrow “blocking minority” of EU governments: Chat control proponents achieved 63.7% of the 65% of votes threshold required in the Council of the EU for a qualified majority.

Several formerly opposed governments such as France have already given up their opposition. Several still critical governments are only asking for small modifications (e.g. searching for “known content” only or excluding end-to-end encryption) which would still result in mass searches and leaks of our private communications. Therefore there is a real threat that the required majority for mass scanning of private communications may be achieved at any time under the current Hungarian presidency (Hungary being a supporter of the proposal).

That is why we now need to get involved and raise our voices to our governments and raise awareness in the wider population.
→ Previously supportive governments must be convinced to change their minds
→ Critical governments need to be pushed to demand comprehensive changes, as proposed by the European Parliament, and not just minor changes to the proposal.

In the absence of such fundamental revision, the proposal should be rejected altogether.

This map (feel free to share online!) visualises EU governments positions on chat control in June, also summarised in the table below. It helps you understand where your government stands and can help you start your journey as a digital rights advocate against chat control in your country. You will find some helpful resources below.

Is your government in favour?
→ Ask for an explanation and for your government to revert its course.

Is your government abstaining?
→ Ask why and demand that they take a strong stance against chat control.

Is your government opposing?
→ Great, but take a closer look at the reasoning: Some governments like Germany e.g. only object to the scanning of encrypted communications, but are fine with the indiscriminate scanning of other private and public communication, with the end of anonymous communication by requiring age verification, or with introducing a minimum age for “risky” communication apps. Also critical governments need to do more, exert their influence in the Council of the EU and agree on a joint list of necessary fundamental changes to the proposal. Absent such revision they should ask the European Commission to withdraw the chat control proposal as it stands.

Where your government stands on chat control

Take action now

These are ideas for what you can do in the short-term or with some
preparation. Start with:

• Ask you government to call on the European Commission to withdraw the chat control proposal. Point them to a joint letter that was recently sent by children’s rights and digital rights groups from across Europe. Click here to find the letter and more information.
• Check your government’s position (see above) and, if they voted in favour or abstained, ask them to explain why. Tell them that as a citizen you want them to reject the proposal, that chat control is widely criticised by experts and that none of the proposals tabled in the Council of the EU so far are acceptable. Ask them to protect the privacy of your communication and your IT security.
• Share this call to action online.

When reaching out to your government, the ministries of the interior (in the lead) of justice and of digitisation/telecommunications/economy are your best bet. You can additionally contact the permanent representation of your country with the EU.

It can also be useful to reach out to Members of your national Parliament who can determine your country’s vote. Talk to your political representatives. Whether it is the newly elected MEPs of the European Parliament or local groups of the political parties: make sure everyone is aware of what chat control is about and that you expect politicians to defend your fundamental rights against the proposal!

When contacting politicians, writing a real letter, calling in or attending a local party event or visiting a local office to have a conversation will have a stronger impact than writing an e-mail. You can find contact details on their websites. Just remember that while you should be determined in your position, remain polite, as they will otherwise disregard what you have to say. Here is useful argumentation on chat control. And here is argumentation for why the minor modifications so far envisioned by EU governments fail to address the dangers of chat control: by us, by EDRi, by CDT.

As we continue the fight against against chat control, we need to expand the resistance:

• Explain to your friends why this is an important topic. This short video, translated to all European languages, is a good start – feel free to use and share it. Also available on PeerTube (EN) and YouTube (DE).
• Taking action works better and is more motivating when you work together. So try to find allies and form alliances. Whether it is in a local hackspace or in a sports club: your local action group against chat control can start anywhere. Then you can get creative and decide which type of action suits you best.

Take action now. We are the resistance against chat control!

patrick-breyer.de/en/take-acti…

Digitalcourage auf PeerTube

2023-03-09 19:03:35

#StopScanningMe: How to actually protect children online | Kurzfilm: #Chatkontrolle (EN)

StopScanningMe / Alexander Lehmann, CC-BY 4.0

In 2022, European lawmakers proposed new rules with the noble intent to protect children. However, this law allows authorities to have anyone's legitimate conversations monitored.

In doing so, it harms everyone, including those it wants to protect. No one can be protected by making the internet less secure.

Learn more at: stopscanningme.eu/

We are European Digital Rights. We promote, protect and uphold human rights and fundamental freedoms in the digital environment.

Stay tuned here: eupolicy.social/@edri

Deutsche Fassung des Videos hier: digitalcourage.video/w/mNHKXBr…
Mehr Informationen zum Thema auf Deutsch bei Digitalcourage: digitalcourage.de/chatkontroll…
… und auf der Seite „Chatkontrolle STOPPEN!“: chat-kontrolle.eu/

Stop Scanning Me

Privacy empowers. Surveillance weakens.

^{Stop Scanning Me}