Shell
News
La backdoor Loki mette paura
Il malware, che Kaspersky ha identificato come Backdoor.Win64.MLoki, è una versione private agent del framework open-source di post-exploitation Mythic
Gli esperti di Kaspersky hanno scoperto una nuova versione della backdoor Loki, chiamata Backdoor.Win64.MLoki, utilizzata in attacchi mirati contro almeno 12 aziende russe nei settori ingegneristico e sanitario. Questo malware, basato sul framework open-source Mythic, si diffonde tramite e-mail di phishing con allegati dannosi. Una volta installato, Loki permette agli aggressori di gestire i token di accesso a Windows, iniettare codice nei processi in esecuzione e trasferire file tra il computer infetto e il server di comando e controllo.
“La popolarità dei framework open-source post-exploitation è in crescita e, sebbene siano utili per migliorare la sicurezza delle infrastrutture, abbiamo osservato che gli aggressori adottano e modificano sempre più spesso questi framework per diffondere malware”, ha affermato Artem Ushkov, Research Developer di Kaspersky. “Loki è l’ultimo esempio di come gli aggressori testino e applichino vari framework per scopi malevoli e li modifichino per ostacolare il rilevamento e il riconoscimento”.
Gli aggressori che utilizzano la backdoor Loki impiegano utility pubbliche come ngrok e gTunnel per accedere a segmenti di rete privati, poiché Loki non supporta il tunneling del traffico. Kaspersky ha rilevato che in alcuni casi gTunnel è stato modificato con goreflect per eseguire codice dannoso nella memoria del computer, eludendo così il rilevamento. Attualmente, non ci sono dati sufficienti per attribuire Loki a un gruppo di minacce specifico, ma l’analisi di Kaspersky indica che gli attacchi sono mirati e personalizzati, anziché basati su modelli standard di phishing. Il report completo è disponibile su Securelist.
*illustrazione articolo progettata da Securelist
Articoli
Rilasciata SKUDONET v7.1.0
Nuove funzionalità e miglioramenti per supporto hardware, gestione della CPU e della memoria, prestazioni di rete e sicurezza per la Community Edition
SKUDONET è una soluzione Open Source per il bilanciamento del carico e l’Application Delivery Control (ADC), progettata per ottimizzare la gestione del traffico e migliorare la sicurezza delle applicazioni Web e dell’infrastruttura IT. Offre una gamma di soluzioni di bilanciamento del carico che soddisfano diverse esigenze, tra cui opzioni virtuali, baremetal, hardware e basate su cloud. Garantiscono una distribuzione efficiente del traffico, migliorano le prestazioni delle applicazioni e mantengono un’elevata disponibilità. Inoltre, SKUDONET include solide funzionalità di cybersecurity come la protezione DDoS, i firewall per applicazioni Web e l’ispezione SSL/TLS. La piattaforma offre edizioni community ed enterprise. La prima è gratuita e adatta agli ambienti di test e sviluppo, mentre la seconda è progettata per la produzione su larga scala con funzionalità avanzate e capacità di automazione.
Una nuova uscita con tanti miglioramenti
SKUDONET ha lanciato la sua Community Edition 7.1.0, un aggiornamento significativo basato su Debian 12 con Kernel 6.1.90 LTS. Questa versione introduce un supporto hardware potenziato, una migliore gestione della CPU e della memoria e prestazioni di rete superiori, oltre a rafforzare le funzioni di sicurezza. L’introduzione del DHCP per NIC e VLAN semplifica la gestione della rete, mentre il supporto di Fully Qualified Domain Names (FQDN)
come IP di backend nelle farm HTTP aumenta la flessibilità. L’aggiunta della direttiva TLSv1.3 si allinea ai più recenti protocolli di sicurezza, garantendo una maggiore protezione delle comunicazioni criptate. I miglioramenti dei log e le librerie SSL aggiornate potenziano il monitoraggio e la sicurezza del sistema, offrendone una migliore comprensione e una protezione più solida. La release include anche profili reverse proxy più flessibili, che consentono configurazioni più personalizzate per adattarsi a diversi ambienti di rete. Le correzioni di bug di questa
versione garantiscono un funzionamento efficiente del software, riducendo al minimo i tempi di inattività e migliorando le prestazioni complessive. Per ulteriori informazioni sulle novità dell’ultima release, visitate questo sito.
leggi anche: “Debian 12 bookworm è qui!”
