Pillole
Visite: 6721

Negli ultimi anni, una modalità di attacco chiamata "living off the land" ha preso piede nel mondo dell'#hacking. Questo approccio consiste nell'utilizzare strumenti già presenti nel sistema di destinazione, sfruttando le risorse disponibili senza dover introdurre nuovi elementi che potrebbero destare sospetti. Nel contesto dei sistemi #Windows, siamo fortunati ad avere a disposizione un linguaggio di programmazione sempre più potente chiamato #PowerShell, fornito direttamente da #Microsoft con le installazioni di Windows.

Quando fu introdotto nel 2006, PowerShell aveva alcune limitazioni, ma rappresentava un passo avanti per migliorare le capacità di scripting nei sistemi Windows. D'altronde, i sistemi operativi di tipo #Unix, come #Linux, hanno avuto linguaggi di #scripting incorporati fin dall'inizio. L'interfaccia nativa dei sistemi Unix e Linux è sempre stata una linea di comando che funge da interprete per il linguaggio di scripting, chiamato #shell.

Negli ultimi anni, Microsoft ha esteso PowerShell a piattaforme diverse da Windows. Ora è possibile utilizzare PowerShell sia su Linux che su macOS. Tuttavia, questa versione di PowerShell è leggermente diversa da quella preinstallata nella maggior parte dei sistemi Windows. 

PowerShell è un linguaggio di programmazione orientato agli oggetti che utilizza funzionalità chiamate "cmdlet" per fornire la sua funzionalità. Oltre a disporre di un linguaggio e una sintassi semplici, PowerShell è progettato per essere esteso. È possibile utilizzare le funzionalità di base del linguaggio per scrivere programmi, ma è anche possibile creare nuovi à#cmdlet o utilizzare quelli già inclusi nel linguaggio per ottenere accesso a funzionalità complesse per specifici compiti.

Oltre ad essere un linguaggio di programmazione potente di per sé, PowerShell è anche utilizzato per sviluppare alcuni #framework di #exploit. Alcuni di questi framework sono attualmente in varie fasi di manutenzione. Ad esempio, #Empire è un framework di post-exploitation scritto in PowerShell. Ciò significa che si tratta di un insieme di strumenti che vengono utilizzati dopo aver già compromesso un sistema. Attraverso Empire, è possibile ottenere accesso semplificato per l'elevazione dei privilegi o per la raccolta di password, ad esempio. Come #Metasploit, anche Empire richiede l'installazione di un agente sul sistema di destinazione per la comunicazione.

Un altro strumento è #PowerSploit. Anche se non è più attivamente mantenuto, è possibile scaricarlo ed utilizzarlo. PowerSploit fornisce una serie di cmdlet che includono funzioni per l'esecuzione del codice, la persistenza, l'esfiltrazione, l'elevazione dei privilegi, la ricognizione e altro ancora. Anche se non è più attivamente mantenuto, è comunque possibile ottenere la raccolta di script per utilizzarla.

 

 

, ,

Pillole
Visite: 7629

🔒 Pillole di Ethical Hacking: Enumeration 🔎

Oggi voglio parlarvi di un aspetto fondamentale dell'Ethical Hacking: l'Enumeration. È un processo che ci permette di raccogliere informazioni dettagliate sui sistemi target, fornendoci una panoramica completa per identificare possibili vulnerabilità.

Ecco alcuni dei principali strumenti utilizzati nell'Enumeration:

1️⃣ Nmap: Il re delle scansioni di rete! Nmap ci consente di mappare le porte aperte, identificare i servizi in esecuzione sui sistemi e raccogliere informazioni sulla configurazione di rete. Con le sue opzioni avanzate, come lo scan di versione e lo script scanning, Nmap rivela dettagli preziosi.

2️⃣ Nessus: Un potente strumento di scansione delle vulnerabilità. Con una vasta gamma di plugin, Nessus esamina i sistemi alla ricerca di falle di sicurezza note, offrendo un report dettagliato sugli errori e le potenziali minacce.

3️⃣ Dirb: È uno strumento molto utile per la scansione dei web server alla ricerca di directory e file nascosti. Ci aiuta ad esplorare le strutture delle directory e individuare punti deboli che potrebbero essere sfruttati.

4️⃣ Enum4linux: Se stai conducendo un'enumerazione su un sistema basato su Windows, Enum4linux è uno strumento che non può mancare. Ci permette di raccogliere informazioni sugli account utente, i gruppi, le condivisioni SMB e altre risorse di un dominio Windows.

