Gli olandesi mettono in guardia dalla minaccia informatica russa che colpirà “tutta la società”

Le autorità olandesi avvertono della crescente minaccia informatica proveniente dalla Russia. La minaccia informatica russa implica tentativi di hacking e attacchi ibridi contro le infrastrutture e i sistemi informatici dei Paesi Bassi e dell'Europa. Questo avviso è una risposta a un aumento degli attacchi informatici attribuiti a gruppi associati alla Russia.

Queste preoccupazioni sono emerse in un contesto di tensione geopolitica crescente, in cui la cybersicurezza è diventata una priorità per molti Paesi europei.

La Russia sta intensificando gli attacchi informatici contro i Paesi Bassi e i suoi alleati nel tentativo di "destabilizzare e indebolire la nostra società", hanno avvertito i servizi segreti olandesi.

Ieri, nel suo rapporto annuale, il Servizio di intelligence e sicurezza militare (MIVD) del Paese ha scritto di aver scoperto vari complotti russi nel corso del 2024, che vanno dai tentativi di sabotaggio allo spionaggio informatico e alle operazioni di influenza.

Tra questi: 

• Un attacco di cyber-sabotaggio contro il sistema di controllo digitale di una struttura pubblica
• Mappature e attacchi sottomarini “che indicano attività di spionaggio e azioni preparatorie per interruzioni e sabotaggi”
• Attacchi ai siti web dei partiti politici e dei trasporti pubblici, nel tentativo di rendere difficile il voto degli olandesi alle elezioni europee

Cyber-spionaggio contro il governo olandese e i suoi alleati per ottenere dati personali sensibili su dipendenti aziendali e governativi

"Il governo russo sta utilizzando sempre più un approccio che coinvolge l'intera società per portare a termine le operazioni informatiche russe", prosegue il rapporto.

“Diverse entità russe, dalle aziende private ai massimi livelli del governo russo, svolgono un ruolo nel programma informatico offensivo della Russia, implementato contro l'Occidente e l'Ucraina, ma anche contro gli alleati russi”.

Di particolare preoccupazione è la crescente disponibilità degli attori russi a correre rischi, "che si manifesta attraverso attività più brutali, aggressive o provocatorie sia nel dominio fisico che in quello informatico", aggiunge il rapporto.

Il ministro della Difesa olandese, Ruben Brekelmans, ha avvertito che la Russia si sta militarizzando a un ritmo più rapido della NATO, mentre il paese raddoppia la sua economia di guerra.

"Questo rapporto annuale conferma che viviamo in una zona grigia tra guerra e pace", ha affermato Brekelmans.

Il compito è chiaro. Dobbiamo già difenderci quotidianamente da attacchi informatici, spionaggio e tentativi di sabotaggio nei Paesi Bassi. Allo stesso tempo, dobbiamo rafforzare rapidamente le nostre capacità militari. Nell'ambito della NATO, questo vale sia per i Paesi Bassi che per gli altri paesi europei.

Il rapporto del MIVD non si è concentrato solo sulla Russia. Ha anche individuato la Cina come una minaccia persistente, sia dal punto di vista dello spionaggio informatico, sia per il suo obiettivo di "avere opzioni di azione in caso di un possibile futuro conflitto militare".

L'anno scorso, i funzionari dell'intelligence olandese hanno segnalato una campagna cinese di lunga durata che utilizzava un nuovo malware denominato "Coathanger" nel tentativo di rubare informazioni sensibili. Il suo vettore di accesso iniziale era lo sfruttamento di una vulnerabilità zero-day nei dispositivi edge di Fortinet.

https://www.infosecurity-magazine.com/news/dutch-warn-whole-society-russia/

PwC: Perché l'intelligenza artificiale sta trasformando la sicurezza informatica aziendale

Secondo PwC, il futuro della sicurezza informatica aziendale sarà rimodellato combinando l'intelligenza artificiale e i principi di sicurezza Zero Trust

L'intelligenza artificiale ha trasformato il modo in cui le aziende lavorano, aumentando la creatività e la produttività, aggiungendo valore strategico e rendendo più preziose le enormi quantità di dati aziendali distribuiti in rete.

Questo valore aggiunto, tuttavia, trasforma gran parte dei miglioramenti apportati dall'intelligenza artificiale in un bersaglio primario per hacker e malintenzionati.

In particolare, la rapida adozione di soluzioni di intelligenza artificiale e di intelligenza artificiale di generazione crea preoccupazioni per le aziende in merito alla privacy e alla sicurezza delle informazioni archiviate, all'accesso ai dati aziendali e all'uso improprio della tecnologia.

Viene inoltre sempre più utilizzato per lanciare attacchi molto più sofisticati e complessi, contro i quali le tradizionali soluzioni di sicurezza di rete, come i firewall, non riescono a difendersi.