News
iPhone 16: occhio alle truffe
I ricercatori di Kaspersky hanno scoperto che gli attori delle minacce stanno attirando gli utenti con falsi pre-order, offerte di early-adopter e supporto tecnico fasullo
La presentazione dei nuovi iPhone 16 viene sfruttata criminali informatici per truffare i fan più impazienti. Secondo Kaspersky, i truffatori stanno usando falsi pre-order, offerte per early adopter e supporto tecnico fasullo su siti web convincenti, causando perdite finanziarie e delusioni. L’iPhone 16, atteso nei negozi il 20 settembre, introdurrà miglioramenti come funzionalità AI, hardware rinnovato, schermi più grandi e nuovi colori. Le truffe, diffuse soprattutto in estate, includono sconti del 40% sugli early pre-order. Le vittime, dopo aver inserito i dati di fatturazione e pagato tramite PayPal, scoprono che il denaro è sparito e i truffatori hanno rubato le loro informazioni personali, vendibili sul dark web.
Sempre gli esperti di Kaspersky hanno scoperto un’altra truffa che riguarda un’offerta di assistenza tecnica per iPhone, che promette di aggiornare il dispositivo. Il sito Web falso, in spagnolo e rivolto presumibilmente agli utenti dell’America Latina, invita i clienti a denunciare lo smarrimento o il furto del telefono e offre un servizio per ritrovare il dispositivo. In fondo alla pagina, le vittime possono anche richiedere assistenza per la riparazione. Per accedere a questi servizi, la pagina chiede agli utenti di inserire il proprio ID Apple, nonostante questa sezione sia stranamente in inglese.
Anche se inserire un solo dato potrebbe non sembrare significativo, gli utenti iPhone sanno che se qualcuno ruba il proprio ID Apple, in pratica possiede le chiavi del proprio “regno digitale”. I truffatori possono accedere ai dati personali, come nome, indirizzo e-mail e altro, e venderli sul dark web. Possono anche introdursi nell’account iCloud, ottenendo l’accesso a foto, documenti e backup dei dispositivi. Ma, ancora più preoccupante, possono effettuare acquisti non autorizzati utilizzando l’ID, visualizzare il saldo del conto e prelevare denaro dall’Apple Wallet. La cosa peggiore è che il dispositivo può essere bloccato e utilizzato come riscatto.
“Come per la maggior parte dei nuovi dispositivi tecnologici, il lancio di iPhone 16 ha generato un grande clamore e i criminali informatici non tardano a sfruttarlo, quindi è proprio in questi momenti che i consumatori devono prestare più attenzione. Quando si fanno nuovi acquisti, è importante affidarsi ai siti ufficiali, diffidare delle offerte che sembrano troppo belle per essere vere e verificare sempre gli URL prima di condividere qualsiasi informazione personale. I truffatori puntano sul fatto che i più impazienti abbassino la guardia, quindi la prudenza è fondamentale”, ha dichiarato Olga Svistunova, Security Expert di Kaspersky.
Per proteggersi da queste truffe, gli esperti di Kaspersky consigliano di:
- Affidarsi ai siti ufficiali: acquistare o preordinare iPhone 16 solo da rivenditori ufficiali come il sito web di Apple o partner affidabili. Non cliccare su link provenienti da siti sconosciuti o da e-mail promozionali, anche se l’offerta è attraente.
- Diffidare dalle offerte “troppo belle per essere vere”: i criminali informatici spesso attirano le persone con offerte di grandi sconti o di acquisto anticipato. Se un’offerta sembra troppo bella per essere vera, come uno sconto del 40% o un accesso esclusivo al pre-ordine, è probabile che si tratti di una truffa.
- Controllare gli URL e gli indirizzi e-mail: i truffatori spesso creano siti web falsi che sembrano quasi identici a quelli legittimi. Verificare sempre che l’URL inizi con “https://” e corrisponda al dominio ufficiale Apple. Allo stesso modo, è bene prestare attenzione alle e-mail provenienti da indirizzi non ufficiali.