5️⃣ Recon-ng: Un framework di enumerazione e raccolta di informazioni che integra diversi moduli per acquisire dati da fonti pubbliche come social media, motori di ricerca, WHOIS e altro ancora. Recon-ng semplifica il processo di raccolta di informazioni e ne organizza i risultati.

Ricorda, l'Enumeration è solo l'inizio del processo di hacking etico. Una volta raccolte le informazioni, si passa all'analisi e all'individuazione delle vulnerabilità per proteggere e migliorare la sicurezza dei sistemi.

Se sei appassionato di Ethical Hacking e vuoi imparare le tecniche avanzate, ti invito a unirti a noi al corso di Ethical Hacking di CybersecurityUP. I nostri esperti docenti e una Hacking Platform all'avanguardia ti guideranno nel mondo affascinante della sicurezza informatica.

Unisciti a noi e diventa un difensore digitale!

#EthicalHacking #Enumeration #CybersecurityUP #SicurezzaInformatica #HackingEtico

Pillole
Visite: 6468

#TURLA è un gruppo di #cyber spionaggio altamente sofisticato che opera da molti anni, lasciando dietro di sé un tracciato di intrighi e attacchi informatici. Il gruppo #APT, ritenuto originario della Russia, si è guadagnato notorietà per le sue tattiche silenziose e le tecniche avanzate, diventando uno dei più persistenti ed elusivi attori delle minacce nel panorama cibernetico.

Emergendo per la prima volta negli anni '90, TURLA si è concentrato principalmente su obiettivi di spionaggio classici come governi, entità militari e il settore della difesa. Nel corso degli anni, ha dimostrato una costante capacità di infiltrarsi in organizzazioni di alto profilo, rubando informazioni sensibili e conducendo operazioni di raccolta di intelligence. Nonostante l'occasionale esposizione delle sue attività, TURLA è riuscito ad adattarsi ed evolversi, rimanendo una forza formidabile nel mondo dello spionaggio informatico.

Ciò che distingue TURLA è la sua capacità di condurre attacchi silenziosi e occulti che spesso passano inosservati. Sebbene ci siano stati alcuni incidenti di alto profilo associati al gruppo, come l'incidente #Agent.BTZ agli inizi degli anni 2000 e l'attività #MoonlightMaze negli anni '90, questi eventi rappresentano solo una piccola parte delle sue estese operazioni. TURLA preferisce operare nell'ombra, orchestrando attentamente i suoi attacchi per evitare la rilevazione e mantenere l'accesso a lungo termine ai sistemi compromessi.

L'arsenale del gruppo include strumenti di #malware avanzati, come #Snake, un'infrastruttura #C2 e operatori altamente qualificati. TURLA ha dimostrato la capacità di compromettere reti, esfiltrare dati sensibili e mantenere la persistenza all'interno degli ambienti target. Le sue operazioni coinvolgono spesso una rete complessa di macchine compromesse distribuite in diversi paesi, rendendo difficile l'attribuzione e gli sforzi di difesa.

L'adattabilità e la capacità di trovare risorse sono fattori chiave per la longevità di TURLA. Mentre le misure di sicurezza si evolvono e le vulnerabilità vengono corrette, il gruppo ha dimostrato costantemente la capacità di innovare e sviluppare nuove tecniche. Scoperte recenti hanno rivelato l'uso da parte di TURLA di vecchi framework di malware come #Andromeda, dimostrando la sua capacità di riutilizzare e sfruttare strumenti esistenti per raggiungere i suoi obiettivi.

Nonostante operazioni come l'operazione congiunta #Medusa del Dipartimento di Giustizia degli Stati Uniti abbiano inflitto colpi significativi alle attività di TURLA, è importante riconoscere che il gruppo rappresenta ancora una minaccia in corso.

Pillole
Visite: 6498

#BlackCat, conosciuto anche come #ALPHV, è un #ransomware proposto in modalità as a service (#RaaS) con un #payload scritto in #RUST.

Il gruppo dietro questo #malware proveniente dall’Europa dell’Est, non attacca i paesi del CIS, agenzie governative, operatori della sanità, eccetto cliniche private, e istituzioni appartenenti al settore educativo. Si dichiarano assolutamente apolitici e non si sono schierati nel conflitto Russia Ucraina.

Apparso per la prima volta a novembre 2021, è presto diventato uno dei ransomware più temuti avendo mietuto vittime in Australia, India, Stati uniti e, ahimè, Italia con richieste di riscatto che sono arrivate sino a 14 milioni di dollari da pagarsi in #Bitcoin o #Monero.