In questo contesto, le aziende devono concentrarsi sulla comprensione approfondita dei rischi e delle opportunità dell'adozione dell'intelligenza artificiale e assicurarsi di aver adottato misure preventive adeguate per distribuire soluzioni di intelligenza artificiale nella propria rete.

Pouya Koushandehfar, Senior Manager of Cybersecurity & Digital Trust di PwC , afferma che le aziende dovrebbero adottare un approccio Zero Trust nell'implementazione dell'intelligenza artificiale come "strategia indispensabile".

Combinare intelligenza artificiale e Zero Trust

I modelli di lavoro ibridi hanno ampliato il panorama degli attacchi per gli attori che cercano di sfruttare le aziende.

L'adozione di un approccio Zero Trust fornisce una solida base per la protezione di risorse digitali moderne e diversificate, spiega Pouya.

"Nella sua essenza, Zero Trust si sposa bene con l'attenzione che l'intelligenza artificiale pone sui dati e sulla sua capacità di adattamento", scrive.

Pouya Koushandehfar, Senior Manager - Cybersecurity e Privacy presso PwC Australia

“L’intelligenza artificiale funziona meglio quando i dati di alta qualità vengono classificati, crittografati e monitorati costantemente: obiettivi che Zero Trust si propone di raggiungere

La combinazione di IA e Zero Trust offre vantaggi in diversi ambiti. Ad esempio, il livello di automazione offerto dalle moderne soluzioni di IA può contribuire ad accelerare l'adozione dei principi Zero Trust in tutta l'azienda, in particolare per quanto riguarda il rilevamento delle minacce in tempo reale e l'identificazione e l'organizzazione dei dati.

Anche per quanto riguarda i dati, l'intelligenza artificiale è in grado di analizzare e identificare tendenze, indizi e informazioni che possono individuare potenziali violazioni, migliorando così le politiche di sicurezza.

Pouya sottolinea come la verifica continua e le policy adattive alla base di Zero Trust possano evolversi parallelamente all'adozione e all'implementazione dell'intelligenza artificiale, per garantire che entrambe possano affrontare insieme minacce nuove ed emergenti.

Come l'intelligenza artificiale migliora il rilevamento delle minacce

Pouya afferma che implementare l'intelligenza artificiale come parte della strategia di sicurezza di un'azienda consente di garantire un livello di sicurezza continuo e in continua evoluzione.

Afferma: "Con l'evoluzione della sicurezza informatica, dobbiamo assicurarci che l'accesso non sia solo un controllo una tantum, ma un processo continuo.

Integrando l'intelligenza artificiale con l'autenticazione continua degli utenti, le aziende possono monitorare il comportamento degli utenti in tempo reale e adattare le regole di sicurezza in base all'evoluzione dei rischi.

Questo approccio garantisce che ogni richiesta di accesso venga verificata non appena viene inoltrata, riducendo la probabilità di accessi non autorizzati, anche se qualcuno ha rubato le credenziali di accesso.

Gli ambienti di lavoro ibridi rappresentano un rischio particolare per le aziende moderne. I dipendenti che accedono a reti e dati potenzialmente sensibili da luoghi e dispositivi diversi richiedono una maggiore attenzione al monitoraggio del comportamento e dell'attività di rete per garantire un approccio di sicurezza più proattivo.

L'intelligenza artificiale può raggiungere questo obiettivo grazie ai suoi algoritmi avanzati e alle capacità di analisi in tempo reale. Avere questo livello di visibilità garantisce che i team di sicurezza possano identificare e intervenire sulle vulnerabilità in modo rapido ed efficace.

Come implementare l'intelligenza artificiale e Zero Trust

Pouya e PwC affermano che integrare l'intelligenza artificiale e Zero Trust negli ambienti digitali complessi è essenziale.

Le misure chiave per garantire l'efficacia di questo approccio includono l'adozione di un modello di responsabilità condivisa.

"Per proteggere applicazioni e risorse, il lavoro di squadra è essenziale", afferma Pouya.

“Sia l'azienda che i suoi fornitori di tecnologia devono definire e comprendere chiaramente le proprie responsabilità nell'adozione delle tecnologie.

"Ciò garantisce che ogni aspetto della sicurezza, dalla gestione dei dati al mantenimento dell'accuratezza dei modelli nelle app basate sull'intelligenza artificiale, rimanga efficace e adatto allo scopo."

Altre priorità includono la classificazione e la governance dei dati , nonché un'attenzione continua alla formazione e allo sviluppo di una solida cultura della sicurezza.

Per quanto riguarda la classificazione dei dati, Pouya ribadisce che il fondamento di un'intelligenza artificiale efficace si basa su dati sicuri e di buona qualità, raccomandando alle aziende di creare protocolli di classificazione dei dati e controlli efficaci in tutti gli ambienti di dati.

