BlindEagle, also known as “APT-C-36”, is an APT actor recognized for employing straightforward yet impactful attack techniques and methodologies. The group is known for their persistent campaigns targeting entities and individuals in Colombia, Ecuador, Chile, Panama and other countries in Latin America. They have been targeting entities in multiple sectors, including governmental institutions, financial companies, energy and oil and gas companies, among others.

BlindEagle has demonstrated adaptability in shaping the objectives of its cyberattacks and the versatility to switch between purely financially motivated attacks and espionage operations.

There is evidence that the group has been active since at least 2018. At GReAT, we have been closely tracking their campaigns. This blog aims to give an introduction to the group, detail its TTPs, and provide insights into their recent operations.

The eagle goes phishing

The spreading method used by BlindEagle is via phishing emails. Depending on the type of cyberoperation they conduct, it could be spear phishing (used in targeted espionage attacks) or more generalized phishing (particularly used in financial attacks).

The phishing emails typically impersonate governmental institutions, such as Colombia’s National Directorate of Taxes and Customs, Ministry of Foreign Affairs or Office of the Attorney General, among others. Spam campaigns impersonating financial and banking entities are also common.

Phishing impersonating the Attorney General’s Office

The campaigns involve sending deceptive emails containing a notification about an issue that requires immediate action by the user. Each email contains a link in its body that appears to lead to the official website of the entity being impersonated, and an attached file (particularly PDF or Word documents). The attached document mirrors the email’s message, contains the same URL and, in some cases, adds extra details and a heightened sense of urgency to make the phishing attempt sound more convincing. The links usually point to DDNS services and redirect victims to public repositories or sites owned by the attackers where they host malware implants, also known as “the initial dropper”.

A distinctive aspect of the malware delivery is geolocation filtering. The group often uses URL shorteners that are capable of geographical detection and redirection. That means that, if a connection is detected to be coming from a country which is not among the group’s targets, the attack is called off, and the victim is redirected to the site of the organization the attackers are impersonating. This geographical redirection prevents new malicious sites from being flagged, and thwarts hunting and analysis of these attacks.

How the eagles attack

Once an email is delivered, it paves the way for the group’s final malicious implant. BlindEagle is well known for using publicly available or open-source Remote Access Trojans (RATs), with the primary goal of spying on victims and stealing financial information. The group constantly switches from one RAT to another, using different tools in different campaigns. We have observed BlindEagle running operations using njRAT, LimeRAT, BitRAT and AsyncRAT, among others. They usually modify the samples to add customization them and new capabilities.

To deploy the final implant, the group uses a multi-stage process that is consistently similar across their campaigns. Unlike the final payload, the tools they use at the intermediate stages are custom built. The initial dropper, downloaded from malicious links, is typically a compressed file that tricks the victim by pretending to be an official document from the government or financial entity being spoofed in the phishing attack. We have observed the use of popular compression formats like ZIP, but also older and less known formats, such as LHA and UUE. Many threat actors exploit these lesser-known formats to deceive their victims into opening the file, taking advantage of their lack of knowledge about these formats.

The victim is persuaded to extract and run the files within the archive allegedly to solve the issue mentioned in the phishing email. The extracted files are typically Visual Basic Scripts that use WScript, XMLHTTP objects, or PowerShell commands to contact another server to download a malicious artifact for the next stage. The server address is usually hardcoded in the VBS file.

During the monitored campaigns, we have observed various server options chosen by BlindEagle, including servers controlled by the group and public infrastructure, such as image hosting sites, text storage sites like Pastebin, CDN services like Discord or developer platforms like GitHub repositories.

As the second-stage artifact, the threat actor employs various files, with the most common types being text files, images and .NET executables. These are usually encoded or obfuscated.

Steganography used in a BlindEagle campaign

The text files often contain a payload encoded in base64, ASCII or a combination of both. For images, the group has explored using steganography techniques to hide similarly encoded malicious code. The executable files typically masquerade as legitimate and contain the next malicious payload within their resource section.

In the next phase, the malicious code is extracted if needed and decoded by the initial dropper, yielding an intermediate file that, judging by the campaigns we have monitored, can be either a DLL or a .NET injector. This file calls yet another malicious server, whose address is, too, hardcoded in the executable, to download the final payload: the open-source RAT.

During this intermediate phase, the group often uses process injection techniques to execute the RAT in the memory of a legitimate process, thereby evading process-based defenses. The group’s preferred technique is process hollowing. This technique consists in creating a legitimate process in a suspended state, then unmapping its memory, replacing it with a malicious payload, and finally resuming the process to start execution.

Cyber-espionage or a financial attack: Actually, both

BlindEagle uses open-source RATs as the final link in their attack chain, which they modify in a way that suits their campaign objectives. This approach gives them the flexibility to adapt their malware with minimal efforts, as they do not need to develop implants from scratch. We have observed a wide variety of RATs used by the group, with notable examples including AsyncRAT, njRAT, Lime-RAT, Quasar RAT and BitRAT.

The group demonstrates great adaptability between campaigns. For example, in some of its financial attacks, the threat actor utilized a modified version of the Quasar RAT, a malware primarily used for espionage but in this case, repurposed as a banking Trojan to specifically target customers of financial institutions in Colombia.

The group modified the RAT by adding functionality to capture information from the victim’s browser to intercept credentials for banking services. After execution, the malware monitored newly opened browser windows. If the titles of any of these windows returned a match with a list of strings relating to ten Colombian financial entities, the RAT initiated keylogging to capture the login credentials for these entities’ online services.

