Negli ultimi anni, il panorama delle minacce informatiche è diventato sempre più sofisticato, con attacchi mirati e avanzate tecniche di intrusione. Per far fronte a queste sfide, le organizzazioni devono adottare misure di sicurezza innovative e proattive. Una di queste misure è l'uso di "honey tokens", trappole digitali progettate per attirare e identificare gli #aggressori. In questo articolo, esploreremo il concetto di #honeyTokens, come funzionano e perché sono importanti per migliorare la sicurezza delle informazioni.

Cos'è un Honey Token?
Un honey token è un tipo di #honeypot, una trappola per la sicurezza utilizzata per rilevare e prevenire attacchi informatici. Mentre gli honeypot tradizionali sono sistemi o risorse fittizie create per attirare gli #hacker, Gli honey tokens sono dati falsi o credenziali introdotti deliberatamente in un sistema per ingannare gli aggressori. Gli honey tokens possono includere nomi utente e #password fasulli, indirizzi email, numeri di carta di credito o documenti falsi contenenti informazioni sensibili.

Come funzionano Gli honey Tokens?
L'obiettivo principale è quello di rilevare tentativi di accesso non autorizzato o violazioni della sicurezza. Quando un aggressore tenta di utilizzare un honey token per accedere a un sistema o a dati sensibili, l'organizzazione viene allertata dell'attività sospetta. Poiché gli honey tokens non hanno alcuna funzione legittima all'interno del sistema, qualsiasi tentativo di utilizzarli indica un'azione malevola.

Gli honey tokens possono essere monitorati attraverso sistemi di rilevamento delle intrusioni (#IDS/IPS) e altre soluzioni di #sicurezza. Quando viene rilevato un tentativo di utilizzo, gli amministratori di sistema possono analizzare le informazioni sull'attività sospetta, come l'indirizzo #IP dell'#aggressore, il tempo e la natura del tentativo di accesso, per identificare e bloccare ulteriori #attacchi.

Perché Gli honey Tokens sono importanti?
Gli honey tokens offrono diversi vantaggi per migliorare la sicurezza:

• Rilevamento proattivo degli attacchi: in quanto aiutano le organizzazioni a identificare tentativi di intrusione in tempo reale, consentendo loro di agire rapidamente per bloccare gli aggressori e proteggere le risorse critiche.
• Raccolta di informazioni sugli attacchi: Il loro uso può fornire informazioni preziose sugli attacchi e sulle tattiche utilizzate dagli aggressori, consentendo alle organizzazioni di migliorare le loro strategie di difesa e di adattare le misure di sicurezza per affrontare le minacce emergenti. Analizzando le tracce lasciate dagli attacchi, i team di sicurezza possono comprendere meglio i metodi e le tecniche impiegati dagli hacker e sviluppare contromisure più efficaci.
• Miglioramento delle politiche e delle procedure di sicurezza: La raccolta di informazioni sugli attacchi può aiutare le organizzazioni a perfezionare le loro politiche e procedure di sicurezza, identificando eventuali lacune o vulnerabilità che possono essere sfruttate dagli aggressori. Inoltre, l'analisi dei tentativi di intrusione può evidenziare aree in cui la formazione degli utenti o le pratiche di gestione delle credenziali devono essere migliorate.
• Riduzione del rumore e dei falsi positivi: Poiché Gli honey tokens sono progettati per attirare specificamente gli aggressori, il loro utilizzo può ridurre il rumore e i falsi positivi nei sistemi di rilevamento delle intrusioni. Ciò consente ai team di sicurezza di concentrarsi sulle minacce reali e di rispondere più rapidamente e in modo più efficace agli attacchi.

