IFTAS

2026-04-20 12:52:44

#mastodadmin #fediadmin

Services considering defederating mastodon.cloud

Be aware that account holders are attempting to move their account, and this can take considerable time to complete, several days, especially for members with large follower counts.

Others may still be on 30-day cooldown after having moved there recently.

Please consider Limiting the service while members attempting to move complete that action.

Suspending a service severs all relationships and is unrecoverable.

(in)sicurezza digitale

2026-04-19 09:13:28

PayoutsKing: il ransomware che si nasconde in una macchina virtuale per eludere gli antivirus

Un gruppo criminale noto come GOLD ENCOUNTER ha trovato un modo per rendere il proprio ransomware quasi invisibile agli strumenti di sicurezza endpoint: eseguire tutte le operazioni malevole all’interno di una macchina virtuale creata silenziosamente sui sistemi delle vittime. Il ransomware PayoutsKing, attivo da novembre 2025, sfrutta QEMU — un emulatore open source legittimo — per nascondere ogni traccia dell’attacco al di fuori del perimetro di visibilità delle soluzioni EDR e antivirus.

Il contesto: quando la virtualizzazione diventa un’arma

La tecnica di utilizzare macchine virtuali per eludere i controlli di sicurezza non è del tutto nuova: già nel 2025 diversi gruppi ransomware avevano sperimentato l’abuso di hypervisor legittimi come VMware ESXi. Ma il gruppo GOLD ENCOUNTER ha portato questa tattica a un nuovo livello di raffinatezza, usando QEMU — uno strumento open source normalmente impiegato da sviluppatori e ricercatori — per creare ambienti virtuali nascosti direttamente sui sistemi Windows delle vittime.

I ricercatori di Secureworks, che tracciano le operazioni di GOLD ENCOUNTER, hanno identificato due campagne distinte: STAC4713 (attiva da novembre 2025) e STAC3725 (identificata da febbraio 2026), entrambe caratterizzate dall’uso di QEMU come vettore di persistenza e comando-e-controllo. Secondo alcune analisi, il gruppo potrebbe avere legami con ex affiliati di BlackBasta.

Come funziona l’attacco: dalla compromissione alla VM nascosta

Il vettore di accesso iniziale varia a seconda della campagna. In STAC4713, gli attaccanti hanno sfruttato principalmente dispositivi SonicWall VPN esposti senza autenticazione a più fattori e, in almeno un incidente documentato a gennaio 2026, la vulnerabilità CVE-2025-26399 in SolarWinds Web Help Desk. La campagna STAC3725, invece, ha fatto leva su CitrixBleed2, la seconda iterazione della vulnerabilità NetScaler che ha colpito migliaia di organizzazioni.

Una volta ottenuto l’accesso iniziale, gli attori procedono con una sequenza di azioni strutturata:

• Creazione di un scheduled task denominato TPMProfiler con privilegi SYSTEM, che esegue il binario QEMU
• Deployment di un’immagine disco virtuale (custom.qcow2) mascherata da file di database o librerie DLL per evitare il rilevamento
• Avvio di una VM Alpine Linux 3.22.0 con port forwarding verso il sistema host
• Instaurazione di un tunnel SSH inverso per il comando e controllo covert

Il principio è semplice ma devastante: le soluzioni di sicurezza endpoint monitorano i processi del sistema operativo host, ma non possono ispezionare l’interno di una macchina virtuale in esecuzione. Tutto ciò che avviene dentro la VM rimane completamente opaco agli EDR.