A version of Quasar RAT modified to steal financial credentials

When it comes to espionage campaigns, the group turns to Trojans like njRAT. Modified versions of this malware allow them to capture sensitive information from their victims through keylogging and application monitoring. Additionally, the RAT exfiltrates system information and screenshots to C2 servers and can create RDP sessions or even install additional plugins. In one of the recent campaigns we have detected, the group modified this RAT to add the capability to install plugins sent from the C2 in the form of .NET assemblies or other binary files.

Improving flight precision

The group has always been known for using simple yet highly effective tactics and techniques: straightforward phishing, basic encoding and obfuscation methods, and the use of publicly available malware. However, during the latest campaigns, we have observed changes in the group’s techniques, reinforcing the idea of “adapt or perish”.

In May this year, for instance, the group conducted a new espionage campaign targeting Colombia. During this operation, BlindEagle employed an infection process featuring artifacts with strings and variable names entirely in Portuguese (instead of Spanish they had predominantly used before) and utilized Brazilian image hosting sites. Although not definitive, these elements could hint at the involvement of third parties with the group, either through collaboration or outsourcing to increase their attack capacity.

More recently, in June, we observed an espionage campaign that also targeted Colombia in which the group introduced a new technique into their arsenal. The campaign followed all the group’s usual TTPs, but this time, added a DLL sideloading twist and a new modular malware loader dubbed “HijackLoader”.

The attack was initiated through phishing emails impersonating Colombia’s judicial institutions and containing malicious PDF or DOCX files masquerading as a demand notice or a court summons. The victims were tricked into opening the attached files and clicking embedded links to download fictitious lawsuit documents, allegedly to resolve the previously mentioned legal issues. These documents were actual legitimate executable files signed by ASUS or IObit. They invoked malicious DLLs through sideloading, ultimately executing a version of HijackLoader that injected the spy RAT: in this case, AsyncRAT.

Victims

Since its inception, BlindEagle has been conducting persistent campaigns targeting entities and individuals, particularly in Colombia and other Latin American, countries such as Ecuador, Chile and Panama.

In the espionage campaigns we observed in May and June this year, the group primarily targeted individuals and organizations in Colombia, which accounted for 87% of the detected victims. These attacks involved entities across various sectors, notably government, education, health and transportation.

Tactics, techniques and procedures (TTPs)

Although the group’s toolset varies greatly, as do their goals, they employ a range of tactics, techniques, and procedures that are consistently used across their various campaigns. Below are some key TTPs that frequently recur:

• Phishing impersonating governmental entities as the spreading method. In some campaigns, particularly those involving financial attacks, the group impersonates banking institutions.
• Attached PDFs and DOCX files containing embedded links.
• URL shortener services employed for geolocation filtering.
• Dynamic DNS services utilized for resolving the addresses of servers hosting the group’s malicious artifacts.
• Public infrastructure used to host some of the malicious artifacts (image hosting services, pastebin sites, GitHub repositories and the Discord CDN, among others).
• Process hollowing applied for injecting malicious code into legitimate processes during intermediate stages of the attack.
• VBS scripts and .NET assemblies employed as intermediate artifacts.
• Open-source RATs used as the final payload in the attack.

Conclusions

As simple as BlindEagle’s techniques and procedures may appear, their effectiveness allows the group to sustain a high level of activity. By consistently executing cyber-espionage and financial credential theft campaigns, BlindEagle remains a significant threat in the region.

Additionally, the group is exploring alternative strategies within their infection processes and adding new techniques to their arsenal to sustain their operations and maintain their impact. BlindEagle continues to fly high, and we will maintain vigilant monitoring of their activity.

securelist.com/blindeagle-apt/…

We don’t know how you feel when designing hardware, but we get uncomfortable at the extremes. High voltage or current, low noise figures, or extreme frequencies make us nervous. [Orion Serup] from CrabLabs has been turning up a few of those variables and has created a fairly beefy 3-phase motor driver using GaN technology that can operate up to 80V at 70A. GaN semiconductors are a newer technology that enables greater power handling in smaller packages than seems possible, thanks to high electron mobility and thermal conductivity in the material compared to silicon.

The KiCAD schematic shows a typical high-power driver configuration, broken down into a gate pre-driver, the driver itself, and the following current and voltage sense sub-circuits. As is typical with high-power drivers, these operate in a half-bridge configuration with identical N-channel GaN transistors (specifically part EPC2361) driven by dedicated gate drivers (that’s the pre-driver bit) to feed enough current into the device to enable it to switch quickly and reliably.

The design uses the LM1025 low-side driver chip for this task, as you’d be hard-pushed to drive a GaN transistor with discrete components! You may be surprised that the half-bridge driver uses a pair of N-channel devices, not a symmetric P and N arrangement, as you might use to drive a low-power DC motor. This is simply because, at these power levels, P-channel devices are a rarity.

Why are P-channel devices rare? N-channel devices utilise electrons as the majority charge carrier, but P-channel devices utilise holes, and the mobility of holes in GaN is very low compared to that of electrons, resulting in much worse ON-resistance in a P-channel and, as a consequence, limited performance. That’s why you rarely see P-channel devices in a circuit like this.

Of course, schematic details are only part of the problem. High-power design at the PCB level also requires careful consideration. As seen from the project images, this involves heavy, thick copper traces on two or more heavily via-stitched layers to maximise copper volume and lower resistance as far as possible. But, you can overdo this and end up with too much inductance in critical areas, quickly killing many high-power devices. Another vital area is the footprint design for the GaN device and how it connects to the rest of the circuit. Get this wrong or mess up the soldering, and you can quickly end up with a much worse performance!

