Connect with us

News

Il gruppo hacker GALLIUM attacca le reti di telecomunicazione

Redazione

Pubblicato

il

Microsoft ha emesso un avviso in merito ai nuovi gruppi chiamati GALLIUM che attaccano i fornitori di telecomunicazioni sfruttando le vulnerabilità dei servizi di Internet in WildFly / JBoss.

Inizialmente, gli aggressori utilizzano exploit disponibili pubblicamente per attaccare i servizi di Internet per ottenere l’accesso nella rete di target, in seguito utilizza gli strumenti e le tecniche comuni per rubare le credenziali della rete per spostarsi ulteriormente in profondità.

Secondo la ricerca Microsoft , GALLIUM ha fatto uso di una versione modificata del Poison Ivy RAT  . Questi RAT e la  shell Web di China Chopper  costituiscono la base del toolkit di GALLIUM per mantenere l’accesso a una rete di vittime.

IOC

asyspy256[.]ddns[.]net	Domain
hotkillmail9sddcc[.]ddns[.]net	Domain
rosaf112[.]ddns[.]net	Domain
cvdfhjh1231[.]myftp[.]biz	Domain
sz2016rose[.]ddns[.]net	Domain
dffwescwer4325[.]myftp[.]biz	Domain
cvdfhjh1231[.]ddns[.]net	Domain
9ae7c4a4e1cfe9b505c3a47e66551eb1357affee65bfefb0109d02f4e97c06dd	Sha256
7772d624e1aed327abcd24ce2068063da0e31bb1d5d3bf2841fc977e198c6c5b	Sha256
657fc7e6447e0065d488a7db2caab13071e44741875044f9024ca843fe4e86b5	Sha256
2ef157a97e28574356e1d871abf75deca7d7a1ea662f38b577a06dd039dbae29	Sha256
52fd7b90d7144ac448af4008be639d4d45c252e51823f4311011af3207a5fc77	Sha256
a370e47cb97b35f1ae6590d14ada7561d22b4a73be0cb6df7e851d85054b1ac3	Sha256
5bf80b871278a29f356bd42af1e35428aead20cd90b0c7642247afcaaa95b022	Sha256
6f690ccfd54c2b02f0c3cb89c938162c10cbeee693286e809579c540b07ed883	Sha256
3c884f776fbd16597c072afd81029e8764dd57ee79d798829ca111f5e170bd8e	Sha256
1922a419f57afb351b58330ed456143cc8de8b3ebcbd236d26a219b03b3464d7	Sha256
fe0e4ef832b62d49b43433e10c47dc51072959af93963c790892efc20ec422f1	Sha256
7ce9e1c5562c8a5c93878629a47fe6071a35d604ed57a8f918f3eadf82c11a9c	Sha256
178d5ee8c04401d332af331087a80fb4e5e2937edfba7266f9be34a5029b6945	Sha256
51f70956fa8c487784fd21ab795f6ba2199b5c2d346acdeef1de0318a4c729d9	Sha256
889bca95f1a69e94aaade1e959ed0d3620531dc0fc563be9a8decf41899b4d79	Sha256
332ddaa00e2eb862742cb8d7e24ce52a5d38ffb22f6c8bd51162bd35e84d7ddf	Sha256
44bcf82fa536318622798504e8369e9dcdb32686b95fcb44579f0b4efa79df08	Sha256
63552772fdd8c947712a2cff00dfe25c7a34133716784b6d486227384f8cf3ef	Sha256
056744a3c371b5938d63c396fe094afce8fb153796a65afa5103e1bffd7ca070	Sha256
TrojanDropper:Win32/BlackMould.A!dha	Signature Name
Trojan:Win32/BlackMould.B!dha	Signature Name
Trojan:Win32/QuarkBandit.A!dha	Signature Name
Trojan:Win32/Sidelod.A!dha	Signature Name

 

[wpdevart_facebook_comment curent_url="http://developers.facebook.com/docs/plugins/comments/" order_type="social" title_text="Facebook Comment" title_text_color="#000000" title_text_font_size="22" title_text_font_famely="monospace" title_text_position="left" width="100%" bg_color="#d4d4d4" animation_effect="random" count_of_comments="7" ]

News

RedHat cambia l’accesso a RHEL

Red Hat Enterprise Linux è alla base di numerose altre distribuzioni ma il mondo Open Source è già corso ai ripari