Sebbene ciò possa presentare delle sfide per le organizzazioni nel loro percorso verso l'intelligenza artificiale e Zero Trust, anche in relazione ai sistemi legacy e alle minacce in continua evoluzione, Pouya afferma che "la forte sinergia tra intelligenza artificiale e Zero Trust presenta una visione convincente per il futuro della sicurezza informatica aziendale".

Conclude: "Mentre l'intelligenza artificiale continua a rimodellare le operazioni aziendali e a mitigare i rischi informatici, l'adozione di un approccio Zero Trust con verifica esplicita e threat intelligence basata sull'intelligenza artificiale garantisce che la sicurezza rimanga una priorità, non un aspetto secondario. Anzi, diventa parte integrante della strategia aziendale, anticipando le minacce emergenti."

https://cybermagazine.com/articles/pwc-why-ai-is-transforming-enterprise-cybersecurity

Microsoft avverte: il ransomware sfrutta gli ambienti cloud con nuove tecniche

Microsoft ha emesso un avviso riguardante sofisticati attacchi ransomware che prenderanno di mira gli ambienti cloud ibridi nel primo trimestre del 2025.

Questi attacchi sfruttano le vulnerabilità all'intersezione tra infrastrutture on-premise e servizi cloud, mettendo a dura prova le organizzazioni con configurazioni ibride.

In una svolta significativa, l'organizzazione statale nordcoreana Moonstone Sleet ha distribuito il ransomware Qilin in attacchi mirati.

Questa segna la loro prima operazione come affiliati al ransomware-as-a-service anziché utilizzare malware personalizzato, il che indica un'evoluzione tattica per aumentare l'efficienza mantenendo al contempo una plausibile negabilità.

I ricercatori di Microsoft Threat Intelligence hanno identificato l'autore della minaccia Storm-0501 che sfrutta capacità avanzate per lo spostamento laterale dai sistemi locali all'infrastruttura cloud.

La loro analisi ha scoperto tecniche che prendono di mira dispositivi non gestiti e sfruttano account ibridi non sicuri per accedere a risorse critiche, eliminare backup e distribuire ransomware.

Una fuga di notizie di febbraio nelle chat di gruppo del ransomware Black Basta ha svelato i loro metodi tecnici, tra cui lo sfruttamento delle vulnerabilità di Citrix, Jenkins e VPN.

Altri gruppi attivi erano Lace Tempest e Storm-1175; quest'ultimo sfruttò le nuove vulnerabilità di SimpleHelp subito dopo la divulgazione.

L'ingegneria sociale rimane prevalente, con gli autori che avviano i contatti tramite false chiamate di supporto IT prima di implementare strumenti di accesso remoto. Storm-1674 è stato osservato utilizzando false chiamate IT tramite Microsoft Teams, che hanno portato all'utilizzo di Quick Assist e PowerShell.

Tecniche di sfruttamento del cloud ibrido

La metodologia di compromissione del cloud di Storm-0501 inizia con uno spostamento laterale dai sistemi locali compromessi attraverso configurazioni di identità ibride non sicure.

Dopo aver ottenuto l'accesso iniziale, gli aggressori prendono di mira gli account con permessi eccessivi in ​​tutti gli ambienti. Questo approccio consente loro di passare agevolmente dall'infrastruttura tradizionale alle risorse cloud.

La catena di attacco in genere include richieste HTTP specifiche che prendono di mira i file di configurazione:

Questa tecnica di attraversamento del percorso espone i token di autenticazione e le impostazioni di federazione, consentendo agli aggressori di aggirare l'autenticazione a più fattori sfruttando le relazioni di fiducia tra i sistemi di identità.

Microsoft consiglia di implementare l'igiene delle credenziali, di applicare i principi dei privilegi minimi e di adottare architetture Zero Trust per proteggere gli ambienti ibridi.

Le organizzazioni dovrebbero inoltre monitorare attentamente i modelli di autenticazione insoliti che potrebbero indicare la compromissione dei sistemi di identità ibridi.

https://cybersecuritynews.com/microsoft-warns-of-ransomware-exploiting-cloud-environments/

Attacco malware multifase utilizza .JSE e PowerShell per distribuire Agent Tesla e XLoader

È stato osservato un nuovo attacco multifase che diffonde famiglie di malware come le varianti di Agent Tesla, Remcos RAT e XLoader.

"Gli aggressori si affidano sempre di più a meccanismi di distribuzione complessi per eludere il rilevamento, aggirare i sandbox tradizionali e garantire la distribuzione e l'esecuzione corrette del payload", ha affermato Saqib Khanzada, ricercatore dell'Unità 42 di Palo Alto Networks, in un resoconto tecnico della campagna.

Il punto di partenza dell'attacco è un'e-mail ingannevole che si spaccia per una richiesta d'ordine di consegna di un allegato dannoso di tipo archivio 7-zip, contenente un file codificato in JavaScript (.JSE).