We’ve seen DIY high-power controllers here a few times. Here’s an EV controller that uses discrete power modules. Another design we saw a few years ago drives IGBTs for a power output of 90kW.

Secondo MTS RED, nella prima metà del 2024, il numero di attacchi informatici critici contro le organizzazioni mediche è aumentato del 32% rispetto allo scorso anno. Tali incidenti minacciano di far trapelare i dati dei pazienti, distruggere le infrastrutture e interrompere i servizi medici.

L’azienda ha affermato che non solo è aumentato il numero degli attacchi, ma è aumentata anche la loro quota nel volume totale degli incidenti legati alla sicurezza informatica. Se nella prima metà dello scorso anno era circa il 6%, dall’inizio del 2024 è già quasi al 19%. Questa tendenza è particolarmente evidente dato che il numero totale di attacchi contro le organizzazioni mediche durante questo periodo è aumentato di non più del 10%.

Stanno anche emergendo delle cyber-gang specializzate nella violazione delle organizzazioni sanitarie, come RansomCortex, intervistata recentemente da Red Hot Cyber.

All’inizio del 2024, gli analisti di MTS RED hanno notato un aumento degli attacchi hacker alle strutture delle infrastrutture critiche informative (CII) in Russia. Circa il 69% di tutti gli attacchi erano diretti contro organizzazioni provenienti da aree legate alla CII. Tra questi, il settore sanitario è al secondo posto per frequenza di attacchi, secondo solo all’industria.

Il ritmo delle minacce informatiche alla medicina e all’assistenza sanitaria continua a crescere rapidamente. Nel secondo trimestre, MTS RED ha registrato il 65% in più di attacchi contro le organizzazioni sanitarie rispetto al primo. Nei mesi di maggio e giugno il numero degli attacchi ha superato di 2-2,5 volte la media mensile di inizio anno.

MTS RED ha spiegato che il settore sanitario è diventato un nuovo bersaglio per gli hacker per diversi motivi.

• In primo luogo, si tratta di un settore abbastanza digitalizzato, in cui viene elaborata una grande quantità di dati personali e riservati, la cui fuga può causare una grande risonanza.
• l’assistenza sanitaria è un ramo dell’infrastruttura informatica critica; la continuità del suo funzionamento è di grande importanza per i cittadini del Paese. Un attacco riuscito a un’organizzazione medica porterà inevitabilmente a conseguenze significative.
• Un altro motivo è il basso livello di maturità della sicurezza informatica del settore significa che gli hacker non necessitano di grandi investimenti finanziari o di risorse per sferrare un attacco serio.

Gli incidenti più comuni sono i tentativi di aggirare le misure di sicurezza, che rappresentano il 36% di tutti gli attacchi.

Al secondo posto ci sono gli attacchi di rete e l’iniezione di malware, ciascuna di queste categorie rappresenta circa un quarto di tutti gli attacchi. Nel 5% degli incidenti sono state registrate violazioni delle politiche di sicurezza delle informazioni e azioni illegittime degli amministratori dei sistemi informativi.

L'articolo Gli attacchi al settore sanitario sono in aumento. +32% rispetto all’anno precedente proviene da il blog della sicurezza informatica.

I criminali informatici hanno preso il controllo di oltre 35.000 domini registrati utilizzando un attacco chiamato dai ricercatori “Sitting Ducks” . Questo metodo consente agli aggressori di prendere il controllo dei domini senza accedere al provider DNS o all’account del registrar del proprietario.

Nell’attacco di Sitting Ducks i criminali informatici sfruttano difetti di configurazione a livello di registrar e un’insufficiente verifica della proprietà presso i provider DNS. I ricercatori di Infoblox ed Eclypsium hanno scoperto che ogni giorno più di un milione di domini possono essere violati utilizzando questo attacco.

Numerosi gruppi di criminali informatici utilizzano questo metodo da diversi anni per inviare spam, truffe, diffondere malware, phishing e furto di dati. Il problema è stato documentato per la prima volta nel 2016 da Matthew Bryant, un ingegnere della sicurezza di Snap.

Perché un attacco abbia successo devono essere soddisfatte diverse condizioni: il dominio deve utilizzare o delegare i servizi DNS autoritativi a un provider diverso dal registrar; un server DNS autorevole non dovrebbe essere in grado di risolvere le query; Il provider DNS dovrebbe consentirti di rivendicare i diritti su un dominio senza verificarne la proprietà.

Se queste condizioni vengono soddisfatte, gli aggressori possono impossessarsi del dominio. Le varianti dell’attacco includono la delega parzialmente errata e il reindirizzamento a un altro provider DNS. Se i servizi DNS o l’hosting web per un dominio di destinazione scadono, un utente malintenzionato può rivendicare la proprietà del dominio creando un account presso il provider DNS.

Infoblox ed Eclypsium hanno osservato numerosi casi di sfruttamento di Sitting Ducks dal 2018 e 2019. Durante questo periodo sono stati registrati più di 35.000 casi di dirottamento di domini utilizzando questo metodo. In genere, i criminali informatici detenevano i domini per un breve periodo, ma in alcuni casi i domini rimanevano sotto il controllo degli aggressori fino a un anno.

L'articolo Attacco Sitting Ducks: 35.000 Domini Compromessi dai Cybercriminali proviene da il blog della sicurezza informatica.

Quello che stiamo per raccontarvi è qualcosa di inquietante, che risulta una ennesima deriva dell’intelligenza artificiale generativa e delle regolamentazioni ancora assenti sulle quali occorre lavorare.

