Un gruppo #hacker nordcoreano, identificato come #UNC2970, ha recentemente fatto uso di famiglie di #malware precedentemente non documentate come parte di una campagna di #spear-phishing che ha preso di mira organizzazioni di media e tecnologia negli Stati Uniti ed Europa. Questa è solo l'ultima di una serie di attacchi informatici da parte di attori statali che cercano di acquisire informazioni sensibili o di interrompere le operazioni delle loro vittime. In questo caso, gli obiettivi del gruppo sembrano essere stati le organizzazioni di media e tecnologia, con un focus specifico sui ricercatori di sicurezza.

Questo gruppo fa parte insieme a #Bluenoroff e #AndAdriel al famigerato gruppo #APT #Lazarus.

Secondo una recente analisi di #Mandiant, una società di intelligence delle minacce di proprietà di #Google, il cluster di minacce utilizzato dal gruppo condivide molteplici sovrapposizioni con un'operazione a lungo termine denominata "Dream Job". Questa operazione utilizza messaggi di posta elettronica per innescare la sequenza di infezione. In particolare UNC2970 sembra aver utilizzato #WhatsApp scaricare una #backdoor chiamata AIRDRY.V2 sotto il pretesto di condividere un test di valutazione delle competenze.

Mandiant ha anche scoperto che UNC2970 ha fatto uso di versioni trojanizzate di #TightVNC, chiamate #LIDSHIFT, per caricare un #payload di secondo livello denominato #LIDSHOT in grado di scaricare ed eseguire #shellcode da un server remoto. Per stabilire una presenza all'interno di ambienti compromessi, il gruppo utilizza una backdoor basata su C++ noto come #PLANKWALK che apre la strada alla distribuzione di ulteriori strumenti, tra cui #TOUCHSHIFT, #TOUCHSHOT, #TOUCHKEY, #HOOKSHOT, #TOUCHMOVE e #SIDESHOW.

Mandiant ha anche scoperto che il gruppo ha sfruttato #Microsoft #Intune, una soluzione di gestione degli endpoint, per rilasciare uno script #PowerShell personalizzato contenente un payload codificato in #Base64 denominato #CLOUDBURST, una backdoor basata su C che comunica tramite #HTTP. Inoltre, gli attaccanti hanno utilizzato la tecnica Bring Your Own Vulnerable Driver (#BYOVD) per implementare la loro campagna di attacco. 

Secondo gli esperti di Mandiant, gli strumenti malware utilizzati dal gruppo UNC2970 indicano uno sviluppo continuo di malware e la distribuzione di nuovi strumenti. "Sebbene il gruppo abbia precedentemente preso di mira le industrie della difesa, dei media e della tecnologia, il targeting dei ricercatori di sicurezza suggerisce un cambiamento di strategia o un'espansione delle sue operazioni". Gli attacchi contro i ricercatori di sicurezza sono particolarmente preoccupanti in quanto questi esperti sono spesso al centro della lotta contro il cybercrime e possono rappresentare un ostacolo significativo per gli attori statali che cercano di acquisire informazioni sensibili.

Per dimostrare le potenzialità e le capacità del #malware basato sull'AI, i ricercatori di HYAS labs hanno sviluppato un sistema di #attacco in cui il codice viene rigenerato dinamicamente durante l'esecuzione senza la necessità di un server #C2. Il processo ha portato alla creazione di una PoC chiamata #BlackMamba. Il malware può eludere qualsiasi sistema di rilevamento della sicurezza automatizzato senza sollevare alcuna bandiera rossa.

I ricercatori di #HYAS labs hanno sviluppato questo malware polimorfo sfruttando il Large Language Model (#LLM), la tecnologia che alimenta #ChatGPT. BlackMamba ha un #keylogger integrato progettato per raccogliere informazioni sensibili dai dispositivi bersaglio. Ciò include nomi utente, #password e numeri di carte di credito. Una volta raccolti, invia i dati a un canale malevolo su Microsoft Teams. Da lì, può essere trasmesso al #darkWeb o ad altre posizioni tramite i suoi canali crittografati sicuri eludendo i comuni #firewall e sistemi di rilevamento delle intrusioni.