L'email di phishing, rilevata nel dicembre 2024, affermava falsamente che era stato effettuato un pagamento e invitava il destinatario a esaminare un file d'ordine allegato. L'avvio del payload JavaScript innesca la sequenza di infezione, con il file che funge da downloader per uno script di PowerShell da un server esterno.

Lo script, a sua volta, contiene un payload codificato in Base64 che viene successivamente decifrato, scritto nella directory temporanea di Windows ed eseguito. Ecco dove accade qualcosa di interessante: l'attacco genera un dropper di fase successiva, compilato con .NET o AutoIt.

Nel caso di un eseguibile .NET, il payload incorporato crittografato (una variante di Agent Tesla sospettata di essere Snake Keylogger o XLoader) viene decodificato e iniettato in un processo "RegAsm.exe" in esecuzione, una tecnica osservata in precedenti campagne di Agent Tesla.

L'eseguibile compilato da AutoIt, d'altra parte, introduce un livello aggiuntivo nel tentativo di complicare ulteriormente le attività di analisi. Lo script AutoIt all'interno dell'eseguibile incorpora un payload crittografato responsabile del caricamento dello shellcode finale, causando l'iniezione del file .NET in un processo "RegSvcs.exe", che porta infine all'implementazione dell'agente Tesla.

"Questo suggerisce che l'aggressore utilizzi più percorsi di esecuzione per aumentare la resilienza ed eludere il rilevamento", ha osservato Khanzada. "L'attenzione dell'aggressore rimane su una catena di attacco multilivello piuttosto che su un offuscamento sofisticato."

"Accumulando fasi semplici anziché concentrarsi su tecniche altamente sofisticate, gli aggressori possono creare catene di attacco resilienti che complicano l'analisi e il rilevamento."

IronHusky presenta la nuova versione di MysterySnail RAT

La rivelazione arriva mentre Kaspersky descrive in dettaglio una campagna che prende di mira organizzazioni governative con sede in Mongolia e Russia con una nuova versione di un malware chiamato MysterySnail RAT. L'attività è stata attribuita a un autore di minacce di lingua cinese soprannominato IronHusky.

IronHusky, la cui attività è stata stimata almeno dal 2017, era stato precedentemente documentato dalla società russa di sicurezza informatica nell'ottobre 2021 in relazione allo sfruttamento zero-day di CVE-2021-40449, una falla di escalation dei privilegi Win32k, per diffondere MysterySnail.

Le infezioni provengono da uno script dannoso di Microsoft Management Console (MMC) che imita un documento Word dell'Agenzia Nazionale del Territorio della Mongolia ("co-financing letter_alamgac"). Lo script è progettato per recuperare un archivio ZIP contenente un documento esca, un file binario legittimo ("CiscoCollabHost.exe") e una DLL dannosa ("CiscoSparkLauncher.dll").

Non si sa esattamente come lo script MMC venga distribuito ai bersagli di interesse, anche se la natura del documento esca suggerisce che potrebbe essere avvenuto tramite una campagna di phishing.

Come osservato in molti attacchi, "CiscoCollabHost.exe" viene utilizzato per caricare lateralmente la DLL, una backdoor intermedia in grado di comunicare con l'infrastruttura controllata dall'aggressore sfruttando il progetto open source piping-server .

La backdoor supporta funzionalità per eseguire shell di comandi, scaricare/caricare file, enumerare il contenuto delle directory, eliminare file, creare nuovi processi e terminarsi. Questi comandi vengono quindi utilizzati per eseguire il sideload di MysterySnail RAT.

L'ultima versione del malware è in grado di accettare quasi 40 comandi, consentendogli di eseguire operazioni di gestione dei file, eseguire comandi tramite cmd.exe, avviare e terminare processi, gestire servizi e connettersi alle risorse di rete tramite moduli DLL dedicati.

Kaspersky ha affermato di aver osservato gli aggressori rilasciare una "versione riproposta e più leggera" di MysterySnail, nome in codice MysteryMonoSnail, dopo che le aziende interessate avevano adottato misure preventive per bloccare le intrusioni.

"Questa versione non ha tutte le funzionalità della versione di MysterySnail RAT", ha osservato l'azienda. "È stata programmata per avere solo 13 comandi di base, utilizzati per elencare il contenuto delle directory, scrivere dati su file e avviare processi e shell remote."

https://thehackernews.com/2025/04/multi-stage-malware-attack-uses-jse-and.html?_m=3n%2e009a%2e3646%2esn0ao466fe%2e2o9e

Il kit di smishing cinese alimenta una campagna diffusa di frode tariffaria che prende di mira gli utenti statunitensi in 8 stati

I ricercatori di sicurezza informatica lanciano l'allarme: da metà ottobre 2024 è in corso una campagna di phishing tramite SMS "diffusa e in corso" che prende di mira gli utenti delle autostrade a pedaggio negli Stati Uniti per commettere furti finanziari.