Il Regno Unito ha dovuto affrontare un incidente inquietante in cui una famiglia è finita in ospedale dopo aver consumato funghi velenosi raccolti seguendo le raccomandazioni contenute in un libro acquistato da un’importante piattaforma online.

Questo libro di identificazione dei funghi, destinato ai principianti, è stato generato utilizzando l’intelligenza artificiale e conteneva errori che potevano portare a conseguenze tragiche.

Il libro, con un titolo simile a Mushrooms UK: A Guide to Harvesting Safe and Edible Mushrooms, è stato regalato al compleanno di un capofamiglia. Tuttavia, dopo che tutti i membri della famiglia hanno manifestato sintomi di grave avvelenamento, è diventato chiaro che il libro conteneva informazioni errate. Dopo un’analisi più attenta, si è scoperto che le immagini dei funghi nel libro erano state generate dall’intelligenza artificiale e che il testo conteneva incongruenze e frasi senza senso.

Il caso ha portato l’attenzione del pubblico una questione più ampia: la proliferazione di libri scritti dall’intelligenza artificiale su piattaforme come Amazon. Gli esperti avvertono che tali libri possono essere pericolosi poiché contengono errori che potrebbero costare vite umane. Ad esempio, alcuni consigliano di utilizzare l’olfatto o il gusto per identificare i funghi, un metodo che può essere fatale. Oltre a ciò, è stato rivelato che molti di questi libri scritti dalle AI, i loro autori reali spesso non sono disponibili per essere contattati.

Amazon ha già ritirato dalla vendita questo particolare libro e ha dichiarato il proprio impegno per la sicurezza degli utenti. Tuttavia, il problema rimane: sulla piattaforma si possono ancora trovare molti libri simili, il che continua a rappresentare una minaccia per gli acquirenti disinformati.

Questo caso evidenzia l’importanza di selezionare attentamente le fonti di informazione, soprattutto in aree critiche come la raccolta dei funghi. Errori in tali libri possono avere gravi conseguenze, sollevando interrogativi sulla necessità di una regolamentazione più rigorosa dei contenuti generati dall’intelligenza artificiale.

L'articolo Guida Mortale! Un libro scritto da una AI mette a rischio la vita dei lettori proviene da il blog della sicurezza informatica.

The City of Prague has cancelled plans to award a contract to PORR for the construction of the Nová Palmovka building, which is to become the new headquarters of the EU's space agency.

euractiv.com/section/politics/…

We love it when we find someone on the Internet who has the exact same problem we do and then solves it. [Hyperspace Pirate] starts a recent video by saying, “Oh no! I need to get rid of the algae in my pond, but I bought too much algaecide. If only there were a way to turn all this excess into CNC machined parts.” OK, we’ll admit that we don’t actually have this problem, but maybe you do?

Algaecide is typically made with copper sulfate. There are several ways to extract the copper, and while it is a little more expensive than buying copper, it is cost-competitive. Electrolysis works, but it takes a lot of power and time. Instead, he puts a more reactive metal in the liquid to generate a different sulfate, and the copper should precipitate out.

As you might expect, the details are the problem here. He first tried scrap steel. It worked, but it took a long time. He switched to aluminum, which was faster but required some salt to strip off the oxide. Once he had 1 kg of copper, it was time to heat it up.

Melting it was another set of issues and solutions. He eventually gets a reasonable cube of copper. Then it was off to the CNC mill, which had its own set of issues. But in the end, it looked OK. Some chemical aging made it look interesting.

Honestly, maybe just buy copper, but it sure was interesting and educational watching it all work. As a bonus, he took the copper dust from machining and converted it back into copper sulfate, completing the circle.

Usually, our chemical interest in copper is making it go away. Or plating it onto something.

youtube.com/embed/7M5x2OFYP-k?…

Diamonds are nearly perfect crystals, but not totally perfect. The defects in these crystals give the stones their characteristic colors. But one type of defect, the NV — nitrogen-vacancy — center, can hold a particular spin, and you can change that spin with the correct application of energy. [Asianometry] explains why this is important in the video below.

Interestingly, even at room temperature, an NV center stays stable for a long time. Even more importantly, you can measure the spin nondestructively by detecting light emissions from the center.

There are obvious applications for quantum computing, but an even more practical application is sensing magnetic fields. These could replace SQUIDs, which are often used for sensitive magnetic measurements but require cold temperatures to support superconductivity.

Of course, you have to create a diamond artificially to get the NV centers the way you want and it turns out that semiconductor manufacturing tools can help produce the diamonds you need.

The last time we looked in on diamond defects, the proposal was to use them for data storage. It seems like this could be easier than holding out for room-temperature superconductors to improve SQUIDs.

youtube.com/embed/CRfTe9gBOQA?…

They’re back! The San Francisco autonomous vehicle hijinks, that is, as Waymo’s fleet of driverless cars recently took up the fun new hobby of honking their horns in the wee hours of the morning. Meat-based neighbors of a Waymo parking lot in the South Market neighborhood took offense at the fleet of autonomous vehicles sounding off at 4:00 AM as they shuffled themselves around in the parking lot in a slow-motion ballet of undetermined purpose. The horn-honking is apparently by design, as the cars are programmed to tootle their horn trumpets melodiously if they detect another vehicle backing up into them. That’s understandable; we’ve tootled ourselves under these conditions, with vigor, even. But when the parking lot is full of cars that (presumably) can’t hear the honking and (also presumably) know where the other driverless vehicles are as well as their intent, what’s the point? Luckily, Waymo is on the case, as they issued a fix to keep the peace. Unfortunately, it sounds like the fix is just to geofence the lot and inhibit honking there, which seems like just a band-aid to us.