Il toolkit nella macchina virtuale: un arsenale da penetration test

La VM Alpine Linux non è un ambiente minimale: è un’armeria completa di strumenti offensivi. In STAC4713, la VM preinstallata conteneva:

• AdaptixC2: framework C2 open source per il controllo remoto
• Chisel: tunneling TCP/UDP attraverso HTTP
• BusyBox: suite di utility Unix compatta
• Rclone: tool per l’esfiltrazione dati verso storage cloud

In STAC3725, rilevata dal CERT di Secureworks in incidenti a febbraio 2026, il toolkit era ancora più sofisticato e compilato manualmente dagli operatori: Impacket, KrbRelayx, Coercer, BloodHound.py, NetExec, Kerbrute e un’istanza di Metasploit completamente funzionale. Un arsenale che denota una profonda conoscenza delle tecniche di post-exploitation in ambienti Active Directory.

Furto di credenziali e movimento laterale

Prima di distribuire il ransomware, GOLD ENCOUNTER conduce operazioni estese di ricognizione e furto credenziali. Le tecniche documentate includono:

• Creazione di Volume Shadow Copies tramite vssuirun.exe per accedere a file altrimenti bloccati
• Esfiltrazione via SMB di NTDS.dit, SAM e dei registry hive SYSTEM — il database completo degli utenti Active Directory
• Enumerazione Kerberos con Kerbrute per identificare account validi
• Ricognizione AD tramite BloodHound per mappare percorsi di escalation dei privilegi
• Deployment di ScreenConnect e del framework Havoc C2 tramite DLL sideloading su ADNotificationManager.exe

Il ransomware PayoutsKing: cifratura furtiva

PayoutsKing utilizza uno schema di cifratura robusto: AES-256 in modalità CTR per la cifratura dei file, con scambio di chiavi tramite RSA-4096. Per i file di grandi dimensioni viene adottata una strategia di intermittent encryption — cifra solo porzioni del file — che accelera l’operazione e rende la cifratura meno rilevabile in tempo reale dai sistemi di monitoraggio comportamentale.

Le richieste di riscatto vengono gestite attraverso siti leak sul dark web, con la consueta doppia estorsione: pagare per il decryptor, o vedere i propri dati pubblicati.

Indicatori di compromissione (IoC)

# Scheduled Task sospetto
Nome task: TPMProfiler
Privilegi: SYSTEM
Binary: qemu-system-x86_64.exe (o varianti)

# File da monitorare
*.qcow2 in posizioni anomale (es. %APPDATA%, C:\ProgramData\)
File .qcow2 mascherati da .dll o .db

# Servizi sospetti installati
AppMgmt (uso anomalo)
CtxAppVCOMService

# Tool post-compromise da cercare
AdaptixC2, Chisel, Rclone, BloodHound.py
Kerbrute, Impacket, NetExec, KrbRelayx

# Traffico di rete
Tunnel SSH reversi su porte non standard
Connessioni SSH in uscita verso IP esterni insoliti
Traffico Rclone verso storage cloud (es. Mega, Dropbox)

Cosa fare per difendersi

La tecnica QEMU rappresenta una sfida concreta per i team di sicurezza perché sfrutta uno strumento legittimo e firmato. Le raccomandazioni per i difensori includono:

• Application allowlisting: bloccare l’esecuzione di qemu-system-*.exe su tutti gli endpoint non espressamente autorizzati
• Monitoraggio scheduled task: alert su qualsiasi task creato con privilegi SYSTEM che esegue binari non standard
• MFA obbligatoria su VPN e accessi remoti: quasi tutti i vettori di accesso iniziale documentati avrebbero potuto essere bloccati con MFA
• Patching tempestivo: CVE-2025-26399 (SolarWinds), CitrixBleed2 e vulnerabilità SonicWall devono essere priorità assolute
• Network monitoring: rilevare port forwarding SSH non autorizzato e connessioni in uscita verso storage cloud da server
• Hunt proattivo: cercare file .qcow2 e il processo qemu-system-x86_64.exe nell’intero parco macchine

La capacità di GOLD ENCOUNTER di operare per settimane o mesi all’interno di reti compromesse prima di distribuire il payload ransomware — sfruttando una VM nascosta impossibile da ispezionare dagli EDR — rende questo gruppo particolarmente pericoloso. È l’ennesima dimostrazione di come i ransomware operator stiano evolvendo verso tecniche da APT, con longevi periodi di dwell time dedicati alla ricognizione e alla maximizzazione del danno.