Per sviluppare l'autonomo BlackMamba, i ricercatori hanno combinato due diversi concetti. Nel primo, un campione di malware è stato dotato di automazione intelligente in modo da non richiedere alcuna comunicazione C2. I dati rubati sono stati fatti arrivare a un server designato tramite un canale di comunicazione legittimo come Microsoft Teams. In secondo luogo, i ricercatori hanno utilizzato tecniche di generazione di codice AI (API di OpenAI) per sintetizzare nuovi codici malware dinamicamente ad ogni esecuzione, rendendo questo malware veramente polimorfo. Inoltre, utilizza il pacchetto #Python #open-source #Auto-py-to-exe, consentendo agli sviluppatori di convertire il codice in file eseguibili autonomi, con supporto per #Windows, #Linux e #macOS.

Il malware è stato testato contro un noto sistema #EDR e non ha provocato alcun allarme o rilevamento.

BlackMamba si rivela essere un'intera nuova categoria di malware, generando nuovo codice unico ogni volta utilizzando l'AI. Dimostra che gli LLM possono essere utilizzati per generare automaticamente codice malevolo, che è più efficace del codice generato dall'uomo e può ancora eludere qualsiasi soluzione di sicurezza predittiva. A questo punto, è fondamentale per le organizzazioni e i professionisti della sicurezza tenere il passo con le minacce in evoluzione e adottare e operazionalizzare misure di sicurezza all'avanguardia per rimanere protetti da tali minacce.

#Anonymous è un gruppo internazionale di attivisti digitali che si definisce come un'entità decentralizzata senza leader o organizzazione formale. Il gruppo è noto per le sue azioni contro governi, organizzazioni e individui che considera responsabili di violazioni dei diritti umani, della libertà di espressione, della privacy e dell'oppressione.

Il gruppo è stato fondato intorno al 2003, inizialmente come un #forum online dove gli utenti discutevano di argomenti come la #privacy, la sicurezza informatica e la libertà di parola. Nel 2008, #Anonymous è diventato più attivo politicamente, organizzando proteste contro la Chiesa di #Scientology. Da allora, il gruppo ha attaccato una vasta gamma di obiettivi, tra cui organizzazioni governative, aziende, istituzioni finanziarie e organizzazioni religiose.
Uno dei primi attacchi significativi del gruppo è stato il Progetto Chanology contro la Chiesa di #Scientology nel 2008. Il gruppo ha attaccato i siti web della Chiesa, ha inviato fax e ha organizzato proteste in tutto il mondo. Nel 2010, ha attaccato #MasterCard, #Visa e #PayPal in risposta al loro blocco dei pagamenti a #WikiLeaks. Il gruppo ha utilizzato attacchi#DDoS per rendere i siti web delle società inaccessibili.
#Anonymous ha anche preso di mira governi e istituzioni. Nel 2011, il gruppo ha attaccato il sito web del governo egiziano durante le proteste contro il regime di Hosni Mubarak. Ha inoltre attaccato il sito web della polizia di Oakland, in California, durante le proteste del movimento #Occupy. Nel 2012, il gruppo ha attaccato i siti web del Dipartimento di Giustizia degli Stati Uniti e dell'#FBI in risposta alla chiusura del sito di condivisione file #Megaupload.
#Anonymous è noto anche per aver preso posizione contro l'#ISIS e altri gruppi terroristici. Nel 2015, il gruppo ha lanciato l'operazione #OpParis in risposta agli attentati di Parigi, ha #hackerato siti web e account sui social media associati all'ISIS. Nel 2016, il gruppo ha lanciato l'operazione #OpGabon contro il governo del Gabon, in cui ha attaccato i siti web governativi in segno di protesta contro le elezioni presidenziali ritenute fraudolente.
Mentre il gruppo afferma di essere costituito da individui che condividono un'ideologia comune, molti membri di #Anonymous sono rimasti anonimi. Il gruppo utilizza spesso maschere di #GuyFawkes o altri mezzi per nascondere le proprie identità. Inoltre, non esiste una gerarchia ufficiale, con i membri che si uniscono e partecipano alle attività in modo volontario.