- Non condividere informazioni personali: diffidare da qualsiasi sito web o e-mail che richieda informazioni sensibili come dati della carta di credito, numeri di identificazione personale o password dell’ID Apple. Apple non chiederà mai questo tipo di informazioni tramite e-mail o link non richiesti.
- Abilitare l’autenticazione a due fattori (2FA): proteggere gli account online, in particolare quelli collegati ai metodi di pagamento, con la 2FA. Questo ulteriore livello di sicurezza rende più difficile per i truffatori accedere alle informazioni personali.
- Verificare le notizie sul pre-ordine: se si viene a conoscenza di un’offerta speciale o della possibilità di di pre-ordinarlo, è opportuno verificare la notizia sul sito web ufficiale di Apple o sui siti di informazione.
- Tenere d’occhio l’attività del proprio dispositivo e segnalare le transazioni sospette: se si riceve un’e-mail strana, segnalarla ad Apple o alle autorità competenti.
- Segnalare offerte sospette: se ci si imbatte in un sito web sospetto o in un’e-mail di phishing, segnalarlo ad Apple. Questo può aiutare a proteggere altri utenti dal rischio di cadere in una truffa.
Leggi anche: “Apple corre ai ripari”
Senza categoria
Cybearly – forecasting 2025
Sono aperte le iscrizioni per seguire dal vivo o in diretta streaming i lavori della seconda edizione di “Cybearly – forecasting 2025”, l’evento di informazione, sensibilizzazione e divulgazione sulla sicurezza informatica promosso da Cybear e BearIT
La seconda edizione di “Cybearly – forecasting 2025”, un evento dedicato alla sicurezza informatica promosso da Cybear e BearIT, si terrà il 3 e 4 ottobre 2024 al Museo delle Genti d’Abruzzo di Pescara. L’evento, che fa parte dell’European Cyber Security Month promosso dall’ENISA, gode del patrocinio del Comune di Pescara, Clusit, Assintel, Agid, e Women4Cyber, e della collaborazione con l’Università Politecnica delle Marche. Il programma prevede speech e una tavola rotonda sul ruolo delle donne nella cyber security, con interventi di esperti provenienti da vari settori. Inoltre, ci sarà la Cyber Security Challenge che coinvolgerà studenti di sei istituti superiori italiani, permettendo loro di mostrare le proprie abilità digitali e di incontrare professionisti e aziende del settore.
«L’idea di fondo del progetto Cybearly», commenta Gaspare Aristide Silvestri, CEO di BearIT, «è fare divulgazione sul tema della cyber security con il coinvolgimento di ospiti di livello internazionale. Con Cybearly – forecasting 2025 confermiamo questa visione, chiedendo – come abbiamo fatto per la scorsa edizione – ai nostri speaker di rendere la materia fruibile al pubblico con un linguaggio accurato ma non eccessivamente tecnico. In questo modo auspichiamo che il messaggio arrivi in maniera semplice ma non semplicistica a un maggior numero di persone possibile. In estrema sintesi, l’obiettivo di Cybearly – forecasting 2025 è di innalzare il livello di consapevolezza generale, dal cittadino al professionista, sulle tematiche di cyber sicurezza, fornendo al pubblico alcuni strumenti pratici per identificare e contrastare le minacce informatiche».
Sono previste due modalità per partecipare gratuitamente all’evento: in presenza o in diretta live streaming. Sarà possibile seguire l’evento in presenza, previa iscrizione tramite il form presente sul sito www.cybearly.com. L’iscrizione dà diritto, oltre che al posto garantito in sala, al caffè di benvenuto e al light lunch. O in alternativa a distanza, sempre tramite iscrizione sul sito: in questo caso il link per seguire la diretta streaming sarà inviato il giorno prima dell’evento all’indirizzo e-mail specificato al momento dell’iscrizione. In entrambi i casi, l’iscrizione può essere effettuata al seguente link.
Clicca qui per prendere visione del programma completo dell’evento.
Senza categoria
L’istruzione nel mirino
Il settore dell’istruzione è stato il più bersagliato quest’anno. In Italia +53,2% di attacchi rispetto alla media mondiale
Secondo l’ultimo rapporto di Check Point Research, le scuole e le università, con i loro dati sensibili e misure di sicurezza informatica spesso inadeguate, sono diventate obiettivi primari per i criminali informatici. Il rapporto, della divisione di Threat Intelligence di Check Point® Software Technologies Ltd., rivela che il settore dell’istruzione è stato il più colpito dagli attacchi informatici nel 2024. Inoltre, i dati evidenziano una disparità tra i settori e differenze a livello di regioni geografiche.