Questi tokens possono assumere diverse forme e tipi, a seconda delle esigenze dell'organizzazione e degli obiettivi di sicurezza. Ecco alcuni esempi:

• Credenziali fasulle: Questi #tokens includono nomi utente e password fasulli o inutilizzati, che possono essere inseriti in #database, file di configurazione o applicazioni. Se un aggressore tenta di utilizzare queste credenziali per accedere a un sistema, l'organizzazione viene allertata dell'attività sospetta.
• Documenti trappola: Questi sono file o documenti contenenti informazioni false o apparentemente sensibili, come elenchi di clienti, piani aziendali o progetti di ricerca e sviluppo. Possono essere archiviati in posizioni accessibili agli utenti o in sistemi di archiviazione remota per attirare gli aggressori che cercano di rubare informazioni preziose.
• Indirizzi email trappola: Gli indirizzi #email fasulli o inutilizzati possono essere inseriti nei database aziendali o nelle liste di contatti per attirare gli spammer o gli attacchi di phishing. Se un aggressore invia un'email a uno di questi indirizzi, l'organizzazione può rilevare l'attività sospetta e indagare sulla fonte dell'attacco.
• URL o domini trappola: Gli #URL o i #domini fasulli possono essere creati per attirare gli aggressori che cercano di compromettere siti #web o applicazioni. Questi URL o domini possono essere monitorati per rilevare tentativi di accesso non autorizzato o attività di scansione.
• Token API: Token #API fasulli o inutilizzati possono essere inseriti in applicazioni o servizi web per rilevare tentativi di accesso non autorizzato alle API. Se un aggressore tenta di utilizzare un token API fasullo, l'organizzazione può rilevare l'attività sospetta e bloccare l'accesso.
• Database trappola: Questi sono #database falsi o inutilizzati che contengono dati fasulli o apparentemente sensibili. Gli aggressori che cercano di accedere a queste risorse possono essere identificati e bloccati.
• Sistemi o servizi trappola: Alcune organizzazioni creano sistemi o servizi fasulli all'interno della loro infrastruttura per attirare gli aggressori. Questi sistemi o servizi possono essere monitorati per rilevare attività sospette e identificare gli aggressori.

Ogni tipo di honey token può essere adattato alle esigenze specifiche dell'organizzazione e alla sua strategia di sicurezza. Integrandone diversi tipi, le organizzazioni possono creare un ambiente di sicurezza più robusto e resiliente alle minacce informatiche.
Questi rappresentano una strategia di sicurezza proattiva che consente alle organizzazioni di rilevare e prevenire attacchi informatici, dissuadendo gli aggressori e fornendo informazioni preziose per migliorare le difese. Integrando l'uso di honey tokens nelle loro architetture di sicurezza, le organizzazioni possono aumentare la loro resilienza alle minacce informatiche e proteggere meglio le risorse critiche.

I criminali del gruppo nordcoreano #Lazarus sono stati identificati come responsabili dell'attacco alla #supplyChain #3CX, un client desktop di chiamate vocali e video utilizzato da importanti multinazionali come #Toyota, #MercedesBenz, #CocaCola, #McDonalds e il #ServizioSanitarioNazionale britannico.

La #vulnerabilità è stata rintracciata in un file di libreria software vulnerabile di #Electron, un framework open-source per le interfacce utente. I criminali si sono impegnati per assicurarsi che la versione Trojan di #3CX funzioni normalmente. Hanno iniettato il codice maligno nel ramo #Electron del codice sorgente, anziché tentare di modificare il codice proprietario di #3CX, ha scritto l'analista di #Sophos Paul Ducklin.

Il gruppo #Lazarus è noto per aver effettuato una serie di attacchi di alto profilo, tra cui l'hack di #SonyPictures del 2014 e gli attacchi ransomware #WannaCry del 2017. Le agenzie governative degli Stati Uniti, tra cui l'#FBI, hanno emesso regolari avvertimenti sugli #hacker sponsorizzati dalla Corea del Nord e hanno pubblicato dati su quasi 30 varianti di malware associati a gruppi di #hacker sospettati di lavorare con il regime.

La società con sede in Florida #3CX ha detto di essere "affidabile per 600.000+ aziende" che hanno fino a 12 milioni di utenti giornalieri. La società ha assunto la società di sicurezza informatica #Mandiant, una controllata di #Google, per indagare sull'incidente.

La scoperta del gruppo #Lazarus è stata effettuata durante un'analisi degli strumenti utilizzati nell'attacco, secondo la società di sicurezza informatica #Volexity, insieme a #Sophos, #CrowdStrike e altri. #Sophos ha affermato che il codice usato nell'attacco era già stato visto in precedenza in incidenti attribuiti al gruppo #Lazarus. #Volexity ha individuato pubblicazioni di forum pubblici sul sito web di #3CX che affermavano che vari fornitori di rilevamento e risposta degli endpoint e antivirus avevano iniziato a segnalare l'attività maligna dagli aggiornamenti del software il 22 marzo 2023.