From the “Tech Doesn’t Make Everything Better” department, we’ve got news of a vulnerability in high-end racing bicycles that opens up a new vector for cheating. While our bike has been sitting sadly idle for the last twenty-odd years, apparently shifting technology has changed a lot, to the point where high-end derailleurs are no longer connected to handlebar-mounted shift lever by Bowden cables but now have servos that are linked to the shifters via Bluetooth. Anyone with more than a few minutes of experience with Bluetooth accessories and their default “123456” passwords can see where this is going. While there are no specific instances of cheating detailed in the story, one can imagine the hilarity to be had with a Flipper Zero while sitting on the side of a road at a course upgrade. To be sure, there are other ways to cheat, but we’re not sure we see the advantages of wireless shifting that offset the risks in this case.

Only 94 percent? A recent study claims to have quantified business spreadsheet errors, finding that 94% have critical problems. They came to this conclusion by mining literature from journal articles dating back to 1987, but rather than looking for papers with associated spreadsheets and analyzing them for errors, they looked for papers that discussed spreadsheet quality assurance. So this is sort of a meta-study, which makes us doubt the 94% finding. Still, we’d say it’s a safe bet that there are a lot of spreadsheets out there with critical errors, and that spreadsheet abuse is pretty rampant overall.

They say that if you’re not looking for your next job, you’re just waiting to get fired. That’s pretty much a tautology since there are only two — OK, three — ways out of any job, but it’s still good to always be looking for your next opportunity. So you might want to check out eejobboard, which allows you to do a parametric job search in the electrical engineering space. Pretty cool stuff.

And finally, we don’t have any information on this other than what you see in the video, but we’d love to learn more about these hardware FFTs. The video shows two implementations, one using a Zync 7020 FPGA, and one that uses over a thousand 74HC-series chips to do the same thing. If anyone out there knows the OP on this one, we’d love to get in touch.

youtube.com/embed/QBMpJR-pozY?…

A decade is a long time to carry around a project idea in your head. Fortunately, the Tiny Games Contest happens to coincide with [senily64dx]’s getting back into ATMega programming, so they can finally make their zero-dimensional PONG dreams come true (and have the chance at great prizes, too, of course).

If you don’t already get what’s going on here, zero-dimensional PONG takes 1D PONG and turns it on the short side. Imagine the light coming toward you, then moving away toward your opponent, and you have the basic idea. So, how is this done? Pulse-width modulation controls the brightness of the LED, and, well, you have to be pretty fast, although there is a small margin for the inevitable error.

In the video after the break, you can watch [senily64dx] play themselves using a red/green LED. Player one must press the button when red is fully lit and green is off, and player two goes when green is fully lit and red is off. The cool thing is that [senily64dx] used sockets, so they can plug in any LED they want. There are nine difficulty levels to control the PWM speed, so one can really test one’s reaction time.

If you want to build one of these, you’ll need an ATtiny2313 or something similar, a couple of buttons, a display, and the optional but fun buzzer. The well-commented code is available through [senily64dx]’s site.

youtube.com/embed/6hIy9FdClCQ?…

SAP ha rilasciato la serie di patch di agosto che risolvono 17 vulnerabilità. Di particolare rilievo è un bug critico di bypass dell’autenticazione che ha consentito agli aggressori remoti di compromettere completamente il sistema.

La vulnerabilità, classificata CVE-2024-41730 e CVSS Vulnerability Score 9.8, è dovuta alla mancanza di controllo dell’autenticazione nelle versioni 430 e 440 della piattaforma SAP BusinessObjects Business Intelligence.

“Nella piattaforma SAP BusinessObjects Business Intelligence, se Single Signed On è abilitato per l’autenticazione Enterprise, un utente non autorizzato può ottenere un token di accesso utilizzando un endpoint REST”, riferiscono gli sviluppatori. “Un utente malintenzionato potrebbe compromettere completamente il sistema, compromettendo la riservatezza, l’integrità e la disponibilità dei dati.”

Un’altra vulnerabilità critica (CVE-2024-29415, punteggio CVSS 9.1) risolta questo mese riguarda la falsificazione delle richieste lato server nelle applicazioni create con SAP Build Apps versione 4.11.130 e successive.

L’errore è correlato al pacchetto IP per Node.js, che controlla se un indirizzo IP è pubblico o privato. Quando si utilizza la notazione ottale, riconosce erroneamente 127.0.0.1 come indirizzo pubblico e instradabile a livello globale.

Va notato che il problema è apparso a causa di una soluzione incompleta per un problema simile CVE-2023-42282 l’anno scorso.

Altri problemi risolti da SAP questo mese includono quattro vulnerabilità ad alta gravità (ovvero classificate tra 7,4 e 8,2 sulla scala CVSS):

• CVE-2024-42374 è un problema di XML injection nel servizio Web SAP BEx Web Java Runtime Export che interessa BI-BASE-E 7.5, BI-BASE-B 7.5, BI-IBC 7.5, BI-BASE-S 7.5 e BIWEBAPP 7.5 ;
• CVE-2023-30533 è un problema di Prototype Pollution in SAP S/4 HANA scoperto nel modulo Manage Supply Protection, che interessa le versioni della libreria SheetJS CE precedenti alla 0.19.3;
• CVE-2024-34688 è una vulnerabilità Denial of Service (DOS) in SAP NetWeaver AS Java che interessa la versione del componente Meta Model Repository MMR_SERVER 7.5;
• CVE-2024-33003 è un problema di divulgazione dei dati in SAP Commerce Cloud che interessa le versioni HY_COM 1808, 1811, 1905, 2005, 2105, 2011, 2205 e COM_CLOUD 2211.