"Gli attacchi di smishing sulle autostrade a pedaggio vengono condotti da più autori di minacce motivati ​​da interessi economici, utilizzando il kit di smishing sviluppato da 'Wang Duo Yu'", hanno valutato con moderata sicurezza i ricercatori di Cisco Talos Azim Khodjibaev, Chetan Raghuprasad e Joey Chen.

Secondo l'azienda, le campagne di phishing impersonano i sistemi di riscossione elettronica del pedaggio statunitensi come E-ZPass, inviando messaggi SMS e iMessage di Apple a persone in Washington, Florida, Pennsylvania, Virginia, Texas, Ohio, Illinois e Kansas per segnalare un pedaggio non pagato e cliccare su un collegamento falso inviato nella chat.

Vale la pena notare che alcuni aspetti della campagna di phishing a pagamento erano stati precedentemente evidenziati dal giornalista di sicurezza Brian Krebs nel gennaio 2025, e che l'attività era riconducibile a un servizio di phishing tramite SMS con sede in Cina chiamato Lighthouse, pubblicizzato su Telegram.

Mentre Apple iMessage disattiva automaticamente i link nei messaggi ricevuti da mittenti sconosciuti, i testi di smishing sollecitano i destinatari a rispondere con "Y" per attivare il link, una tattica osservata in kit di phishing come Darcula e Xiū gǒu.

Se la vittima clicca sul link e visita il dominio, le viene chiesto di risolvere un falso CAPTCHA basato su un'immagine, dopodiché viene reindirizzata a una pagina E-ZPass falsa (ad esempio, "ezp-va[.lcom" o "e-zpass[.]com-etcjr[.]xin") dove le viene chiesto di inserire il suo nome e il codice postale per accedere alla fattura.

Alle vittime viene poi chiesto di procedere ulteriormente per effettuare il pagamento su un'altra pagina fraudolenta, dopodiché tutte le informazioni personali e finanziarie immesse vengono trasmesse agli autori della minaccia.

Talos ha osservato che diversi attori della minaccia stanno portando avanti campagne di smishing sulle autostrade a pedaggio, probabilmente utilizzando un kit di phishing sviluppato da Wang Duo Yu, e che ha osservato kit di smishing simili utilizzati da un altro gruppo cinese di criminalità informatica organizzata noto come Smishing Triad.

È interessante notare che Wang Duo Yu sarebbe anche il creatore dei kit di phishing utilizzati da Smishing Triad, secondo il ricercatore di sicurezza Grant Smith. "Il creatore è uno studente di informatica in Cina che sta usando le competenze che sta imparando per guadagnare un bel gruzzolo extra", ha rivelato Smith in un'analisi approfondita nell'agosto 2024.

Smishing Triad è nota per aver condotto attacchi di smishing su larga scala contro i servizi postali in almeno 121 paesi, utilizzando esche come fallimenti nella consegna dei pacchi per indurre i destinatari dei messaggi a cliccare su link fasulli che richiedono i loro dati personali e finanziari con il pretesto di una presunta commissione di servizio per la riconsegna.

Inoltre, gli autori della minaccia che utilizzano questi kit hanno tentato di registrare i dettagli delle carte di credito delle vittime in un portafoglio mobile, consentendo loro di incassare ulteriormente i loro fondi su larga scala utilizzando una tecnica nota come Ghost Tap.

Si è scoperto inoltre che i kit di phishing contengono backdoor, nel senso che le informazioni sulle carte di credito/debito catturate vengono anche esfiltrate ai creatori, una tecnica nota come doppio furto.

"Wang Duo Yu ha creato e progettato specifici kit di smishing e ne ha venduto l'accesso sui propri canali Telegram", ha affermato Talos. "I kit sono disponibili con diverse opzioni infrastrutturali, al prezzo di 50 dollari ciascuno per lo sviluppo completo, 30 dollari ciascuno per lo sviluppo proxy (quando il cliente dispone di un dominio e un server personali), 20 dollari ciascuno per gli aggiornamenti di versione e 20 dollari per tutto il supporto di vario tipo."

Secondo Silent Push, a partire da marzo 2025, si ritiene che il gruppo dedito alla criminalità informatica abbia concentrato i propri sforzi su un nuovo kit di phishing Lighthouse, finalizzato a raccogliere credenziali da banche e organizzazioni finanziarie in Australia e nella regione Asia-Pacifico.

Gli autori della minaccia affermano inoltre di avere "oltre 300 addetti alla reception in tutto il mondo" per supportare vari aspetti delle frodi e dei sistemi di prelievo di denaro associati al kit di phishing.

"Smishing Triad sta vendendo i suoi kit di phishing anche ad altri autori di minacce informatiche tramite Telegram e probabilmente altri canali", ha affermato l'azienda. "Queste vendite rendono difficile attribuire i kit a un singolo sottogruppo, quindi i siti sono attualmente tutti riconducibili a Smishing Triad."