Molti utenti del forum di #3CX hanno commentato problemi simili. Un utente di nome skuers ha chiesto a #3CX di affrontare il problema. Un membro del team di supporto di #3CX ha risposto dicendo che ci sono centinaia se non migliaia di soluzioni AV là fuori, e non possono sempre raggiungerle ogni volta che si verifica un evento. #3CX utilizza il framework #Electron per la sua app e ha ipotizzato che alcuni fornitori possano bloccare alcune delle sue funzionalità.

Il software di rilevamento delle minacce #SentinelOne ha avvertito della rilevazione di esempi di sfruttamento del software, come il framework di penetrazione o #shellcode, evasione, comando indiretto e iniezione di codice. Diversi utenti del forum di #3CX hanno riferito di aver ricevuto allerte minacce da #SentinelOne per l'aggiornamento del desktop avviato dal client desktop.

Dall'inizio di quest'anno, i cybercriminali hanno preso di mira le vulnerabilità di #Cacti e #Realtek sui server #Windows e #Linux che possono essere sfruttati. In due attacchi diversi, gli attori minacciosi hanno infettato le vittime con i #malware #ShellBot (aka #PerlBot) e #Moobot. Le tecniche di attacco sovrapposte indicano che gli stessi attaccanti sono dietro entrambi gli attacchi.

Secondo i ricercatori di #Fortinet, #Moobot, una variante di #Mirai, mira a una vulnerabilità di iniezione di comando arbitraria (#CVE-2021-35394) in #Realtek Jungle SDK e una vulnerabilità di iniezione di comando (#CVE-2022-46169) in #Cacti. Gli attaccanti assumono il controllo dei sistemi vulnerabili per scaricare uno script contenente la configurazione del malware e stabilire una connessione con il server #C2. #Moobot comunica continuamente con il server #C2 e, successivamente, avvia l'attacco. L'ultima variante di #Moobot cerca altri bot noti e ne interrompe i processi per raccogliere la massima potenza hardware dell'host infetto e lanciare attacchi #DDoS.

Per quanto riguarda #ShellBot, gli attaccanti hanno mirato principalmente alla vulnerabilità di #Cacti per distribuire le tre nuove varianti del malware: #PowerBots (C) #GohacK, #LiGhTsModdedperlbotv2 e #B0tchZ 0.2a. La prima variante stabilisce una connessione con i server #C2 e attende i comandi per eseguire attività dannose. La seconda variante presenta un insieme molto più ampio di comandi e include numerosi tipi di attacchi di flooding, un modulo di miglioramento dell'exploit e funzioni di hacking. È diventato attivo questo mese e ha già accumulato centinaia di vittime. La terza variante contiene una configurazione con più comandi per eseguire attività dannose e mirare a server #Cacti vulnerabili.

Oltre a #ShellBot e #Moobot, diversi altri attaccanti hanno sfruttato gli stessi bug, tra cui #Fodcha, #Gafgyt, #Mozi e #RedGoBot. Mentre i fornitori interessati hanno rilasciato immediatamente aggiornamenti software per risolvere il problema, molte organizzazioni

C'è un nuovo allarme riguardante alcuni video presenti su #YouTube che potrebbero mettere a rischio i nostri dispositivi. I #cybercriminali utilizzano sempre più spesso questa piattaforma di broadcasting video per diffondere #malware. Gli esperti di #CloudSEK hanno identificato una nuova #truffa che consiste in video che sembrano essere dei tutorial, ma che in realtà contengono #link a presunti crack in grado di installare malware #infostealer sui computer degli utenti. Questi malware sono in grado di rubare dati come #password, #cookie, numeri di carte di credito, indirizzi IP, #cryptoWallet e altre informazioni sensibili.

L'inganno sta proprio nei #link presenti nella descrizione dei video, che non sono immediatamente identificabili come dannosi. Gli #hacker utilizzano #URLshortener o #filehosting per nascondere la truffa, e spesso inseriscono dei commenti falsi sotto al video per rendere il tutto più credibile. Questi video vengono creati con l'ausilio di #intelligenzaartificiale, per evitare di destare sospetti. Gli hacker riescono a pubblicarli violando profili già esistenti sulla piattaforma, e utilizzano varie #ottimizzazioni #SEO per farli apparire tra i video più popolari.