L'articolo SAP rilascia le patch di Agosto. Un bug critico da 9.8 di Score mette a rischio le installazioni proviene da il blog della sicurezza informatica.

The cameras at the front of Meta’s Quest VR headsets are off-limits to developers, but developer [Michael Gschwandtner] created a workaround (Linkedin post) and shared implementation details with a VR news site.
The view isn’t a pure camera feed (it includes virtual and UI elements) but it’s a clever workaround.
The demo shows object detection via MobileNet V2, which we’ve seen used for machine vision on embedded systems like the Raspberry Pi. In this case it is running locally on the VR headset, automatically identifying objects even though the app cannot directly access the front-facing cameras to see what’s in front of it.

The workaround is conceptually simple, and leverages the headset’s ability to cast its video feed over Wi-Fi to other devices. This feature is normally used for people to share and spectate VR gameplay.

First, [Gschwandtner]’s app sets up passthrough video, which means that the camera feed from the front of the headset is used as background in VR, creating a mixed-reality environment. Then the app essentially spawns itself a Chromium browser, and casts its video feed to itself. It is this video that is used to — in a roundabout way — access what the cameras see.

The resulting view isn’t really direct from the cameras, it’s akin to snapshotting a through-the-headset view which means it contains virtual elements like the UI. Still, with passthrough turned on it is a pretty clever workaround that is contained entirely on-device.

Meta is hesitant to give developers direct access to camera views on their VR headset, and while John Carmack (former Meta consulting CTO) thinks it’s worth opening up and can be done safely, it’s not there yet.

On an x86 system the BIOS is the first part of the system to become active along with the basic CPU core(s) functionality, or so things used to be until Intel introduced its Management Engine (IME) and AMD its AMD Secure Processor (AMD-SP). These are low-level, trusted execution environments, which in the case of AMD-SP involves a Cortex-A5 ARM processor that together with the Cryptographic Co-Processor (CCP) block in the CPU perform basic initialization functions that would previously have been associated with the (UEFI) BIOS like DRAM initialization, but also loading of encrypted (AGESA) firmware from external SPI Flash ROM. Only once the AMD-SP environment has run through all the initialization steps will the x86 cores be allowed to start up.

In a detailed teardown by [Specter] over at the Dayzerosec blog the AMD-SP’s elements, the used memory map and integration into the rest of the CPU die are detailed, with a follow-up article covering the workings of the CCP. The latter is used both by the AMD-SP as well as being part of the cryptography hardware acceleration ISA offered to the OS. Where security researchers are interested in the AMD-SP (and IME) is due to the fascinating attack vectors, with the IME having been the most targeted, but AMD-SP having its own vulnerabilities, including in related modules, such as an injection attack against AMD’s Secure Encrypted Virtualization (SEV).

Although both AMD and Intel are rather proud of how these bootstrapping systems enable TPM, secure virtualization and so on, their added complexity and presence invisible to the operating system clearly come with some serious trade-offs. With neither company willing to allow a security audit, it seems it’s up to security researchers to do so forcefully.

Un’operazione della Polizia Postale italiana ha portato all’arresto di quattro criminali internazionali in una villa di lusso a Furore, sulla Costiera Amalfitana.

La banda, composta da due uomini e due donne, è accusata di aver sottratto 14 milioni di dollari attraverso crimini informatici legati alle criptovalute. Il loro stile di vita opulento, tra jet privati e ville esclusive, ha lasciato tracce che hanno facilitato l’arresto.

Gli uomini sono ora in carcere, mentre le donne sono indagate a piede libero.

Il tutto è avvenuto il 7 agosto, quando quattro volanti della Polizia hanno circondato la villa in Via Mola, a Furore.

L’operazione è stata pianificata nei minimi dettagli dalla Polizia Postale italiana che ha colpito con successo la “Banda del Bitcoin“, dei criminali internazionali che, secondo le indagini hanno accumulato una fortuna in criptovaluta.

La banda si spostava tra alcune delle località più esclusive d’Italia utilizzando jet privati e noleggiando auto di lusso. Tra le destinazioni toccate durante la loro fuga figurano la Sardegna, l’Isola d’Elba e infine la Costiera Amalfitana, dove sono stati catturati.

Le due donne coinvolte, di nazionalità libanese e russa, sono state indagate a piede libero dopo l’operazione della Polizia Postale.

L'articolo La Polizia Postale arresta la Banda del Bitcoin! 14 milioni di dollari, tra jet privati e ville di lusso proviene da il blog della sicurezza informatica.

Questa settimana, milioni di utenti Windows hanno dovuto affrontare un nuovo problema.

Microsoft ha rilasciato un altro pacchetto di aggiornamento Patch Tuesday che ha identificato cinque pericolose vulnerabilità zero-day che vengono attivamente sfruttate dagli aggressori. Queste vulnerabilità sono state rapidamente elencate come vulnerabilità note, evidenziandone la gravità.

Ma ancor prima che tutti avessero il tempo di installare gli aggiornamenti, i ricercatori di Check Point Research hanno segnalato la comparsa di una nuova versione del malware Phmedrone Stealer. Questo virus attacca attivamente i computer che eseguono una versione non supportata di Windows, rubando criptovaluta agli utenti.