Dall’inizio dell’anno alla fine di luglio, il settore dell’istruzione/ricerca è stato il più bersagliato a livello globale, con una media di 3.086 attacchi per organizzazione, a settimana. Si tratta di un aumento del 37% rispetto all’anno precedente, comparato con il secondo settore più bersagliato, quello governativo/ militare.
Attacchi complessivi per regione
La regione APAC è quella che ha registrato il maggior numero di attacchi informatici contro le organizzazioni del settore Istruzione/Ricerca dall’inizio dell’anno, con 6.002 attacchi settimanali per organizzazione. Il Nord America ha registrato il più alto incremento su base annua, con un aumento del 127%.
Zona geografica | Media di attacchi settimanali per organizzazione | Differenza anno su anno |
APAC | 6002 | -37% |
Africa | 2875 | +70% |
Europa | 2804 | +18% |
America del Sud | 2721 | +88% |
America del Nord | 1821 | +127% |
L’India è il Paese più bersagliato
Il testo riporta che l’India è il Paese più bersagliato nel settore dell’istruzione e della ricerca, con 6.874 attacchi settimanali per organizzazione, un aumento del 97% su base annua. La rapida adozione dell’apprendimento a distanza e la digitalizzazione dell’istruzione, dovute ai lockdown per il COVID, hanno creato opportunità per i criminali informatici. La proliferazione di piattaforme di apprendimento online ha aumentato i rischi, mentre scuole e università spesso trascurano la sicurezza informatica, lasciando le reti vulnerabili. In Germania e Portogallo si registra un aumento del 66% degli attacchi. In Italia, con 4.730 attacchi settimanali, c’è un incremento del 40% rispetto all’anno scorso, superando del 53% la media globale.
Paese | Media di attacchi settimanali per organizzazione | Differenza anno su anno |
India | 6874 | +97% |
Regno Unito | 4793 | +36% |
Italia | 4730 | +40% |
Messico | 3507 | +22% |
Portogallo | 3042 | +66% |
Germania | 2041 | +77% |
Stati Uniti | 1667 | +38% |
Perché proprie le scuole?
Il testo evidenzia l’interesse per i dati personali conservati dagli istituti scolastici, che includono non solo dipendenti come insegnanti e docenti, ma anche studenti. Le reti di scuole, college e università sono quindi più ampie, aperte e difficili da proteggere, contenendo molte informazioni di identificazione personale (PII) utili a fini finanziari. Gli studenti, non essendo vincolati da rigide linee guida aziendali, utilizzano i propri dispositivi, lavorano da alloggi condivisi e si connettono a Wi-Fi pubblici, aumentando i rischi per la sicurezza. Questa situazione crea una “tempesta perfetta” per le minacce informatiche.
Campagna di phishing negli Stati Uniti
In vista dell’inizio del nuovo anno scolastico, Check Point ha rilevato la creazione di 12.234 nuovi domini relativi a scuole e istruzione, con un incremento del 9% rispetto all’anno precedente. Di questi, 1 dominio su 45 è stato classificato come dannoso o sospetto. Nel luglio 2024, Check Point Research ha osservato diverse campagne di phishing negli Stati Uniti che utilizzavano nomi di file legati alle attività scolastiche per attirare le vittime. Una di queste campagne includeva il file “DEBIT NOTE_ {nome e data} _schoolspecialty.com.html”, che imitava un messaggio di accesso Adobe PDF.
Un’altra campagna ha utilizzato il nome del file “{nome della scuola} High School July Open Enrollment for Health & Financial Benefits.htm” e conteneva un codice altamente offuscato, che sembrava visualizzare una pagina di login Microsoft per qualche organizzazione.