Secondo Silent Push, a partire da marzo 2025, si ritiene che il gruppo dedito alla criminalità informatica abbia concentrato i propri sforzi su un nuovo kit di phishing Lighthouse, finalizzato a raccogliere credenziali da banche e organizzazioni finanziarie in Australia e nella regione Asia-Pacifico.

Gli autori della minaccia affermano inoltre di avere "oltre 300 addetti alla reception in tutto il mondo" per supportare vari aspetti delle frodi e dei sistemi di prelievo di denaro associati al kit di phishing.

In un rapporto pubblicato il mese scorso, PRODAFT ha rivelato che Lighthouse condivide tattiche simili con kit di phishing come Lucid e Darcula e che opera indipendentemente dal gruppo XinXin, il gruppo criminale informatico dietro il kit Lucid. L'azienda svizzera di sicurezza informatica sta tracciando Wang Duo Yu (alias Lao Wang) come LARVA-241.

"Un'analisi degli attacchi condotti utilizzando i panel Lucid e Darcula ha rivelato che Lighthouse (Lao Wang / Wang Duo Yu) presenta notevoli somiglianze con il gruppo XinXin in termini di targeting, landing page e modelli di creazione di domini", ha osservato PRODAFT.

La società di sicurezza informatica Resecurity, che è stata la prima a documentare lo Smishing Triad nel 2023 e che ha anche monitorato le campagne di truffa, ha affermato che il sindacato dello smishing ha utilizzato oltre 60.000 nomi di dominio, rendendo difficile per Apple e Google bloccare efficacemente l'attività fraudolenta.

"L'utilizzo di servizi di SMS sotterranei di massa consente ai criminali informatici di espandere le proprie operazioni, prendendo di mira milioni di utenti contemporaneamente", ha affermato Resecurity. "Questi servizi consentono agli aggressori di inviare in modo efficiente migliaia o milioni di messaggi di messaggistica istantanea fraudolenti, prendendo di mira singoli utenti o gruppi di utenti in base a dati demografici specifici in diverse regioni."

https://thehackernews.com/2025/04/chinese-smishing-kit-behind-widespread.html

La tua tecnologia di difesa dei confini e dei margini è vulnerabile? Cosa puoi fare al riguardo?

A seguito di una serie di recenti eventi di alto profilo, le tecnologie di difesa perimetrale e di confine, come firewall, gateway VPN e sistemi di prevenzione delle intrusioni, hanno ricevuto molta attenzione sia dai ricercatori sulla sicurezza che dagli autori delle minacce.

Tra queste, una campagna di sfruttamento di massa contro i firewall Fortinet, l'interruzione di CrowdStrike dell'estate 2024 e l'uso di una vulnerabilità per disabilitare i firewall di Palo Alto, tra le altre, ognuna delle quali ha causato diversi livelli di interruzione. Le problematiche sono particolarmente preoccupanti perché colpiscono specificamente i sistemi utilizzati per proteggere le nostre reti dalle minacce.

Alcuni report recenti hanno rivelato che gli attacchi zero-day contro tali dispositivi sono rimasti attivi e inosservati per mesi prima di essere scoperti, con vulnerabilità rimaste inalterate anche dopo l'emissione delle patch. Pertanto, la necessità di un approccio più proattivo alla protezione dei dispositivi è più urgente che mai. Questo perché, se i criminali informatici riuscissero a mettere piede in queste tecnologie, potrebbero potenzialmente controllare l'intera rete dietro il dispositivo, nonché il flusso di traffico in uscita.

È tempo di essere proattivi

Ma come affrontare questi problemi? Dal punto di vista di chi si occupa di sicurezza, è importante comprendere che i dispositivi di sicurezza edge e border non sono intrinsecamente sicuri. Certo, svolgono un ruolo fondamentale e lo fanno da molti anni – ad esempio, i firewall sono utilizzati dal 75% delle aziende del Regno Unito – ma per garantire che rimangano idonei allo scopo, richiedono un approccio basato sulle best practice e aggiornamenti regolari.

A livello pratico, ciò può includere il controllo delle configurazioni dei dispositivi, la revisione e la modifica delle impostazioni predefinite di registrazione e avviso e la limitazione dell'esposizione delle interfacce di gestione e dei servizi sensibili alla rete Internet pubblica. Le organizzazioni dovrebbero inoltre pianificare i possibili scenari , inclusi quelli che presuppongono la compromissione dei dispositivi.

Si considerino, ad esempio, i rischi associati a dispositivi non configurati correttamente, che possono esporre involontariamente interfacce e protocolli di gestione a Internet e renderli visibili a chiunque desideri trovarli. Questo nonostante il fatto che, a meno che il servizio fornito non sia destinato al pubblico generale, relativamente poche tecnologie di difesa edge e border debbano essere completamente accessibili da Internet. L'accesso dovrebbe invece essere limitato su base zero trust/ needs - must.