L’azienda ha definito una soluzione che blocca l’installazione di Windows 11 su dispositivi con hardware non conforme. Questo metodo, in uso da oltre 10 mesi, ha consentito agli utenti di aggirare i controlli di compatibilità hardware, rendendo possibile l’aggiornamento a un nuovo sistema operativo senza la necessità di acquistare nuovo hardware.

Questa decisione di Microsoft potrebbe indicare che l’azienda intende mantenere severi requisiti hardware, nonostante l’insoddisfazione degli utenti e la lentezza della migrazione a Windows 11. Si ricorda che il supporto per Windows 10 terminerà tra un anno, e per molti utenti questo sarà un problema serio.

Attualmente Windows 11 è installato su meno di un terzo di tutti i dispositivi che eseguono il sistema operativo Microsoft. Milioni di utenti continuano a utilizzare Windows 10 e una parte significativa di loro non sarà in grado di eseguire l’aggiornamento a Windows 11 senza acquistare un nuovo computer. Ciò provoca insoddisfazione tra coloro che ritengono non necessario modificare hardware ben funzionante solo per passare a una nuova versione del sistema operativo. Inoltre, la fine del supporto per Windows 10 potrebbe portare a un aumento significativo dei rifiutielettronici poiché i dispositivi obsoleti diventano inutilizzabili.

Pertanto, anche se una delle soluzioni alternative a Windows 11 è stata risolta, la sfida principale rimane la fine del supporto per Windows 10. Se una parte significativa di utenti non può permettersi l’aggiornamento o sceglie di non aggiornarlo, ciò rappresenterà un serio rischio per la sicurezza di milioni di persone e computer in tutto il mondo.

L'articolo Microsoft blocca il Bypass per l’aggiornamento a Windows 11. L’EoL di Windows 10 è vicina proviene da il blog della sicurezza informatica.

In the movie Conan the Barbarian, we hear a great deal about “the riddle of steel.” We are never told exactly what that riddle is, but in modern times, it might be: What’s the difference between 4150 and 1020 steel? If you’ve been around a machine shop, you’ve probably heard the AISI/SAE numbers, but if you didn’t know what they mean, [Jason Lonon] can help. The video below covers what the grade numbers mean in detail.

The four digits are actually two separate two-digit numbers. Sometimes, there will be five digits, in which case it is a two-digit number followed by a three-digit number. The first two digits tell you the actual type of steel. For example, 10 is ordinary steel, while 41 is chromium molybdenum steel. The last two or three digits indicate how much carbon is in the steel. If that number is, say, 40, then the steel contains approximately 0.40% carbon.

A common example of a five-digit code is 52100 steel. That’s ball bearing steel, and it has 1% carbon. You’ll notice that of the first two digits, the first digit changes when the main alloying element changes. That is, 2000-series steel uses nickel while 7000-series uses tungsten.

Tool steel has a different system, with a letter indicating the type of steel and a number indicating its alloy properties. Tool steel can be quenched in oil, air, or water. It can also be hot or cold drawn, and the letters will tell you how the steel was made. As you might expect, each type has different properties, which you may care about in your application.

For example, type W — water-hardened — isn’t used much today because it warps and cracks more often than steel produced with oil quenching.

If you want a list of steel grades, Wikipedia is your friend. You’ll see there are a variety of letters you can throw in to indicate hardness, and things like boron or lead added to the alloy, but these aren’t very common. Stainless steel also has a coding system that the video doesn’t cover, but you can find more information on the Wikipedia page.

If you want to work with steel, you’ll need heat. Next time you use tungsten steel, marvel at the fact that the Earth’s crust has about 1.25 parts per million of the rare element. Yet the world produces more than 100,000 tonnes of it a year.

youtube.com/embed/86igaLqe_dc?…

L’industria dei videogiochi, una delle più influenti del mondo moderno, si trova ad affrontare un aumento senza precedenti delle minacce informatiche. Secondo un nuovo rapporto della ricercatrice di sicurezza informatica di Akamai Tricia Howard, gli attacchi a livello di applicazione (Layer 7 DDoS) sono aumentati del 94% nell’ultimo anno.

Sicurezza informatica nel settore dei giochi Statistiche chiave:

• Gli attacchi DDoS Layer 7 crescono del 94% anno su anno
• Oltre 25 miliardi di attacchi al mese (4 su 18 mesi)
• Gli attacchi alle applicazioni web crescono del 94% dal 2023 al 2024

Minacce uniche:

• “Minacce interne” da parte dei giocatori e della rete
• “Trouble maker” attaccano gli streamer
• Diffusione di malware attraverso le chat di gioco Richieste record di bot (gennaio 2024): 147 miliardi

Crescenti minaccie in evoluzione

L’ndustria dei giochi si trova ad affrontare crescenti minacce informatiche. È necessario rafforzare le misure di sicurezza sia da parte degli sviluppatori che da parte dei giocatori.

Tra gennaio 2023 e giugno 2024, Akamai ha registrato oltre 25 miliardi di attacchi in quattro dei 18 mesi. Ciò evidenzia le vulnerabilità uniche del settore dei giochi, dove le minacce informatiche possono provenire sia dai giocatori che dagli sviluppatori.

L’industria dei giochi ha una posizione unica nella sicurezza informatica. I giocatori hanno un elevato livello di consapevolezza tecnica, il che crea ulteriori rischi sia per loro che per gli sviluppatori. In questo ambiente, la “minaccia interna” può provenire sia dalla rete che dal gioco stesso.

Uno degli aspetti caratteristici delle minacce nel settore dei giochi è l’attività dei cosiddetti “piantagrane”. Possono attaccare gli streamer o sfruttare la fiducia dei giocatori per diffondere malware attraverso le chat di gioco.