Spcnet.it

2026-04-16 14:14:54

Confronto tra stringhe in C#: Equals, OrdinalIgnoreCase, StringComparer e le insidie culturali

Il confronto tra stringhe è una delle operazioni più comuni in qualsiasi applicazione .NET, eppure è anche una delle fonti più insidiose di bug difficili da riprodurre — specialmente quando l’applicazione viene eseguita in ambienti con culture diverse o in pipeline CI/CD con impostazioni locali variabili. In questo articolo vediamo come funzionano correttamente string.Equals(), OrdinalIgnoreCase, StringComparer e come evitare le trappole più comuni legate alla cultura.

L’operatore == e il confronto ordinale

L’operatore == su stringhe esegue un confronto ordinale case-sensitive, basato sui valori Unicode dei caratteri, senza alcuna considerazione culturale:

var a = "Hello";
var b = "hello";
Console.WriteLine(a == b);       // False
Console.WriteLine(a == "Hello"); // True

Questo è corretto e prevedibile per confronti interni al codice (chiavi di dizionari, nomi di variabili, costanti). Il problema nasce quando si vuole un confronto case-insensitive, o quando si confrontano stringhe con caratteri soggetti a regole culturali.

string.Equals() con StringComparison

La regola d’oro è: passare sempre esplicitamente un parametro StringComparison. Senza di esso, alcuni overload usano CurrentCulture, creando comportamenti potenzialmente incoerenti tra ambienti diversi.

// Confronto case-insensitive, senza dipendenze culturali
bool uguale = string.Equals("admin", input, StringComparison.OrdinalIgnoreCase);

// Equivalente con metodo d'istanza
bool ancheUguale = "admin".Equals(input, StringComparison.OrdinalIgnoreCase);

Panoramica dei valori di StringComparison

Valore	Case	Cultura	Uso consigliato
Ordinal	Sensibile	Nessuna	File, chiavi, dati binari
OrdinalIgnoreCase	Insensibile	Nessuna	Comandi, URL, identificatori
InvariantCulture	Sensibile	Invariante	Testo serializzato/persistito
InvariantCultureIgnoreCase	Insensibile	Invariante	Testo serializzato, case-indipendente
CurrentCulture	Sensibile	Locale utente	Testo mostrato all’utente
CurrentCultureIgnoreCase	Insensibile	Locale utente	Ricerca/filtro lato UI

La trappola di ToLower() e ToUpper()

Uno degli antipattern più diffusi è usare ToLower() per normalizzare le stringhe prima del confronto:

// Antipattern: alloca una nuova stringa inutilmente
if (input.ToLower() == "admin") { }
if (input.ToLowerInvariant() == "admin") { }

// Corretto: nessuna allocazione, semantica esplicita
if (string.Equals(input, "admin", StringComparison.OrdinalIgnoreCase)) { }

Il problema non è solo di prestazioni (allocazione di una stringa temporanea), ma di correttezza semantica. La versione con ToLower() dipende dalla cultura corrente del thread, mentre OrdinalIgnoreCase è culturalmente neutro e deterministico.

Il problema della “i” Turca

Questo è forse il bug più famoso legato alla cultura nelle stringhe. In turco esistono quattro varianti della lettera i: la “i” minuscola con punto diventa “İ” maiuscola con punto (non “I” come in italiano), e la “ı” minuscola senza punto diventa “I” maiuscola. Il risultato:

var culture = new System.Globalization.CultureInfo("tr-TR");

// Bug su locale turco!
bool sbagliato = "file".ToUpper(culture) == "FILE"; // False! "file" diventa "FİLE" in turco

// OrdinalIgnoreCase usa regole invarianti
bool corretto = string.Equals("file", "FILE", StringComparison.OrdinalIgnoreCase); // True

Questo bug si manifesta tipicamente in applicazioni multi-tenant o globali dove il server ha una cultura diversa dall’ambiente di sviluppo. La soluzione è sempre usare OrdinalIgnoreCase per confronti tecnici (nomi di file, comandi, URL, header HTTP) e riservare CurrentCulture solo al testo destinato all’utente finale.