Come ogni RaaS che si rispetti, gli utilizzatori prima di sferrare un attacco possono configurarlo con oltre 20 parametri differenti che rivelano però delle similitudini con altri ransomware come #BlackMatter e #DarkSide, quest’ultimo noto per l’attacco a #ColonialPipeline.

In un'intervista con Dmitry Smilyanet di Recorded Future, un membro della banda ha affermato che il loro gruppo è strettamente legato a #GranCrab/#Revil, #BlackMatter/#DarkSide e #Maze/#Egregor e che ha tratto vantaggi da queste esperienze eliminandone i difetti e mantenendone i pregi.

Ha dichiarato che il loro ransomware è il migliore e non considera #Conti e #LockBit alla loro altezza. Nell'intervista, ha anche menzionato di fornire servizi avanzati per i loro affiliati che hanno raggiunto almeno $1.5 milioni in riscatti, tra cui outsourcing per la comunicazione con le vittime, affitto di botnet per attacchi DDoS, affitto di potenza computazionale per decifrare le chiavi hash e storage onion distribuito per agevolare le trattative.

Una caratteristica di questo servizio RaaS è che fornisce agli affilianti un# payout che arriva sino al 90% del riscatto, generalmente si arriva al 70%. In pratica l’affiliato, una volta ricevuto il riscatto ne intasca il 90%, il restante 10% va alla banda criminale.

I metodi per accedere alle infrastrutture delle vittime varia, a seconda del gruppo criminale che lo utilizza e può andare dallo sfruttamento di vulnerabilità di Exchange, all’utilizzo di credenziali rubate.

BlackCat inoltre utilizza anche il conosciutissimo #Emotet per penetrare le infrastrutture delle vittime. In quei casi impiega anche #CobaltStrike, come payload di secondo livello, per il lateral movement.

A gennaio è assurto agli onori della cronica per aver pubblicato dati esfiltrati dalle proprie vittime, oltre che nel dark web, anche su siti accessibili nel clear web, naturalmente al fine di mettere maggiore pressione, inducendo il malcapitato al pagamento del riscatto.

È interessante notare che Trend Micro riporta che nel periodo 1° dicembre 2021, 30 Settembre 2022 il podio dei paesi più colpiti vede in testa gli Stati Uniti, secondo classificato il Canada, e terzi a pari merito Italia e Gran Bretagna. Sicuramente un podio del quale non bisogna vantarsi.

Una vittima illustre italiana è stata GSE, il nostro gestore dei servizi energetici.

 

Pillole
Visite: 6199

#Stuxnet ha colpito il programma nucleare iraniano nel 2010, e da quella doccia fredda l'Iran si è svegliato iniziando a investire e migliorare le proprie capacità di guerra cibernetica. Nel 2011, gli attori delle minacce iraniane hanno iniziato a essere coinvolti nei primi attacchi sofisticati.
#MuddyWater, noto anche come #StaticKitten, #UNC3313 o #MERCURY, è un gruppo #APT sponsorizzato dallo Stato iraniano. Secondo l'#FBI e altre agenzie statunitensi e britanniche, opera come elemento subordinato del Ministero dell'#Intelligence e della Sicurezza iraniano (MOIS). Si ritiene che siano attivi dalla fine del 2017 e che siano in stretto contatto con il MOIS dal 2018.
È stato osservato che MuddyWater conduce attività dannose in Europa, Asia, Africa e Nord America. Tuttavia, il loro obiettivo principale è il Medio Oriente e nel 2022 ha colpito principalmente Turchia e Israele. Il loro obiettivo sono le organizzazioni sia private che governative.
Il gruppo conduce principalmente attività di spionaggio informatico e attacchi che prevedono furto di proprietà intellettuale (IP), ma in alcune occasioni ha diffuso #ransomware sugli obiettivi.

,

Pillole
Visite: 6564

#CozyBear, noto anche come #APT29, è un gruppo criminale legato all'intelligence russa. Il gruppo è attivo dal 2008 e si è specializzato in operazioni di #cyberspionaggio e #attacchi avanzati.
E' collegato con #FSB, il servizio di sicurezza federale russa, e #SVR, il servizio di #intelligence estero.
Questo gruppo è considerato una minaccia avanzata e persistente ed è responsabile di clamorosi attacchi come #Sunburst, nel 2020 quando è riscito a infettare il codice sorgente di #Orion, software di gestione della rete prodotto da #SolarWinds, nel più classico degli attacchi alla supply chain.
Questo clamoroso attacco ha compromesso circa 18.000 aziende tra le quali grandi pubbliche amministrazioni statunitensi come il Dipartimento del Tesoro, il Dipartimento della Sicurezza Interna e il Dipartimento di Energia.
Un altro attacco è stato eseguito tramite il #malware #OnionDuke, creato appositamente per infettare il traffico passante tramite i nodi #Tor.
Se sei interessato a saperne di più sulla sicurezza informatica segui il mio #podcast del giovedì Cybersecurity&Cybercrime su #Spotify