La #truffa è in aumento, e i video contenenti link a malware #info-stealer come #Vidar, #RedLine e #Raccoon sono aumentati del 200-300% nell'ultimo mese. Questo tipo di minacce possono essere bloccate con una soluzione di #sicurezze informatica aggiornata. Tuttavia, è importante fare attenzione anche quando si guarda un video su #YouTube, e non aprire link sospetti o di cui non si è certi dell'affidabilità.

#OnionDuke, un #malware rilevato per la prima volta dal #LeviathanSecurityGroup, è stato distribuito attraverso un nodo di uscita di #Tor con sede in #Russia che ha iniettato il malware nei file scaricati dagli utenti. Avvolgendo i file eseguibili legittimi con il malware, gli aggressori erano in grado di eludere i meccanismi di controllo dell'integrità e infettare i sistemi degli utenti.

Il gruppo #APT che ha sviluppato OnionDuke è conosciuto come #APT29, che è anche noto con i nomi #CozyBear o #TheDukes. Questo gruppo di cyber spionaggio è stato collegato a numerosi attacchi mirati e sofisticati, principalmente contro organizzazioni governative e altre istituzioni di alto profilo. Si ritiene che APT29 abbia legami con la Russia, sebbene l'attribuzione definitiva possa essere difficile da stabilire con certezza assoluta.

Sebbene la famiglia di malware #OnionDuke sia stata scoperta per la prima volta nel 2014, si ritiene che sia molto più vecchia. Le analisi dei campioni di OnionDuke hanno rivelato che alcuni dei binari più vecchi risalgono al 5 e al 15 luglio 2013. Questo suggerisce che i campioni analizzati sono in realtà la versione 4 del malware, e le versioni precedenti non sono state ancora identificate.

Anche se OnionDuke è una famiglia di malware distinta da #MiniDuke, anch'essa associata a campagne #APT contro organizzazioni governative, i ricercatori hanno scoperto che le due minacce sono collegate attraverso la loro infrastruttura di comando e controllo (#C&C). Alcuni dei domini C&C utilizzati da MiniDuke e OnionDuke sono stati registrati più o meno nello stesso periodo da un individuo che utilizza l'alias #JohnKasai.

Nelle campagne monitorate, il nodo di uscita #Tor dannoso è stato utilizzato per distribuire il #dropper OnionDuke, che contiene una risorsa #PE mascherata come file immagine #GIF. In realtà, si tratta di un file #DLL che viene decrittografato, scritto sul disco ed eseguito. Questo file DLL decifra il file di configurazione incorporato e tenta di connettersi ai domini C&C hardcoded specificati in esso.

Un altro componente di #OnionDuke è la variante Backdoor:W32/OnionDuke.A, che contiene diversi domini C&C hardcoded e stabilisce una connessione con #MiniDuke. Gli esperti ritengono che questa variante possa anche abusare di #Twitter come canale C&C aggiuntivo.

Secondo la società di sicurezza F-Secure, OnionDuke è stato utilizzato in attacchi mirati contro agenzie governative in Europa. Tuttavia, i ricercatori non sono riusciti a determinare il vettore di distribuzione utilizzato in questi attacchi specifici.

Un gruppo #hacker nordcoreano, identificato come #UNC2970, ha recentemente fatto uso di famiglie di #malware precedentemente non documentate come parte di una campagna di #spear-phishing che ha preso di mira organizzazioni di media e tecnologia negli Stati Uniti ed Europa. Questa è solo l'ultima di una serie di attacchi informatici da parte di attori statali che cercano di acquisire informazioni sensibili o di interrompere le operazioni delle loro vittime. In questo caso, gli obiettivi del gruppo sembrano essere stati le organizzazioni di media e tecnologia, con un focus specifico sui ricercatori di sicurezza.

Questo gruppo fa parte insieme a #Bluenoroff e #AndAdriel al famigerato gruppo #APT #Lazarus.