*illustrazione articolo progettata da CheckPoint
News
CrowdStrike Threat Hunting Report 2024
Stando all’ultimo report annuale di CrowdStrike, le minacce provenienti da insider nordcoreani prendono di mira le società tecnologiche statunitensi; continuano gli attacchi ai servizi cloud e cross-domain, nonché l’abuso di credenziali e l’utilizzo di strumenti di monitoraggio e gestione remota (RMM)
É stato appena pubblicato da parte di CrowdStrike (NASDAQ: CRWD) il Threat Hunting Report 2024. Si tratta dell’atteso rapporto annuale che mette in luce le ultime tendenze, nonché le campagne e le tattiche adottate dagli avversari, rilevate sulla base dell’intelligence fornita dagli specialisti in threat hunting e dagli analisti dell’intelligence di CrowdStrike. Il rapporto 2024 rivela un aumento degli avversari, sia di stati-nazione che di eCrime, che sfruttano credenziali e identità legittime per evitare il rilevamento e bypassare i controlli di sicurezza tradizionali.
Inoltre, è stato registrato un incremento delle intrusioni hands-on-keyboard, degli attacchi cross-domain e degli attacchi al cloud control plane.
Alcuni dati emersi dal rapporto
Avversari nordcoreani si spacciano per dipendenti statunitensi legittimi
FAMOUS CHOLLIMA si è insinuato in oltre 100 aziende tecnologiche, prevalentemente negli Stati Uniti. Sfruttando documenti d’identità falsificati o rubati, insider malevoli sono riusciti ad ottenere impieghi come personale IT remoto, con l’obiettivo di esfiltrare dati e svolgere attività dannose.
Aumento del 55% delle intrusioni hands-on-keyboard
Un numero crescente di avversari si impegna in attività hands-on-keyboard spacciandosi per utenti legittimi e bypassando i controlli di sicurezza tradizionali. L’86% di tutte le intrusioni manuali è eseguito da soggetti che operano nell’ambito della criminalità informatica in cerca di guadagni finanziari. Questi attacchi sono aumentati del 75% nel settore sanitario e del 60% in quello tecnologico, che rimane il settore più colpito per il settimo anno consecutivo.
Crescita del 70% nell’abuso di strumenti di Remote Monitoring and Management (RMM)
Avversari come CHEF SPIDER (eCrime) e STATIC KITTEN (Iran-nexus) utilizzano strumenti legittimi di monitoraggio e gestione remota (RMM) come ConnectWise ScreenConnect per l’utilizzo malevolo degli endpoint. L’abuso degli strumenti RMM ha rappresentato il 27% di tutte le intrusioni hands-on-keyboard.
Persistenza degli attacchi cross-domain
Gli attori delle minacce stanno sempre più sfruttando credenziali valide per violare ambienti cloud e utilizzare successivamente quell’accesso per penetrare nei dispositivi endpoint. Questi attacchi lasciano tracce minime in ciascuno di questi domini, rendendo più difficile il rilevamento.
Gli avversari focalizzati sul cloud puntano al Control Plane
Avversari specializzati nello sfruttare il cloud, come SCATTERED SPIDER (eCrime), stanno usando le tecniche di ingegneria sociale, le modifiche alle policy e l’accesso ai gestori di password per infiltrarsi negli ambienti cloud. Utilizzano le connessioni tra il Cloud Control Plane ed i dispositivi endpoint per spostarsi lateralmente, mantenere la persistenza ed esfiltrare dati.
“Da oltre un decennio, monitoriamo con attenzione i più prolifici attivisti hacker, cybercriminali e avversari degli stati-nazione,” ha dichiarato Adam Meyers, Head of Counter Adversary Operations di CrowdStrike. “Tracciando quasi 250 avversari nell’ultimo anno, è emerso un tema centrale: i gruppi criminali si focalizzano sempre più in intrusioni interattive e utilizzano tecniche cross-domain domain per eludere le detection e raggiungere i loro obiettivi. Il nostro threat-hunting, condotto e guidato da esperti “umani” in modo approfondito, alimenta direttamente gli algoritmi che potenziano la piattaforma Falcon, con intelligenza IA nativa, consentendoci di rimanere un passo avanti rispetto alle minacce in continua evoluzione e continuare a fornire le soluzioni di cybersecurity più efficaci del settore”.
Ecco alcune risorse utili per chi desidera approfondire i risultati dell’analisi:
- Scarica il 2024 CrowdStrike Threat Hunting Report
- Visita l’Adversary Universe di CrowdStrike per accedere a una fonte autorevole di informazioni sugli avversari.