StringComparer per collezioni

StringComparer implementa sia IComparer<string> che IEqualityComparer<string>, rendendolo ideale per strutture dati come Dictionary, HashSet e SortedSet:

Dizionario case-insensitive per gli header HTTP

// "Content-Type" e "content-type" devono essere equivalenti
var headers = new Dictionary<string, string>(StringComparer.OrdinalIgnoreCase);
headers["Content-Type"] = "application/json";

Console.WriteLine(headers["content-type"]); // application/json
Console.WriteLine(headers["CONTENT-TYPE"]); // application/json

SortedSet case-insensitive

var comandi = new SortedSet<string>(StringComparer.OrdinalIgnoreCase);
comandi.Add("Start");
comandi.Add("stop");

bool haStart = comandi.Contains("START"); // True
// I duplicati vengono rilevati correttamente
comandi.Add("START"); // Non aggiunge, esiste già come "Start"
Console.WriteLine(comandi.Count); // 2

Confronto ad alte prestazioni con Span<char>

Per scenari con requisiti di performance elevati (parsing di protocolli, hot paths), .NET offre confronti allocation-free tramite ReadOnlySpan<char>:

var riga = "Content-Type: application/json";

// Confronto senza allocare nuove stringhe
bool isContentType = riga.AsSpan(0, 12).Equals(
    "Content-Type".AsSpan(),
    StringComparison.OrdinalIgnoreCase);

// StartsWith su Span
bool isHttps = url.AsSpan().StartsWith(
    "https://".AsSpan(),
    StringComparison.OrdinalIgnoreCase);

Questo approccio è particolarmente utile in middleware HTTP, parser di configurazione e codice che elabora grandi volumi di testo.

Pattern Matching con Switch

Il pattern matching di C# non supporta nativamente il confronto case-insensitive negli switch, ma esistono due approcci corretti:

// Approccio 1: Guard clause con Equals
var risultato = comando switch
{
    _ when string.Equals(comando, "start", StringComparison.OrdinalIgnoreCase) => "Avvio...",
    _ when string.Equals(comando, "stop", StringComparison.OrdinalIgnoreCase) => "Arresto...",
    _ => "Comando non riconosciuto"
};

// Approccio 2: Normalizzazione con ToUpperInvariant (accettabile per switch)
var risultato2 = comando.ToUpperInvariant() switch
{
    "START" => "Avvio...",
    "STOP" => "Arresto...",
    _ => "Comando non riconosciuto"
};

Esempio completo: parser di configurazione

public sealed class ConfigParser
{
    private readonly FrozenDictionary<string, string> _impostazioni;

    public ConfigParser(IEnumerable<KeyValuePair<string, string>> rawSettings)
    {
        // FrozenDictionary è ottimizzato per letture frequenti (immutabile dopo la creazione)
        _impostazioni = rawSettings.ToFrozenDictionary(
            kvp => kvp.Key,
            kvp => kvp.Value,
            StringComparer.OrdinalIgnoreCase);
    }

    public string? Get(string chiave) =>
        _impostazioni.TryGetValue(chiave, out var valore) ? valore : null;
}

// Utilizzo
var config = new ConfigParser(new[]
{
    new KeyValuePair<string, string>("DatabaseUrl", "Server=..."),
    new KeyValuePair<string, string>("MaxConnections", "100"),
});

Console.WriteLine(config.Get("databaseurl"));    // "Server=..."
Console.WriteLine(config.Get("MAXCONNECTIONS")); // "100"