Secondo una recente analisi di #Mandiant, una società di intelligence delle minacce di proprietà di #Google, il cluster di minacce utilizzato dal gruppo condivide molteplici sovrapposizioni con un'operazione a lungo termine denominata "Dream Job". Questa operazione utilizza messaggi di posta elettronica per innescare la sequenza di infezione. In particolare UNC2970 sembra aver utilizzato #WhatsApp scaricare una #backdoor chiamata AIRDRY.V2 sotto il pretesto di condividere un test di valutazione delle competenze.

Mandiant ha anche scoperto che UNC2970 ha fatto uso di versioni trojanizzate di #TightVNC, chiamate #LIDSHIFT, per caricare un #payload di secondo livello denominato #LIDSHOT in grado di scaricare ed eseguire #shellcode da un server remoto. Per stabilire una presenza all'interno di ambienti compromessi, il gruppo utilizza una backdoor basata su C++ noto come #PLANKWALK che apre la strada alla distribuzione di ulteriori strumenti, tra cui #TOUCHSHIFT, #TOUCHSHOT, #TOUCHKEY, #HOOKSHOT, #TOUCHMOVE e #SIDESHOW.

Mandiant ha anche scoperto che il gruppo ha sfruttato #Microsoft #Intune, una soluzione di gestione degli endpoint, per rilasciare uno script #PowerShell personalizzato contenente un payload codificato in #Base64 denominato #CLOUDBURST, una backdoor basata su C che comunica tramite #HTTP. Inoltre, gli attaccanti hanno utilizzato la tecnica Bring Your Own Vulnerable Driver (#BYOVD) per implementare la loro campagna di attacco. 

Secondo gli esperti di Mandiant, gli strumenti malware utilizzati dal gruppo UNC2970 indicano uno sviluppo continuo di malware e la distribuzione di nuovi strumenti. "Sebbene il gruppo abbia precedentemente preso di mira le industrie della difesa, dei media e della tecnologia, il targeting dei ricercatori di sicurezza suggerisce un cambiamento di strategia o un'espansione delle sue operazioni". Gli attacchi contro i ricercatori di sicurezza sono particolarmente preoccupanti in quanto questi esperti sono spesso al centro della lotta contro il cybercrime e possono rappresentare un ostacolo significativo per gli attori statali che cercano di acquisire informazioni sensibili.

Per dimostrare le potenzialità e le capacità del #malware basato sull'AI, i ricercatori di HYAS labs hanno sviluppato un sistema di #attacco in cui il codice viene rigenerato dinamicamente durante l'esecuzione senza la necessità di un server #C2. Il processo ha portato alla creazione di una PoC chiamata #BlackMamba. Il malware può eludere qualsiasi sistema di rilevamento della sicurezza automatizzato senza sollevare alcuna bandiera rossa.

I ricercatori di #HYAS labs hanno sviluppato questo malware polimorfo sfruttando il Large Language Model (#LLM), la tecnologia che alimenta #ChatGPT. BlackMamba ha un #keylogger integrato progettato per raccogliere informazioni sensibili dai dispositivi bersaglio. Ciò include nomi utente, #password e numeri di carte di credito. Una volta raccolti, invia i dati a un canale malevolo su Microsoft Teams. Da lì, può essere trasmesso al #darkWeb o ad altre posizioni tramite i suoi canali crittografati sicuri eludendo i comuni #firewall e sistemi di rilevamento delle intrusioni.

Per sviluppare l'autonomo BlackMamba, i ricercatori hanno combinato due diversi concetti. Nel primo, un campione di malware è stato dotato di automazione intelligente in modo da non richiedere alcuna comunicazione C2. I dati rubati sono stati fatti arrivare a un server designato tramite un canale di comunicazione legittimo come Microsoft Teams. In secondo luogo, i ricercatori hanno utilizzato tecniche di generazione di codice AI (API di OpenAI) per sintetizzare nuovi codici malware dinamicamente ad ogni esecuzione, rendendo questo malware veramente polimorfo. Inoltre, utilizza il pacchetto #Python #open-source #Auto-py-to-exe, consentendo agli sviluppatori di convertire il codice in file eseguibili autonomi, con supporto per #Windows, #Linux e #macOS.

Il malware è stato testato contro un noto sistema #EDR e non ha provocato alcun allarme o rilevamento.