, ,

Pillole
Visite: 6191

#APT1 è un gruppo di #cyber-spionaggio attivo in Cina dal 2006, noto per aver compromesso oltre 140 organizzazioni in 20 settori strategici importanti, tra cui quattro delle sette industrie emergenti che la Cina ha identificato come critiche per il suo sviluppo. APT1 è stato identificato come parte del Terzo Dipartimento del Dipartimento Generale di Stato Maggiore (#GSD) dell'Esercito di Liberazione del Popolo (#PLA) cinese, e si ritiene che lavori per l'unità militare cinese nota come Unità PLA 61398, incaricata delle operazioni di rete informatica (#CNO).

Tra il 2006 e il 2013, APT1 ha rubato centinaia di terabyte di dati da almeno 141 organizzazioni, tra cui #LockheedMartin e #Telvent. Il gruppo utilizza tecniche sofisticate di evasione, come l'utilizzo di indirizzi IP rubati da altre organizzazioni per nascondere la loro posizione, e criptazione per rendere più difficile la rilevazione delle comunicazioni tra i loro sistemi e quelli della vittima. APT1 utilizza inoltre #spear-phishing e l'installazione di #backdoor per mantenere l'accesso alle reti delle vittime per lunghi periodi di tempo.

Tra i loro attacchi noti, APT1 ha rubato 6,5 terabyte di dati compressi da un'organizzazione singola per oltre dieci mesi. Nel 2011, il gruppo ha compromesso circa 17 nuove vittime che operavano in 10 diverse industrie. Nel corso di sette anni, APT1 ha rubato #segreti industriali e altre informazioni riservate da varie aziende straniere in settori come l'energia, l'ingegneria, la produzione, la spedizione, le armi, l'aeronautica, l'elettronica, il finanziario e il software.

Inoltre, APT1 è stato avvistato nel 2016 durante l'operazione #DustStorm, mirata alle infrastrutture critiche giapponesi, e nel 2018 in Operazione #Oceansalt, una campagna contro Corea, Stati Uniti e Canada. In quest'ultimo attacco, il gruppo ha preso di mira ampie categorie di proprietà intellettuale, tra cui tecnologia, piani aziendali, risultati dei test, documenti di prezzo e liste di contatti ed email di vittime di alto profilo.

 

, ,

Pillole
Visite: 6800

#FancyBear è il nome di un gruppo di #hacker considerato responsabile di una serie di #attacchi informatici contro obiettivi governativi, militari, di intelligence e di difesa in tutto il mondo. Si ritiene che il gruppo sia legato ai servizi di #intelligence militari russi ed è stato anche chiamato #APT28 o #SofacyGroup.

#FancyBear è attivo da oltre un decennio, dal 2007 circa, ed è noto per l'utilizzo di sofisticati strumenti di #hacking e di tecniche di #evasione per eludere le misure di sicurezza delle sue vittime. Inoltre, si ritiene che abbia utilizzato una serie di #vlnerabilità #zeroday per i suoi attacchi.

#FancyBear continua a svolgere attività di #hacking e spionaggio, ed è stato ritenuto responsabile di diversi attacchi negli ultimi anni, inclusi quelli contro il Comitato Olimpico Internazionale e l'Organizzazione per la Proibizione delle Armi Chimiche (#OPCW). Inoltre, si ritiene che il gruppo utilizzi anche le sue attività di #hacking come strumento per influenzare e manipolare l'opinione pubblica, ad esempio diffondendo false informazioni e notizie attraverso i #socialmedia.

#FancyBear utilizza spesso tecniche di #spearphishing e #malware per ottenere l'accesso ai sistemi informatici delle vittime. E' considerato uno dei gruppi #APT più pericolosi e sofisticati al mondo e continua ad essere una minaccia per molte organizzazioni governative e militari in tutto il mondo.

,

Pillole
Visite: 6302

Il Cybercriminals di questa settimane è il gruppo #hacker #Anonymous.