- Ascolta l’Adversary Universe podcast per un approfondimento sui threat-actors e alcune raccomandazioni per migliorare le pratiche di sicurezza.
Leggi anche: “CrowdStrike Threat Hunting Report 2023“
Articoli
La memoria del PC è tutto
Uno dei motivi per cui il sistema funziona male è la mancanza di RAM. Scoprite come estrarne il più possibile senza doverne aggiungere
Ottimizzare l’uso della memoria RAM in Linux può contribuire a migliorare le prestazioni del sistema senza dover acquistare moduli aggiuntivi. Anzitutto dovete identificare i processi che consumano molta memoria. Per farlo, utilizzate strumenti come top, htop o free. Con top:
top:
Quindi osservate la colonna %MEM per vedere l’utilizzo della memoria di ciascun processo. Potete poi anche verificare semplicemente la quantità di memoria libera nel sistema usando:
free -m:
Questo comando mostra la memoria totale, utilizzata e libera in megabyte. Dopodiché, la chiusura delle applicazioni non utilizzate può liberare quantità significative di RAM. Questo include quelle in background che potrebbero non essere immediatamente visibili. Alcuni programmi partono automaticamente all’avvio del computer: disabilitandoli si può risparmiare memoria e abbiamo visto come farlo in Aiuto, è tutto lento!. Potete poi sostituire le applicazioni che richiedono molta memoria con alternative più leggere. Per esempio, utilizzate Featherpad invece di LibreOffice Writer per la semplice modifica del testo, o Midori invece di Firefox per la navigazione Web. Rimanendo, però, nell’ambito delle modifiche di sistema, potete provare ad aumentare lo spazio di swap. Può aiutare il sistema a gestire carichi di lavoro maggiori, fornendo memoria virtuale aggiuntiva. Controllate quindi lo spazio di swap attuale:
swapon –show
Create ora un nuovo file di swap:
sudo fallocate -l 4G /swapfile # Crea un file di swap
sudo chmod 600 /swapfile
sudo mkswap /swapfile
sudo swapon /swapfile
Rendete quindi permanente il file di swap aggiungendo la seguente riga a /etc/fstab:
Anc/swapfile none swap sw 0 0
Modifiche avanzate
ZRAM crea un dispositivo a blocchi compresso nella RAM, che può essere utilizzato per lo swap o semplicemente come filesystem temporaneo. Questo può essere più efficiente dell’uso di uno swap tradizionale su disco. Installate anzitutto zram-tools in questo modo:
Ancsudo apt install zram-tools
Ora create o modificate /etc/default/zramswap e configurate la dimensione della ZRAM e l’algoritmo di compressione, dopodiché avviate ZRAM:
Ancsudo systemctl enable zramswap
sudo systemctl start zramswap
Un’altra soluzione ancora riguarda ottimizzare il filesystem e le cache. L’uso di filesystem ottimizzati per le prestazioni e la gestione delle cache può contribuire, infatti, a migliorare l’utilizzo della memoria. Per cancellare la cache usate il seguente comando:
sudo sysctl -w vm.drop_caches=3
Poi regolate la swappiness: controlla l’aggressività con cui il kernel scambia la memoria. Valori più bassi riducono lo swapping:
sudo sysctl vm.swappiness=10
Infine, il demone Early OOM (Out of Memory) aiuta a recuperare le condizioni di bassa memoria prima che il sistema diventi non reattivo. Installate quindi Early OOM in questo modo:
sudo apt install earlyoom
Dopodiché abilitatelo:
sudo systemctl enable earlyoom
sudo systemctl start earlyoom
Leggi anche: “Come fare a capire che computer avete”
*illustrazione articolo progettata da Freepik
-
News3 anni ago
Hacker Journal 279
-
News7 anni ago
Abbonati ad Hacker Journal!
-
Articoli2 anni ago
Parrot Security OS: Linux all’italiana- La distro superblindata
-
Articoli3 anni ago
Guida: Come accedere al Dark Web in modo Anonimo
-
Articoli6 anni ago
Superare i firewall
-
News5 anni ago
Le migliori Hacker Girl di tutto il mondo
-
Articoli5 anni ago
Come Scoprire password Wi-Fi con il nuovo attacco su WPA / WPA2
-
News7 anni ago
Accademia Hacker Journal