BlackMamba si rivela essere un'intera nuova categoria di malware, generando nuovo codice unico ogni volta utilizzando l'AI. Dimostra che gli LLM possono essere utilizzati per generare automaticamente codice malevolo, che è più efficace del codice generato dall'uomo e può ancora eludere qualsiasi soluzione di sicurezza predittiva. A questo punto, è fondamentale per le organizzazioni e i professionisti della sicurezza tenere il passo con le minacce in evoluzione e adottare e operazionalizzare misure di sicurezza all'avanguardia per rimanere protetti da tali minacce.

#Anonymous è un gruppo internazionale di attivisti digitali che si definisce come un'entità decentralizzata senza leader o organizzazione formale. Il gruppo è noto per le sue azioni contro governi, organizzazioni e individui che considera responsabili di violazioni dei diritti umani, della libertà di espressione, della privacy e dell'oppressione.

Il gruppo è stato fondato intorno al 2003, inizialmente come un #forum online dove gli utenti discutevano di argomenti come la #privacy, la sicurezza informatica e la libertà di parola. Nel 2008, #Anonymous è diventato più attivo politicamente, organizzando proteste contro la Chiesa di #Scientology. Da allora, il gruppo ha attaccato una vasta gamma di obiettivi, tra cui organizzazioni governative, aziende, istituzioni finanziarie e organizzazioni religiose.
Uno dei primi attacchi significativi del gruppo è stato il Progetto Chanology contro la Chiesa di #Scientology nel 2008. Il gruppo ha attaccato i siti web della Chiesa, ha inviato fax e ha organizzato proteste in tutto il mondo. Nel 2010, ha attaccato #MasterCard, #Visa e #PayPal in risposta al loro blocco dei pagamenti a #WikiLeaks. Il gruppo ha utilizzato attacchi#DDoS per rendere i siti web delle società inaccessibili.
#Anonymous ha anche preso di mira governi e istituzioni. Nel 2011, il gruppo ha attaccato il sito web del governo egiziano durante le proteste contro il regime di Hosni Mubarak. Ha inoltre attaccato il sito web della polizia di Oakland, in California, durante le proteste del movimento #Occupy. Nel 2012, il gruppo ha attaccato i siti web del Dipartimento di Giustizia degli Stati Uniti e dell'#FBI in risposta alla chiusura del sito di condivisione file #Megaupload.
#Anonymous è noto anche per aver preso posizione contro l'#ISIS e altri gruppi terroristici. Nel 2015, il gruppo ha lanciato l'operazione #OpParis in risposta agli attentati di Parigi, ha #hackerato siti web e account sui social media associati all'ISIS. Nel 2016, il gruppo ha lanciato l'operazione #OpGabon contro il governo del Gabon, in cui ha attaccato i siti web governativi in segno di protesta contro le elezioni presidenziali ritenute fraudolente.
Mentre il gruppo afferma di essere costituito da individui che condividono un'ideologia comune, molti membri di #Anonymous sono rimasti anonimi. Il gruppo utilizza spesso maschere di #GuyFawkes o altri mezzi per nascondere le proprie identità. Inoltre, non esiste una gerarchia ufficiale, con i membri che si uniscono e partecipano alle attività in modo volontario.

Nonostante ciò, alcuni membri di #Anonymous sono stati identificati e processati per le loro attività. Nel 2012, un uomo di 36 anni di nome Christopher #Weatherhead è stato condannato a 18 mesi di prigione per il suo ruolo nell'attacco contro la società di carte di credito #Visa in solidarietà con #WikiLeaks. Nel 2013, #Sabu, uno dei membri più noti di Anonymous, ha collaborato con l'FBI per identificare e arrestare altri membri del gruppo. Sabu si è poi scusato pubblicamente per le sue azioni e ha continuato a lavorare con le autorità per prevenire attacchi informatici futuri.
Nonostante queste battute d'arresto, #Anonymous continua a essere attivo e ha continuato ad effettuare attacchi contro diverse organizzazioni e governi in tutto il mondo. Uno dei suoi obiettivi più recenti è stato il Dipartimento di Polizia di Minneapolis dopo l'omicidio di #GeorgeFloyd. Anonymous ha pubblicato una serie di informazioni riservate sulla polizia e ha avvertito che se non fossero state prese misure, avrebbero pubblicato altre informazioni.
Gli obiettivi di Anonymous sono stati vari nel corso degli anni. Alcuni dei suoi obiettivi sono stati legati alla libertà di parola, alla protezione della privacy, all'opposizione alla corruzione e alla censura, alla promozione dei diritti umani e all'attivismo politico. Non tutti i membri di Anonymous sono d'accordo su tutti questi obiettivi, ma il gruppo rimane unito nel suo desiderio di portare avanti la sua missione attraverso l'uso della tecnologia.