Portando questo concetto ancora più in là, è anche una buona idea limitare le posizioni da cui è possibile accedere a un dispositivo di difesa perimetrale o di confine a posizioni prevedibili. In questa situazione, i team di sicurezza possono applicare più facilmente regole, autorizzazioni e controlli di accesso che attivano avvisi in caso di tentativi di accesso anomali. Un esempio di questo approccio è quando l'accesso al dispositivo viene instradato tramite una VPN o un jump box, il che garantisce che la posizione sia sempre prevedibile e sotto controllo. Per le organizzazioni in cui l'uso di una VPN non è un'opzione, l'accesso può essere limitato a posizioni fisiche specifiche per mantenere questo prezioso livello di controllo.

Essere proattivi in ​​materia di sicurezza dei dispositivi di difesa edge e border si basa anche su processi come i penetration test, che possono aiutare a identificare configurazioni errate e casi di accesso diretto a Internet indesiderato. Un approccio olistico che testa il maggior numero possibile di dispositivi esterni può garantire ai team di sicurezza un quadro completo di eventuali vulnerabilità legate all'accesso. Grazie a queste informazioni, è molto più facile ed efficace migliorare la sicurezza e garantire che la porta non venga inavvertitamente lasciata aperta.

Non tornare al valore predefinito

Un altro aspetto della difesa edge e border spesso trascurato è quando le organizzazioni si affidano alle impostazioni di log predefinite sui propri dispositivi, o dimenticano di aggiornarle, spesso inadeguate per tracciare e analizzare potenziali exploit di minacce. Inoltre, molte organizzazioni conservano i log dei dispositivi e i dati di avviso solo per poche settimane, un approccio che, in caso di incidente di sicurezza, rende più difficile condurre le necessarie analisi forensi e comprendere l'origine dell'attacco. Ciò è particolarmente vero nel caso di attacchi zero-day, in cui gli exploit possono rimanere attivi e non rilevati per settimane e persino mesi. Per rimanere proattive, le organizzazioni dovrebbero condurre analisi di log regolari (e idealmente in tempo reale) per identificare comportamenti anomali sulla rete e rilevare potenziali minacce.

Il messaggio generale dietro queste best practice è che questi dispositivi di sicurezza critici non sono semplicemente plug-and-play. Sebbene siano sempre più sofisticati e offrano diverse funzionalità di automazione, rimangono vulnerabili agli attacchi. Gli aggressori si affidano alle organizzazioni per dimenticare, ignorare o de-priorizzare la configurazione, la manutenzione e gli aggiornamenti. Prenderanno di mira le organizzazioni con difese deboli, punti di ingresso vulnerabili e che sono esposte a rischi da exploit zero-day e altri problemi di sicurezza specifici dei fornitori. Al contrario, i team di sicurezza in grado di colmare ogni falla di sicurezza relativa ai dispositivi possono garantire che le loro difese edge e border siano robuste e all'altezza della sfida di mantenere le reti sicure.

https://cybersecurity-magazine.com/is-your-edge-and-border-defence-tech-vulnerable-and-what-to-do-about-it/

Gli hacker nordcoreani sfruttano LinkedIn per infettare gli sviluppatori di criptovalute con infostealer

Se sei uno sviluppatore che lavora su progetti di criptovaluta, fai attenzione a chi cerca di assumerti su LinkedIn: potrebbero essere hacker nordcoreani.

In un rapporto del 14 aprile, l'Unità 42, divisione di ricerca di Palo Alto Networks, ha condiviso nuove scoperte su Slow Pisces, un gruppo di hacker affiliato al regime nordcoreano.

In una nuova campagna dannosa iniziata nel 2024, il gruppo si è spacciato per reclutatori su LinkedIn, prendendo di mira gli sviluppatori di progetti di criptovaluta con sfide di codifica dannose.

Queste sfide sfruttano le esche PDF, creando repository dannosi su GitHub che distribuiscono due nuovi payload malware, che i ricercatori dell'Unità 42 hanno chiamato RN Loader e RN Stealer.

Le esche PDF su LinkedIn portano a repository GitHub dannosi

Questa campagna si svolge in più fasi.

In primo luogo, gli hacker di Slow Pisces si spacciano per potenziali reclutatori su LinkedIn e interagiscono con i probabili obiettivi, inviando loro un PDF innocuo con una descrizione del lavoro. Gli obiettivi sono principalmente coinvolti in progetti di criptovaluta.

Esche PDF "benigne". Fonte: Unità 42, Palo Alto Networks

Se gli obiettivi sono validi, gli aggressori presentano loro una sfida di programmazione composta da diversi compiti delineati in un foglio di domande.

Questi fogli di domande in genere includono attività generiche di sviluppo software e una sfida di codifica di un "progetto reale", collegata a un repository GitHub.