Avatar

Pubblicato

il

Red Hat ha annunciato a fine giugno che limiterà l’accesso pubblico al codice sorgente di Red Hat Enterprise Linux (RHEL) a CentOS Stream. Questa decisione ha suscitato la preoccupazione di alcuni membri della comunità Linux, poiché RHEL è essenziale per molti progetti Open Source, come Rocky Linux, AlmaLinux e Oracle Linux. Il team di Rocky Linux, per esempio, ha espresso il suo disappunto per la scelta di Red Hat in termini poco equivoci scrivendo: “I Termini di Servizio e gli Accordi di Licenza con l’Utente Finale di Red Hat impongono condizioni che cercano di ostacolare i clienti legittimi nell’esercizio dei loro diritti garantiti dalla licenza GPL.
Mentre la comunità discute se ciò violi la GPL, noi crediamo fermamente che tali accordi violino lo spirito e lo scopo dell’Open Source”. AlmaLinux ha espresso concetti non dissimili.
La decisione di Red Hat di limitare l’accesso al codice sorgente di RHEL si ripercuote su altre distribuzioni Linux in diversi modi, ma tutti sono determinati a continuare con i propri aggiornamenti senza creare problemi agli utenti, anche se ora la procedura risulta più complessa. AlmaLinux ha sottolineato che il futuro della distribuzione è roseo, ma ha deciso di abbandonare l’obiettivo di essere compatibile 1:1 con RHEL.

Nel frattempo Red Hat ha accaloratamente difeso la sua posizione e ha dichiarato di rimanere impegnata nello sviluppo Open Source e di continuare a contribuire con il proprio codice upstream.

Un importante sviluppo in questa catena di eventi è che SUSE intende investire 10 milioni di dollari per creare un fork di RHEL e sviluppare una distribuzione compatibile. SUSE dichiara di mirare a preservare l’innovazione e a fornire ai clienti e alla comunità Open Source delle scelte autentiche. Anche se non c’è una data di rilascio precisa, l’investimento significativo garantisce il progresso del progetto nei prossimi anni.

 

L’annuncio della limitazione dell’accesso pubblico al codice sorgente di RHEL ha suscitato forti reazioni di alcuni membri della comunità Linux e delle distribuzioni che sono basate su quella di Red Hat

 

Leggi anche: “Kali Linux 2023.3 è qui!


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

News

Apple corre ai ripari!

Scoperte tre vulnerabilità zero-day. Nel mirino degli attaccanti iOS, iPadOS, macOS, watchOS e Safari.

Avatar

Pubblicato

il

Sono stati rilasciati nuovi aggiornamenti di emergenza, confermati dalla stessa Apple, volti a correggere tre vulnerabilità zero-day nei sistemi operativi Apple iOS, iPadOS e MacOS. Il bollettino di sicurezza pubblicato dal CSIRT Italia, cataloga come grave/rosso (75,38/100) l’impatto delle vulnerabilità.

Secondo Bill Marczak del Citizen Lab della Munk School dell’Università di Toronto e Maddie Stone del Threat Analysis Group (TAG) di Google, questi nuovi 0day potrebbero essere stati utilizzati come parte di spyware, altamente mirati, destinati a scopi civili. Con queste tre nuove vulnerabilità arrivano a 16 il numero totale di bug zero-day scoperti nel software Apple dall’inizio di quest’anno.

Ecco in dettaglio l’elenco delle vulnerabilità della sicurezza:

  • CVE-2023-41991: problema riscontrato nella convalida del certificato nel framework di sicurezza. Questo potrebbe permettere a un’app dannosa di ignorare la convalida della firma;
  • CVE-2023-41992: si tratta di una falla di sicurezza presentenel kernel che potrebbe consentire a un utente malintenzionato di elevare i propri privilegi;
  • CVE-2023-41993: un attaccante potrebbe sfruttare un difetto all’interno del WebKit per eseguire codice arbitrario durante l’elaborazione di contenuti Web appositamente predisposti.

 

Apple è corsa subito ai ripari fornendo gli aggiornamenti per i seguenti dispositivi e sistemi operativi:

iOS 16.7 e iPadOS 16.7: iPhone 8 e successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e successivi, iPad 5a generazione e successivi e iPad mini 5a generazione e successivi.

iOS 17.0.1 e iPadOS 17.0.1 – iPhone XS e successivi, iPad Pro 12,9 pollici 2a generazione e successivi, iPad Pro 10,5 pollici, iPad Pro 11 pollici 1a generazione e successivi, iPad Air 3a generazione e successivi, iPad 6a generazione e successive, iPad mini 5a generazione e successive.