Nonostante ciò, alcuni membri di #Anonymous sono stati identificati e processati per le loro attività. Nel 2012, un uomo di 36 anni di nome Christopher #Weatherhead è stato condannato a 18 mesi di prigione per il suo ruolo nell'attacco contro la società di carte di credito #Visa in solidarietà con #WikiLeaks. Nel 2013, #Sabu, uno dei membri più noti di Anonymous, ha collaborato con l'FBI per identificare e arrestare altri membri del gruppo. Sabu si è poi scusato pubblicamente per le sue azioni e ha continuato a lavorare con le autorità per prevenire attacchi informatici futuri.
Nonostante queste battute d'arresto, #Anonymous continua a essere attivo e ha continuato ad effettuare attacchi contro diverse organizzazioni e governi in tutto il mondo. Uno dei suoi obiettivi più recenti è stato il Dipartimento di Polizia di Minneapolis dopo l'omicidio di #GeorgeFloyd. Anonymous ha pubblicato una serie di informazioni riservate sulla polizia e ha avvertito che se non fossero state prese misure, avrebbero pubblicato altre informazioni.
Gli obiettivi di Anonymous sono stati vari nel corso degli anni. Alcuni dei suoi obiettivi sono stati legati alla libertà di parola, alla protezione della privacy, all'opposizione alla corruzione e alla censura, alla promozione dei diritti umani e all'attivismo politico. Non tutti i membri di Anonymous sono d'accordo su tutti questi obiettivi, ma il gruppo rimane unito nel suo desiderio di portare avanti la sua missione attraverso l'uso della tecnologia.

#Lazarus è un noto gruppo criminale sponsorizzato dallo Stato nordcoreano, noto per il #spionaggioinformatico a istituti finanziari, agenzie governative e #cryptocurrency exchange. Il gruppo ha avuto un ruolo importante nell'attacco #WannaCry, uno dei più grandi attacchi #cyber della storia, che ha colpito i servizi sanitari britannici e organizzazioni in tutto il mondo.

Recentemente, i ricercatori di #ESET hanno scoperto due nuove aggiunte all'arsenale di #Lazarus: il loader #WSLINK e la backdoor #WINOR_DLL64. Queste nuove aggiunte dimostrano che il gruppo continua ad evolversi e adottare nuove #tecniche per evitare la rilevazione degli strumenti di sicurezza.

Il WSLINK loader è un loader a più fasi progettato per eludere la rilevazione e scaricare ed eseguire payload dannosi. Il loader utilizza tecniche di #steganografia per nascondere il payload all'interno di file immagine e utilizza una comunicazione crittografata con il server di comando e controllo per garantire la sicurezza della trasmissione dei dati.

La backdoor WINOR DLL64, invece, è progettata per fornire un accesso remoto al sistema compromesso. La backdoor utilizza la funzione LoadLibrary() di Windows per caricare una #DLL malevola all'interno del processo in esecuzione. Una volta caricata, la DLL si collega al server di comando e controllo di #Lazarus, consentendo agli attaccanti di eseguire comandi #Powershell sul sistema compromesso.

Ciò che rende #Lazarus un gruppo di hacker così pericoloso è la sua capacità di utilizzare le tecniche di #hacking più avanzate e sofisticate, che spesso superano le capacità degli strumenti di sicurezza informatica tradizionali.

La scoperta delle nuove aggiunte all'arsenale di #Lazarus è un forte promemoria del fatto che la #sicurezzainformatica deve essere una priorità per tutte le organizzazioni, indipendentemente dalle dimensioni o dal settore di appartenenza. La minaccia rappresentata da gruppi come #Lazarus è troppo grande per essere ignorata, e solo adottando un approccio di sicurezza informatica completo e integrato sarà possibile mitigare il rischio di attacchi informatici e proteggere le informazioni e i dati dell'organizzazione.