Qeusto gruppo si differenzia da tutti gli altri #cybercriminals per il fatto che non eseguono attacchi a fini di lucro o per fare #cyberspionaggio ma  è un gruppo di attivisti digitali che si definisce come un'entità decentralizzata senza leader o organizzazione formale. Il gruppo è noto per le sue azioni contro governi, organizzazioni e individui che considera responsabili di violazioni dei diritti umani, della libertà di espressione, della privacy e dell'oppressione.

Fondato intorno al 2003 come un forum online, #Anonymous è diventato più attivo politicamente nel 2008 organizzando proteste contro la Chiesa di #Scientology. Da allora, il gruppo ha attaccato una vasta gamma di obiettivi, tra cui organizzazioni governative, aziende, istituzioni finanziarie e organizzazioni religiose.

Anonymous utilizza spesso maschere di #GuyFawkes o altri mezzi per nascondere le proprie identità, e non esiste una gerarchia ufficiale. Il gruppo è noto per i suoi attacchi alla Chiesa di #Scientology, a #MasterCard, #Visa e #PayPal in risposta al blocco dei pagamenti a #WikiLeaks, e ai siti web del Dipartimento di Giustizia degli Stati Uniti e dell'#FBI. Anonymous ha anche preso posizione contro l'#ISIS e altri gruppi terroristici, lanciando l'operazione #OpParis in risposta agli attentati di Parigi del 2015 e l'operazione #OpGabon contro il governo del Gabon nel 2016.

Sebbene molti membri di Anonymous rimangano anonimi, alcuni sono stati identificati e processati per le loro attività. Nonostante ciò, il gruppo continua ad essere attivo e a portare avanti la sua missione attraverso l'uso della tecnologia. 

Sebbene gli obiettivi finali di questo gruppo siano comprensibili, talvolta anche condivisibili, i metodi utilizzati per manifestare il loro dissenso li porta a travalicare i confini di ciò che può essere considerato legale, facendoli diventare così dei #cybercriminals.

, ,

Pillole
Visite: 6950

#AndAriel  è un gruppo criminale che si rietene essere una unità del più famoso #LazarusGroup, che quindi si caratterizza per il targeting nei confronti della Corea del Sud. L'alternativo nome #SilentChollima è dovuto alla natura furtiva del sottogruppo. Qualsiasi organizzazione in Corea del Sud è vulnerabile ad #AndAriel. I bersagli includono il governo, la difesa e qualsiasi organizzazione a scopo di lucro.
Secondo un rapporto del 2020 dell'esercito degli Stati Uniti, #AndAriel conta circa 1.600 membri il cui compito è la ricognizione, la valutazione delle #vulnerabilità della rete e la mappatura della rete nemica per un potenziale attacco. Oltre alla Corea del Sud, il gruppo mira anche ad altri governi, infrastrutture e aziende. I vettori di attacco includono: #ActiveX, vulnerabilità nel software, attacchi #wateringHole, #spearPhishing, #antivirus e attacchi #supplyChain.

Tra i #malware utilizzati troviamo #Aryan, #Gh0stRAT, #Rifdoor, #Phandoor e #Andarat.
Come detto in precedenza #AndAriel è stato collegato al gruppo #Lazarus e al sottogruppo #Bluenoroff, che sono entrambi gruppi di hacker nordcoreani noti per le loro attività criminali. Tuttavia, mentre AndAriel è stato descritto come "logisticamente caratterizzato dal targeting della Corea del Sud", #Lazarus e #Bluenoroff hanno obiettivi finanziari più ampi. #Lazarus, in particolare, è stato collegato all'attacco informatico alla Sony Pictures nel 2014 e all'attacco #ransomware #WannaCry nel 2017. #Bluenoroff, invece, è stato collegato a una serie di attacchi informatici mirati al furto di denaro da istituti finanziari in tutto il mondo. Non ci sono state notizie di #AndAriel che si è impegnato in attività di questo tipo, anche se il gruppo sembra concentrarsi sull'ottenimento di informazioni sensibili piuttosto che sul guadagno finanziario.

, , , ,
  1. Cybercriminals: BlueNorOff
  2. Cybercriminals: Lazarus Group
  3. Cybercriminals: Kevin Mitnick
  4. Cybercriminals: Fancy Bear

Pagina 1 di 16

Per rimanere aggiornato iscriviti alla nostra newsletter

Cyber pillole più lette

Articoli più letti

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
  • Ethical Hacking
  • Red Teaming
  • Penetration Testing
  • Security Code Review
  • SOC 24x7
  • Formazione specialistica
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:00 - 13:00
14:00 - 18:00

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2025 Fata Informatica. Tutti i diritti riservati.