MacOS Monterey 12.7 e MacOS Ventura 13.6

WatchOS 9.6.3WatchOS 10.0.1 – Apple Watch Series 4 e versioni successive.

 

Safari 16.6.1 – macOS Big Sur e macOS Monterey

 

 

*illustrazione articolo progettata da  Freepik

 


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

News

Nasce un polo per la cybersicurezza

HWG Sababa è una nuova azienda made in italy che mira a guidare grandi aziende, infrastrutture critiche e istituzioni nelle crescenti sfide legate alla sicurezza informatica.

Avatar

Pubblicato

il

Nasce HWG Sababa, una nuova azienda italiana pronta ad affrontare le continue sfide del mercato della cybersecurity come fornitore consolidato di sicurezza informatica end-to-end. Il nuovo polo d’eccellenza italiano nella cybersecurity nasce in seguito all’accordo tra HWG S.r.l., azienda specializzata nell’erogazione di servizi gestiti e consulenza in ambito cyber, e Sababa Security S.p.A., primario fornitore di cybersecurity di soluzioni di sicurezza integrate e personalizzate per la protezione dell’IT, OT e ambienti IoT dalle minacce informatiche.

L’obiettivo principale di HWG Sababa è consolidare la posizione di riferimento in Italia e nell’area mediterranea in grado di far fronte alle complesse sfide del mercato, offrendo ai clienti servizi specializzati e completi grazie al supporto di oltre 170 risorse completamente focalizzate sulla cybersecurity, e a investimenti in Ricerca e Sviluppo nella sicurezza digitale in tematiche emergenti e fondamentali per la resilienza del sistema paese, come OT, IoT e Automotive, supportati da una forte collaborazione con università e centri di eccellenza.

“Con alle spalle venti anni di esperienza verticale nel settore della cyber security, la fusione delle due aziende HWG e Sababa ci rende una realtà ancora più forte sul mercato. HWG Sababa rappresenta infatti l’inizio di un nuovo percorso volto a rafforzare ulteriormente un rapporto già consolidato negli anni. Questa fusione non farà altro che incrementare la nostra presenza a livello globale con un occhio orientato sempre al futuro per prevedere nuove minacce prima che arrivino ai clienti, aiutandoli ad implementare programmi avanzati di resilienza”, ha commentato Alessio Aceti, CEO di HWG Sababa.

“Il nostro obiettivo è quello di proteggere l’infrastruttura e analizzare il rischio aziendale per migliorare la postura di sicurezza e consentire la continuità del business. Insieme a Sababa saremo in grado di fornire ai nostri clienti un portafoglio completo di servizi di sicurezza in ambito cyber, in grado di coprire l’intero processo della catena del valore. La combinazione delle competenze di queste due aziende ha come obiettivo quello di diventare uno dei più rilevanti operatori di sicurezza informatica della regione del Mediterraneo”, ha commentato Enrico Orlandi, Presidente di HWG Sababa.

 

Leggi anche: ” ACN: strategia nazionale di cybersicurezza italiana 2022-2026″

Continua a Leggere

News

Eventi nel mirino degli hacker

Un report di Microsoft evidenzia l’incremento di minacce informatiche associate a grandi eventi

Avatar

Pubblicato

il

Il recente rapporto Cyber Signals evidenzia un preoccupante trend di attacchi rivolti a grandi eventi sportivi e di intrattenimento. Tracciando i dati interni e la telemetria ottenuta durante la fornitura di supporto per la cybersecurity delle infrastrutture critiche durante l’organizzazione della Coppa del Mondo FIFA, Microsoft ha analizzato oltre 634,6 milioni di eventi, proteggendo infrastrutture e organizzazioni in Qatar. La ricerca ha incluso la tutela di 45 organizzazioni e 144 mila identità, e ha permesso l’analisi di 14,6 milioni di flussi di email, 634,6 milioni di autenticazioni e 4,35 miliardi di connessioni di rete. L’alto afflusso di persone e la conseguente circolazione di dati sensibili attraverso i loro dispositivi aumenta la superficie di attacco.
Questo si traduce in un’opportunità unica per i criminali informatici, specialmente coloro specializzati in attacchi ransomware, compromissione di e-mail aziendali e furto di dati finanziari.