Lo smishing è una tecnica di phishing basata sull'invio di messaggi SMS fraudolenti. L'obiettivo degli hacker è quello di convincere le persone a fornire le proprie informazioni personali, come il numero di carta di credito, attraverso un link malevolo presente nel messaggio. 

Recentemente, è stato scoperto un nuovo tentativo di smishing che utilizza una falsa fattura doganale come esca. In questo caso, i malintenzionati cercano di ingannare le persone facendo loro credere che la fattura sia legata a un ordine online appena effettuato. 

Il messaggio è accompagnato da un link che, se cliccato, reindirizza la vittima a una pagina web simile a quella di un'azienda di corriere espresso. La pagina richiede poi di inserire le informazioni personali, inclusi i dati della carta di credito, per "sbloccare" la fattura e completare l'ordine. 

La falsa fattura doganale in questione è stata creata con un livello di realismo tale da far sembrare il messaggio completamente affidabile. Tuttavia, il link presente nel messaggio porta a una pagina web malevola, che ruba le informazioni personali degli utenti. 

Per evitare di cadere in queste trappole, è importante seguire alcune semplici precauzioni. Innanzitutto, bisogna sempre verificare attentamente l'autenticità di un messaggio prima di cliccare su qualsiasi link. Inoltre, è importante ricordare che le aziende affidabili non richiedono mai informazioni personali ai propri clienti tramite messaggi di testo. 

Se si riceve un messaggio sospetto, la cosa migliore da fare è ignorarlo e cancellarlo immediatamente. In caso di dubbio, è sempre meglio contattare direttamente l'azienda a cui il messaggio fa riferimento per avere maggiori informazioni. 

I ricercatori di sicurezza di Bleeping Computer hanno recentemente scoperto un nuovo strumento di post-exploitation che viene utilizzato sempre più frequentemente dagli hacker in attacchi mirati. Si tratta del "Havoc Framework", che semplifica le fasi di post-exploitation, ovvero le attività svolte dopo aver ottenuto l'accesso ad un sistema compromesso. 

Il framework consente di automatizzare molte operazioni che normalmente richiederebbero molto tempo e sforzo, come la raccolta di informazioni sul sistema, l'accesso remoto e il controllo dei dispositivi collegati. Attualmente, diversi gruppi di cybercriminali stanno utilizzando questo framework per effettuare attacchi ransomware, furto di dati sensibili e attacchi di tipo "credential stuffing". 

Havoc Framework è stato anche utilizzato in attacchi "watering hole", ovvero attacchi che mirano a compromettere siti web noti e frequentati dagli utenti. L'uso del framework rappresenta quindi un nuovo pericolo per la sicurezza informatica, in quanto consente di effettuare attacchi più rapidi e mirati, con un minor rischio di essere scoperti. 

Tuttavia, Havoc non è l'unico strumento di post-exploitation utilizzato dai criminali in questi tipi di attacchi. Un altro strumento molto popolare è Cobalt Strike, che consente di effettuare attacchi molto sofisticati e difficili da rilevare. 

Come sappiamo questa maledetta guerra si svolge non solo sul territorio fisico ma anche nel cyberspazio. 

Un recente bollettino da parte di #CERT-UA, il computer emergency and response team ucraino, ha affermato che un attacco di #phishing mirato alle agenzie governative ucraine è stato condotto da gruppi criminali che hanno cercato di installare il software di monitoraggio Remcos #RAT sui dispositivi delle vittime. 

La diffusa campagna di phishing è stata attribuita a un gruppo noto come #UAC-0050. CERT-UA considera che il fine ultimo dell'attacco sia lo spionaggio. 