Riepilogo: regole pratiche

1. Usa OrdinalIgnoreCase per chiavi, identificatori, URL, nomi di file, comandi, header HTTP.
2. Usa CurrentCulture solo per testo mostrato all’utente, quando le regole locali sono rilevanti.
3. Non usare ToLower() per confronti: alloca inutilmente e dipende dalla cultura.
4. Specifica sempre StringComparison esplicitamente nelle chiamate a Equals e Compare.
5. Usa StringComparer quando passi logica di confronto a strutture dati.
6. Usa MemoryExtensions su Span<char> per hot path ad alta frequenza e senza allocazioni.

Seguendo queste linee guida, si eliminano intere classi di bug difficili da riprodurre e si ottiene codice più robusto, portabile e performante.

Fonte: DevLeader — C# String Comparison: Equals, OrdinalIgnoreCase, StringComparer, and Culture Pitfalls

C# String Comparison: Equals, OrdinalIgnoreCase, StringComparer, and Culture Pitfalls

Master C# string comparison with Equals, OrdinalIgnoreCase, StringComparer, and culture-sensitive APIs. Avoid the ToLower() antipattern and Turkish i problem.

^{Nick Cosentino (Dev Leader)}

(in)sicurezza digitale

2026-04-16 09:27:30

APT28 PRISMEX: la suite malware di spionaggio dell’esercito russo colpisce l’Ucraina e gli alleati NATO

Si parla di:
Toggle

• La campagna PRISMEX: steganografia e doppi intenti
• Anatomia della suite PRISMEX
• Sfruttamento Zero-Day e tattica di preparazione dell’infrastruttura
• Catena di accesso iniziale e vettori di infezione
• Indicatori tecnici e meccanismi di persistenza
• Implicazioni strategiche e di difesa

L’APT28 (noto anche come Pawn Storm, Forest Blizzard, Fancy Bear) lancia una sofisticata campagna di spear-phishing che distribuisce la suite malware PRISMEX, combinando steganografia avanzata, spoofing COM e abuso di servizi cloud legittimi. La campagna prende di mira infrastrutture critiche ucraine e partner logistici NATO in Polonia, Romania, Slovenia, Turchia, Slovacchia e Repubblica Ceca, segnalando un’escalation significativa delle operazioni di cyber-spionaggio russo.

La campagna PRISMEX: steganografia e doppi intenti

A partire da almeno settembre 2025, l’APT28 ha dispiegato la suite PRISMEX in una campagna mirata a enti governativi ucraini (corpi esecutivi centrali, servizi di idrometeorologia, difesa, gestione delle emergenze) e partner logistici militari in tutta Europa orientale e i Balcani. La campagna è particolarmente preoccupante per due motivi: la rapidità di sfruttamento di vulnerabilità zero-day e la sofisticazione dell’infrastruttura di comando e controllo.

PRISMEX combina quattro componenti malware distinti, ognuno con funzioni specifiche nella catena infettiva. Lo spionaggio e le capacità distruttive coesistono nello stesso malware, suggerendo una doppia intenzione: raccogliere intelligence militare-strategica e preparare potenziali operazioni di sabotaggio dirompente contro infrastrutture critiche alleate.

Anatomia della suite PRISMEX

PrismexSheet è il componente iniziale: un documento Excel malevolo con macro VBA che estrae payload nascosti nel file tramite steganografia. Dopo che la macro è abilitata, il componente stabilisce persistenza tramite hijacking COM e visualizza un documento esca relativo a inventari di droni e prezzi di equipaggiamento militare per ingannare l’utente.

PrismexDrop è un dropper nativo che prepara l’ambiente per lo sfruttamento successivo, utilizza task pianificati e hijacking COM DLL per mantenere la persistenza nel sistema compromesso.