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

News

Bug negli hypervisor VMware ESXi

Mandiant rivela dettagli su una potente campagna di spionaggio informatico da parte del gruppo cinese UNC3886

Avatar

Pubblicato

il

Società leader nella sicurezza informatica, Mandiant ha da poco pubblicato una ricerca approfondita su UNC3886, un sofisticato attore di minacce cinese con una solida competenza in attività di spionaggio informatico. Questo gruppo è ora stato segnalato per l’uso di un’exploit zero-day per gli hypervisor VMware ESXi, identificato come CVE-2023-20867.
Charles Carmakal, CTO di Mandiant Consulting e Google Cloud, descrive UNC3886 come “uno degli attori legati alla Cina più abili nell’ambito dello spionaggio informatico”. La vulnerabilità scoperta consente all’attore delle minacce di eseguire comandi su una VM guest dall’hypervisor, senza necessità di una password di amministratore/root della VM guest. L’attaccante dovrà prima ottenere l’accesso a un hypervisor, per esempio tramite credenziali rubate. Dal punto di vista forense, questi processi sembrano legittimi, originati da un file eseguibile VMware autentico e firmato digitalmente, come vmtoolsd.exe su VM guest Windows. Significativamente, Mandiant ha rilevato UNC3886 che sfrutta i socket VMCI. Dopo l’implementazione di una backdoor VMCI su un hypervisor, è possibile riconnettersi alla backdoor da qualsiasi macchina guest in cui viene eseguita, indipendentemente dalla connettività di rete o dalle configurazioni VLAN.


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

News

I pirati sfruttano i led dei cellulari

Scoperta una nuova tecnica di pirateria informatica che si basa sui LED dell’alimentazione per ottenere le chiavi di cifratura

Avatar

Pubblicato

il

Sono elementi comuni su quasi tutti i dispositivi mobili e servono principalmente e banalmente per segnalare diversi stati del dispositivo, come la carica della batteria o l’attività in corso. Tuttavia, alcuni esperti di sicurezza hanno recentemente  scoperto che questi innocui indicatori possono rivelare, involontariamente, molto più di quanto si pensasse inizialmente.

Mediante tecniche sofisticate di registrazione e analisi, i pirati informatici pare siano in grado di decifrare i pattern di illuminazione dei LED e derivare le chiavi di cifratura utilizzate dal dispositivo. E questo tipo di attacco, basato su ciò che è noto come “analisi delle emissioni secondarie”, consentirebbe ai malintenzionati di accedere a dati crittografati, bypassando le tradizionali misure di sicurezza. La portata di questo metodo è un ulteriore motivo di preoccupazione: sarebbero 18, infatti, i metri di distanza sufficienti a un pirata informatico per registrare i LED di un dispositivo, rendendo così l’attività sospetta estremamente difficile da rilevare. Una minaccia che pone una significativa sfida alla comunità che si occupa di sicurezza informatica.

In attesa di contromisure efficaci, il consiglio degli esperti è quello di adottare delle precauzioni pratiche, come coprire i LED del vostro dispositivo (quando possibile), e mantenere un’alta consapevolezza dell’ambiente circostante, specialmente quando si utilizzano reti non sicure o si accede a informazioni sensibili. Tutto al fine di mitigare il rischio.

 

Leggi anche: “Milioni di telefoni Android vulnerabili all’attacco Man In the Disk


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

News

Attacchi filo-russi: l’ACN interviene

L’Agenzia per la Cybersicurezza Nazionale (Acn) fa sapere che monitora attentamente l’escalation del gruppo Noname057(16)

Avatar

Pubblicato

il

L’ACN ha dichiarato che sta monitorando “con la massima attenzione” le minacce alla funzionalità dei siti istituzionali e delle organizzazioni che offrono servizi essenziali alla collettività. Nonostante gli attacchi siano stati di natura “dimostrativa”, l’Acn ha rassicurato che l’integrità e la riservatezza delle informazioni e dei sistemi coinvolti non sono state compromesse.

Inizialmente, il gruppo Noname057(16) ha preso di mira una serie di aziende di trasporto pubblico locale, dall’Amat di Palermo all’Anm di Napoli. Successivamente, hanno rivolto la loro attenzione alle banche. Le vittime della frode sono state prontamente avvisate e sono state prese misure immediate per mitigare gli effetti degli attacchi, come parte di un approccio di contrasto e prevenzione consolidato.

 

 

Leggi anche: “5 banche colpite da attacchi DDos


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

Trending