Statistiche sugli attacchi

Negli ultimi 18 mesi si è assistito a un aumento significativo degli attacchi ai sistemi di gioco online. Il numero degli attacchi DDoS Layer 7, ad esempio, è aumentato del 94% rispetto all’anno precedente. Quattro mesi (giugno, agosto e dicembre 2023, nonché maggio 2024) hanno stabilito un record per il numero di tali attacchi, superando i 25 miliardi al mese.

La regione Asia Pacifico e Giappone (APJ) è stata al primo posto in termini di attacchi, con 186 miliardi di attacchi durante il periodo.

I bot e la loro influenza

Anche le richieste di bot hanno registrato un aumento significativo, soprattutto nei mesi di gennaio e giugno, a causa di importanti sconti estivi e invernali di Steam. Nel gennaio 2024 è stata registrata la cifra record di 147 miliardi di richieste di bot.

Minacce alle applicazioni web

Il numero di attacchi alle applicazioni web è aumentato del 94% dal primo trimestre del 2023 al primo trimestre del 2024. Ad attirare particolarmente l’attenzione sono gli attacchi ai web firewall (WAF), che nel giugno 2024 hanno registrato un aumento del 504% rispetto allo scorso anno. Tra gli attacchi web tradizionali, l’SQL injection (SQLi) è diventato il più comune, con oltre 700 milioni di attacchi durante questo periodo.

Conclusione

L’industria dei giochi continua a crescere e svilupparsi, attirando sia utenti comuni che aggressori. A questo proposito, le società di sviluppo e gli stessi attori devono prestare maggiore attenzione alle questioni di sicurezza informatica per proteggere i propri dati e risorse nel mondo digitale.

Il settore dei videogiochi rimane sotto esame sia da parte dei criminali informatici che degli esperti di sicurezza, e il suo futuro dipende dalla sua capacità di adattarsi a nuove minacce e sfide.

L'articolo Akamai: l’Industria dei Videogiochi è Sotto Attacco. Aumento del 94% degli Attacchi Informatici proviene da il blog della sicurezza informatica.

securitylab.lat/news/551218.ph…Il Ministero della Giustizia neozelandese ha firmato un ordine per l’estradizione negli Stati Uniti di Kim Dotcom, il fondatore dell’ormai defunto servizio di file hosting Megaupload. La decisione del dipartimento potrebbe porre fine a una battaglia legale durata anni, iniziata nel 2012 dopo un raid nella villa di Dotcom in Nuova Zelanda e la chiusura del servizio.

Kim Dotcom, di origine tedesca , si batte contro l’estradizione negli Stati Uniti dal 2012 , sostenendo di non essere responsabile delle violazioni del copyright commesse dagli utenti del suo sito. Megaupload, un sito che consentiva agli utenti di caricare contenuti e condividere collegamenti per il download, è stato oggetto di accuse di violazione del copyright, riciclaggio di denaro e racket.

La Corte Suprema della Nuova Zelanda ha approvato per la prima volta l’estradizione di Dotcom nel 2017 e nel 2018 la corte d’appello ha confermato la decisione. Nel 2020, la Corte Suprema ha riaffermato la possibilità di estradizione ma ha lasciato aperta la possibilità di un ulteriore riesame.

Ora il Ministero della Giustizia ha firmato un ordine definitivo di estradizione negli Stati Uniti per il processo. Come è tipico in questi casi, a Dotcom viene concesso un breve periodo di tempo per impugnare la decisione. Se giudicata colpevole, Dotcom rischia 55 anni di carcere.

The US debt and money printing system is collapsing. The West is heading into an economic wasteland. The Middle East is on fire. Russia dominates Ukraine and NATO. BRICS is ending US hegemony and the fake ‘rules-based order’. US puppets are failing everywhere. Genocide,…
— Kim Dotcom (@KimDotcom) August 13, 2024

Kim Dotcom si è rivolto ai social media per esprimere la sua insoddisfazione, definendo la Nuova Zelanda “un’obbediente colonia americana” che ha deciso di consegnare Dotcom agli Stati Uniti per “utenti che caricano su Megaupload senza permesso“. Dotcom ha anche aggiunto che i titolari dei diritti d’autore “potrebbero rimuovere immediatamente e senza richiesta direttamente i contenuti dalla piattaforma”.

Oltre alla violazione del copyright, Dotcom deve affrontare anche accuse più gravi di riciclaggio di denaro e racket. Le autorità americane sostengono che le azioni di Dotcom e del suo team hanno causato danni agli studi cinematografici e alle case discografiche per oltre 500 milioni di dollari, e Megaupload ne ha guadagnato più di 175 milioni di dollari.

Il sito Megaupload, formalmente con sede a Hong Kong fino al 2012, è stato chiuso per decisione delle autorità statunitensi. Tuttavia, nel 2013 il servizio è stato ripreso con il nuovo nome Mega, con un dominio in Nuova Zelanda. Dotcom non è più associato alla società dal 2015. Mega è ora posizionato come servizio di privacy online ed è gestito dal neozelandese Shane Te Poe (Shane Phillips).

Insieme a Dotcom, nel 2012 sono stati arrestati ad Auckland altri tre top manager di Megaupload, due dei quali hanno stretto un accordo con le autorità e sono stati condannati al carcere in Nuova Zelanda nel 2023, evitando l’estradizione, e il terzo manager è morto in Nuova Zelanda nel 2022.

L'articolo Il fondatore di Megaupload Kim Dotcom sarà processato negli Stati Uniti D’America proviene da il blog della sicurezza informatica.