PrismexLoader è la componente più sofisticata dal punto di vista tecnico. Funziona come un proxy DLL che estrae il payload .NET successivo disperso nella struttura di un file PNG (“SplashScreen.png”) utilizzando un algoritmo personalizzato denominato “Bit Plane Round Robin”. Questo metodo di steganografia distribuisce i dati attraverso il file per eludere la rilevazione, consentendo l’esecuzione completamente in memoria con tracce minime su disco.

PrismexStager è un impianto COVENANT Grunt che abusa del servizio cloud Filen.io per le comunicazioni di comando e controllo. Questa infrastruttura consente al traffico malevolo di mimetizzarsi con le comunicazioni web normali crittografate, bypassando i filtri basati sulla reputazione e le regole firewall.

Sfruttamento Zero-Day e tattica di preparazione dell’infrastruttura

L’APT28 ha dimostrato una capacità straordinaria di sfruttare le vulnerabilità quasi immediatamente dopo la divulgazione pubblica. Le vulnerabilità CVE-2026-21509 (sfruttamento RTF) e CVE-2026-21513 (bypass della protezione del browser) sono state integrate nella campagna PRISMEX con velocità allarmante.

Ancora più preoccupante: l’infrastruttura preparatoria è stata osservata il 12 gennaio 2026, esattamente due settimane prima della divulgazione pubblica di CVE-2026-21509. Questo suggerisce fortemente che l’APT28 possedeva una conoscenza zero-day della vulnerabilità, anticipando di settimane la divulgazione ufficiale da parte di Microsoft.

Catena di accesso iniziale e vettori di infezione

Gli attacchi iniziano con email di spear-phishing particolarmente sofisticate che sfruttano contesti geopolitici attuali. I temi utilizzati includono briefing su addestramento militare, avvisi meteorologici critici, documenti su contrabbando di armi e logistica militare, e inventari di equipaggiamento difensivo.

CVE-2026-21509 (una vulnerabilità di esecuzione di codice remoto in file RTF) forza una connessione ai server WebDAV controllati dagli attaccanti, consentendo il download e l’esecuzione di PrismexSheet. CVE-2026-21513 consente l’esecuzione silenziosa di codice bypassando le protezioni del browser.

Indicatori tecnici e meccanismi di persistenza

I meccanismi di persistenza includono COM hijacking, task pianificati che riavviano explorer.exe a intervalli regolari, esecuzione senza file tramite caricamento runtime .NET, e abuso del servizio cloud Filen.io per C2. La steganografia “Bit Plane Round Robin” di PrismexLoader è particolarmente insidiosa, distribuendo il payload nei piani di bit di un file PNG per consentire ai difensori di vedere un’immagine visivamente normale mentre nasconde efficacemente la logica malware.

Implicazioni strategiche e di difesa

Per le organizzazioni nel settore della difesa, della logistica e delle infrastrutture critiche in Europa orientale e nei Balcani: monitorare le connessioni a Filen.io da endpoint aziendali, cercare file PNG in posizioni inusuali, analizzare le macros di Excel per riferimenti a URL di download, implementare il whitelisting delle applicazioni, disabilitare i task scheduler non autorizzati, e applicare immediatamente le patch per CVE-2026-21509 e CVE-2026-21513.

APT28 PRISMEX: la suite malware di spionaggio dell'esercito russo colpisce l'Ucraina e gli alleati NATO - (in)sicurezza digitale

L'APT28 lancia una sofisticata campagna PRISMEX combinando steganografia avanzata e abuso di servizi cloud legittimi per colpire l'Ucraina e i partner NATO con capacità di spionaggio e sabotaggio.

^{Dario Fadda ((in)sicurezza digitale)}

informapirata

2023-03-27 11:39:57

Sei un utente Mastodon e vorresti usare i gruppi/forum Friendica e le comunità Lemmy? Allora questa guida fa per te!

informapirata.it/2023/03/27/ti…

Tips Mastodon: come usare i gruppi/forum Friendica e le comunità Lemmy - informapirata

^{informapirata}