Una vecchia conoscenza degli analisti riappare in natura: si tratta del framework di scansione Scanbox, realizzato in JavaScript. 

I ricercatori hanno visto distribuire tale framework da attore di minaccia cinese (molto probabilmente APT TA423, noto anche come Red Ladon, operante dall’isola tropicale cinese di Hainan) mediante tecnica watering hole su target includenti organizzazioni nazionali australiane e società energetiche offshore. 

L’esca sono stati messaggi che rimandavano a siti di notizie web australiani. 

La finalità: lo spionaggio. 

Infatti il particolare APT è stato accusato nel 2021 (DoJ: Dipartimento di Giustizia degli Stati Uniti) di collaborazione con il MSS (Ministero della Sicurezza di Stato, l'agenzia civile di intelligence, sicurezza e polizia informatica per la Repubblica popolare cinese). L’MSS è ritenuto responsabile del controspionaggio, dell'intelligence, della sicurezza politica e spionaggio industriale e informatico da parte della Cina. 

Quando si pensa alle minacce estorsive nel mondo nel mondo IT, la mente va subito alle minacce da ransomware. 

Siamo d’accordo, il termine ransom in inglese significa esattamente riscatto, ed è la clausola imposta dai malware di tipo ransomware per ottenere (difficilmente) lo “sblocco” dei dati presi in ostaggio crittograficamente dallo strumento di attacco. Anche i numeri fanno pendere l’ago della bilancia verso questa identificazione, in quanto questa è la forma più frequente di attacco a cui siamo esposti noi comuni mortali. 

Ma di cyber riscatti ne esistono varie forme e non tutti gli agenti di minaccia si specializzano nell’utilizzo di ransomware quali strumenti per realizzare un guadagno dalla loro attività criminale. 

Palo Alto Networks è una società americana specializzata in sicurezza IT: i suoi prodotti vanno da firewall “in ferro” a soluzioni di sicurezza in cloud. 

Quindi pensare che strumenti posti a presidio della sicurezza di una qualche infrastruttura siano essi stessi in pericolo non è una bella cosa: eppure questa è l’eventualità che segnala la società stessa con l’avviso di sicurezza https://security.paloaltonetworks.com/CVE-2022-0028 del 10-08-2022, in cui denuncia la presenza di un difetto nel loro software, un bug di gravità elevata (CVE-2022-0028, 8.6 CVSS) derivante da un controllo insufficiente sui volumi di traffico di rete (CWE-406 Insufficient Control of Network Message Volume - Network Amplification). 

Vi siete mai chiesti come fa Windows a sapere che un certo file lo avete scaricato da Internet? 

L’informazione deve risiedere da qualche parte, altrimenti un file sarebbe esattamente come tutti gli altri, un file locale. 

Ebbene, questa caratterizzazione avviene per mezzo di una funzionalità di sicurezza introdotta con Internet Explorer (ma che è propria di tutti gli altri browser e molti altri software in uso su Windows) e viene rispettata da molti programmi (tutta la suite Office, per esempio, e soprattutto Windows Defender) durante l’apertura del documento scaricato: la funzionalità è comunemente indicata (ma non è un nome ufficiale) Mark-of-the-Web (MOTW) e consente di associare al file scaricato l’origine (quindi anche l’URI) dello stesso. 

Secondo quali siano i tipi di file, il MOTW viene realizzato con strumenti differenti; ad esempio, nei file HTML il MOTW è semplicemente ottenuto aggiungendo (lo fa il browser che esegue il download) un commento HTML nella forma <!—save from url: ….