I repository contengono codice adattato da progetti open source, tra cui applicazioni per la visualizzazione e l'analisi dei dati del mercato azionario, statistiche dei campionati di calcio europei, dati meteorologici e prezzi delle criptovalute.

"Il gruppo utilizzava principalmente progetti in Python o JavaScript, probabilmente a seconda che la vittima si candidasse per un ruolo di sviluppo front-end o back-end. Abbiamo anche individuato repository basati su Java in questa campagna, sebbene fossero molto meno comuni, con solo due casi in cui si spacciavano per un'applicazione di criptovaluta chiamata jCoin", si legge nel rapporto di Unit 42.

I ricercatori hanno aggiunto che potrebbero esistere repository non scoperti anche per altri linguaggi di programmazione.

Panoramica della campagna "Sfide di programmazione" di Slow Pisces. Fonte: Unità 42, Palo Alto Networks

I repository Python distribuiscono malware Infostealer

In genere, Slow Pisces utilizza repository con più fonti di dati, la maggior parte delle quali legittime e una dannosa.

Slow Pisces evita i metodi tradizionali di distribuzione del malware, facilmente rilevabili, confermando innanzitutto che il suo server di comando e controllo (C2) fornisca dati applicativi validi e previsti (come un elenco JSON di simboli aziendali S&P 500) al repository di destinazione.

Gli aggressori inviano quindi payload dannosi solo a obiettivi accuratamente convalidati in base a fattori quali indirizzo IP, geolocalizzazione, ora e intestazioni HTTP.

Concentrandosi sugli individui contattati tramite LinkedIn anziché condurre campagne di phishing su larga scala, il gruppo controlla attentamente le fasi successive della campagna per distribuire il malware esclusivamente alle vittime designate.

I ricercatori dell'Unità 42 hanno identificato due carichi utili precedentemente sconosciuti, RN Loader e RN Stealer.

RN Loader invia informazioni di base sul computer della vittima e sul sistema operativo tramite HTTPS al server C2 degli hacker.

RN Stealer è un infostealer che estrae dati, anche compressi, dal dispositivo della vittima.

I ricercatori hanno recuperato lo script di un campione di RN Stealer da un sistema macOS. Questo campione era in grado di rubare informazioni specifiche dei dispositivi macOS, tra cui:

• Informazioni di base sulla vittima: nome utente, nome del computer e architettura
• Applicazioni installate
• Un elenco di directory e il contenuto di primo livello della directory home della vittima
• Il file login.keychain-db che memorizza le credenziali salvate nei sistemi macOS
• Chiavi SSH memorizzate
• File di configurazione per AWS, Kubernetes e Google Cloud

I ricercatori dell'Unità 42 non sono riusciti a recuperare l'intera catena di attacco per i repository JavaScript.

Metodi di occultamento avanzati

L'utilizzo di esche come LinkedIn e GitHub è una tattica comune tra gli attori nordcoreani responsabili delle minacce, tra cui Alluring Pisces e Contagious Interview.

Tuttavia, Slow Pisces si distingue per la rigorosa sicurezza operativa: fornisce payload che esistono esclusivamente nella memoria e implementa metodi di occultamento avanzati come la deserializzazione YAML e EJS escapeFunction solo quando necessario.

Queste tattiche ostacolano l'analisi e il rilevamento, rendendo particolarmente difficile per gli sviluppatori di criptovalute inesperti identificare le minacce.

I resoconti pubblici sui furti di criptovalute suggeriscono che questa campagna ha avuto un grande successo e potrebbe continuare fino al 2025, sottolineando la necessità di una rigorosa separazione dei dispositivi aziendali e personali per mitigare il rischio di attacchi mirati di ingegneria sociale.

L'Unità 42 ha confermato che GitHub e LinkedIn hanno rimosso gli account e i repository in questione.

Informazioni sui Pesci Lenti

Slow Pisces (noto anche come Jade Sleet, TraderTraitor e Pukchong) è un gruppo di hacker sponsorizzato dallo stato nordcoreano, il cui obiettivo principale è generare entrate per il regime, in genere prendendo di mira grandi organizzazioni, con particolare attenzione al settore delle criptovalute.

Si dice che il gruppo abbia rubato oltre 1 miliardo di dollari dal settore delle criptovalute nel 2023, utilizzando vari metodi, tra cui false applicazioni di trading, malware diffuso tramite Node Package Manager (NPM) e compromissioni della supply chain.

Nel dicembre 2024, l'FBI ha collegato Slow Pisces al furto di 308 milioni di dollari da una società di criptovalute con sede in Giappone.

Più di recente, il gruppo ha attirato l'attenzione per il suo presunto ruolo nel furto di 1,5 miliardi di dollari da un exchange di criptovalute di Dubai.

https://www.infosecurity-magazine.com/news/north-korea-hackers-linkedin/