Entrando nei dettagli, l'attacco di phishing inizia con e-mail che si presentano come Ukrtelecom, una compagnia telefonica ucraina, e includono un archivio decoy #RAR. L'archivio RAR contiene due file: un file RAR protetto da password di grandi dimensioni (oltre 600 MB) e un file di testo che contiene una password per accedere al file RAR. Il secondo archivio RAR include un eseguibile che installa Remcos RAT, dopo di che gli attaccanti guadagnano il controllo completo sui sistemi infettati. 

I ricercatori di Malwarebytes hanno recentemente scoperto una campagna di malvertising sugli annunci sponsorizzati di Google, che mira a compromettere i gestori di password degli utenti.  

Il malvertising è un attacco che consiste nella pubblicazione di annunci dannosi su siti web legittimi, annunci che possono essere utilizzati per diffondere malware o per ingannare gli utenti a fornire informazioni personali o finanziarie. 

I ricercatori hanno trovato annunci sponsorizzati di Google che contenevano collegamenti verso a un sito web compromesso, finalizzato al phishing: il sito si presentava con un'interfaccia di login per un popolare gestore di password, ma in realtà catturava le informazioni dell'utente e le inviava a un server remoto. 

La campagna ha utilizzato una tecnologia sofisticata per eludere i sistemi di sicurezza del browser e la protezione anti-malware, come, ad esempio, codice JavaScript per mascherare l'indirizzo del sito web compromesso e rendere più difficile la sua identificazione da parte dei sistemi di sicurezza. 

In un mondo sempre più connesso e digitalizzato, la sicurezza informatica è diventata una preoccupazione chiave per molte aziende. Con la crescente quantità di dati e di dispositivi, le minacce informatiche sono diventate sempre più sofisticate e difficili da individuare e gestire. Per far fronte a queste sfide, le aziende stanno adottando soluzioni avanzate di sicurezza, come Endpoint Detection and Response (EDR), Extended Detection and Response (XDR), Security Information and Event Management (SIEM) e Security Orchestration, Automation and Response (SOAR). In questo articolo, esploreremo come queste soluzioni lavorano insieme per fornire una protezione completa contro le minacce informatiche e come possono aiutare le aziende a prevenire, rilevare e rispondere agli incidenti di sicurezza. 

Ccerchiamo di capire cosa siano queste soluzioni avanzate. 

Un EDR (Endpoint Detection and Response) è una soluzione di sicurezza che consente di proteggere da minacce informatiche i dispositivi endpoint: questi sono i nostri computer e i nostri dispositivi mobili. Un EDR monitora costantemente tali dispositivi per rilevare e investigare eventuali attività sospette, consentendo agli amministratori di sistema di identificare e rispondere rapidamente alle minacce. 

Un EDR raccoglie differenti dati dagli endpoint (log di sicurezza, eventi di rete e informazioni sulle minacce) utilizzando tecnologie come il rilevamento del comportamento anomalo, l'intelligenza artificiale e l'apprendimento automatico.

Il panorama delle minacce è sempre più interessato a soluzioni Open Source per risolvere le fasi di exploitation, C2 e post-exploitation. Sono fasi critiche e complesse, che consumano molte risorse per la loro costruzione e mantenimento, umane ed economiche. Le soluzioni più o meno commerciali o più o meno “legali” (come Metasploit e Cobalt Strike, ufficialmente venduti per realizzare “simulazioni di attacco”) hanno fatto e fanno il loro dovere per molti agenti di minaccia al pari degli ethical hacker che intendono invece “realmente simulare”. 

L’emergere di pacchetti software Open Source efficaci abbatte notevolmente questo consumo di risorse, e diviene un osservato speciale, anzi, una vera e propria miniera d’oro per gli agenti di minaccia. 

Differenti analisti (tra cui l’azienda di sicurezza informatica Cybereason di Boston, con sedi anche a Londra, Tokyo e Tel Aviv, e la più nota Qualys) stanno tenendo sotto controllo questo fenomeno. 

In particolare l’attenzione si sta focalizzando su due particolari framework Open Source, dedicati proprio alle fasi di cui sopra: Empire e Sliver.