#Lazarus è un noto gruppo criminale sponsorizzato dallo Stato nordcoreano, noto per il #spionaggioinformatico a istituti finanziari, agenzie governative e #cryptocurrency exchange. Il gruppo ha avuto un ruolo importante nell'attacco #WannaCry, uno dei più grandi attacchi #cyber della storia, che ha colpito i servizi sanitari britannici e organizzazioni in tutto il mondo.

Recentemente, i ricercatori di #ESET hanno scoperto due nuove aggiunte all'arsenale di #Lazarus: il loader #WSLINK e la backdoor #WINOR_DLL64. Queste nuove aggiunte dimostrano che il gruppo continua ad evolversi e adottare nuove #tecniche per evitare la rilevazione degli strumenti di sicurezza.

Il WSLINK loader è un loader a più fasi progettato per eludere la rilevazione e scaricare ed eseguire payload dannosi. Il loader utilizza tecniche di #steganografia per nascondere il payload all'interno di file immagine e utilizza una comunicazione crittografata con il server di comando e controllo per garantire la sicurezza della trasmissione dei dati.

La backdoor WINOR DLL64, invece, è progettata per fornire un accesso remoto al sistema compromesso. La backdoor utilizza la funzione LoadLibrary() di Windows per caricare una #DLL malevola all'interno del processo in esecuzione. Una volta caricata, la DLL si collega al server di comando e controllo di #Lazarus, consentendo agli attaccanti di eseguire comandi #Powershell sul sistema compromesso.

Ciò che rende #Lazarus un gruppo di hacker così pericoloso è la sua capacità di utilizzare le tecniche di #hacking più avanzate e sofisticate, che spesso superano le capacità degli strumenti di sicurezza informatica tradizionali.

La scoperta delle nuove aggiunte all'arsenale di #Lazarus è un forte promemoria del fatto che la #sicurezzainformatica deve essere una priorità per tutte le organizzazioni, indipendentemente dalle dimensioni o dal settore di appartenenza. La minaccia rappresentata da gruppi come #Lazarus è troppo grande per essere ignorata, e solo adottando un approccio di sicurezza informatica completo e integrato sarà possibile mitigare il rischio di attacchi informatici e proteggere le informazioni e i dati dell'organizzazione.

Lo smishing è una tecnica di phishing basata sull'invio di messaggi SMS fraudolenti. L'obiettivo degli hacker è quello di convincere le persone a fornire le proprie informazioni personali, come il numero di carta di credito, attraverso un link malevolo presente nel messaggio. 

Recentemente, è stato scoperto un nuovo tentativo di smishing che utilizza una falsa fattura doganale come esca. In questo caso, i malintenzionati cercano di ingannare le persone facendo loro credere che la fattura sia legata a un ordine online appena effettuato. 

Il messaggio è accompagnato da un link che, se cliccato, reindirizza la vittima a una pagina web simile a quella di un'azienda di corriere espresso. La pagina richiede poi di inserire le informazioni personali, inclusi i dati della carta di credito, per "sbloccare" la fattura e completare l'ordine. 

La falsa fattura doganale in questione è stata creata con un livello di realismo tale da far sembrare il messaggio completamente affidabile. Tuttavia, il link presente nel messaggio porta a una pagina web malevola, che ruba le informazioni personali degli utenti. 

Per evitare di cadere in queste trappole, è importante seguire alcune semplici precauzioni. Innanzitutto, bisogna sempre verificare attentamente l'autenticità di un messaggio prima di cliccare su qualsiasi link. Inoltre, è importante ricordare che le aziende affidabili non richiedono mai informazioni personali ai propri clienti tramite messaggi di testo. 

Se si riceve un messaggio sospetto, la cosa migliore da fare è ignorarlo e cancellarlo immediatamente. In caso di dubbio, è sempre meglio contattare direttamente l'azienda a cui il messaggio fa riferimento per avere maggiori informazioni.