I ricercatori di sicurezza di Bleeping Computer hanno recentemente scoperto un nuovo strumento di post-exploitation che viene utilizzato sempre più frequentemente dagli hacker in attacchi mirati. Si tratta del "Havoc Framework", che semplifica le fasi di post-exploitation, ovvero le attività svolte dopo aver ottenuto l'accesso ad un sistema compromesso. 

Il framework consente di automatizzare molte operazioni che normalmente richiederebbero molto tempo e sforzo, come la raccolta di informazioni sul sistema, l'accesso remoto e il controllo dei dispositivi collegati. Attualmente, diversi gruppi di cybercriminali stanno utilizzando questo framework per effettuare attacchi ransomware, furto di dati sensibili e attacchi di tipo "credential stuffing". 

Havoc Framework è stato anche utilizzato in attacchi "watering hole", ovvero attacchi che mirano a compromettere siti web noti e frequentati dagli utenti. L'uso del framework rappresenta quindi un nuovo pericolo per la sicurezza informatica, in quanto consente di effettuare attacchi più rapidi e mirati, con un minor rischio di essere scoperti. 

Tuttavia, Havoc non è l'unico strumento di post-exploitation utilizzato dai criminali in questi tipi di attacchi. Un altro strumento molto popolare è Cobalt Strike, che consente di effettuare attacchi molto sofisticati e difficili da rilevare. 

Come sappiamo questa maledetta guerra si svolge non solo sul territorio fisico ma anche nel cyberspazio. 

Un recente bollettino da parte di #CERT-UA, il computer emergency and response team ucraino, ha affermato che un attacco di #phishing mirato alle agenzie governative ucraine è stato condotto da gruppi criminali che hanno cercato di installare il software di monitoraggio Remcos #RAT sui dispositivi delle vittime. 

La diffusa campagna di phishing è stata attribuita a un gruppo noto come #UAC-0050. CERT-UA considera che il fine ultimo dell'attacco sia lo spionaggio. 

Entrando nei dettagli, l'attacco di phishing inizia con e-mail che si presentano come Ukrtelecom, una compagnia telefonica ucraina, e includono un archivio decoy #RAR. L'archivio RAR contiene due file: un file RAR protetto da password di grandi dimensioni (oltre 600 MB) e un file di testo che contiene una password per accedere al file RAR. Il secondo archivio RAR include un eseguibile che installa Remcos RAT, dopo di che gli attaccanti guadagnano il controllo completo sui sistemi infettati. 

I ricercatori di Malwarebytes hanno recentemente scoperto una campagna di malvertising sugli annunci sponsorizzati di Google, che mira a compromettere i gestori di password degli utenti.  

Il malvertising è un attacco che consiste nella pubblicazione di annunci dannosi su siti web legittimi, annunci che possono essere utilizzati per diffondere malware o per ingannare gli utenti a fornire informazioni personali o finanziarie. 

I ricercatori hanno trovato annunci sponsorizzati di Google che contenevano collegamenti verso a un sito web compromesso, finalizzato al phishing: il sito si presentava con un'interfaccia di login per un popolare gestore di password, ma in realtà catturava le informazioni dell'utente e le inviava a un server remoto. 

La campagna ha utilizzato una tecnologia sofisticata per eludere i sistemi di sicurezza del browser e la protezione anti-malware, come, ad esempio, codice JavaScript per mascherare l'indirizzo del sito web compromesso e rendere più difficile la sua identificazione da parte dei sistemi di sicurezza. 

In un mondo sempre più connesso e digitalizzato, la sicurezza informatica è diventata una preoccupazione chiave per molte aziende. Con la crescente quantità di dati e di dispositivi, le minacce informatiche sono diventate sempre più sofisticate e difficili da individuare e gestire. Per far fronte a queste sfide, le aziende stanno adottando soluzioni avanzate di sicurezza, come Endpoint Detection and Response (EDR), Extended Detection and Response (XDR), Security Information and Event Management (SIEM) e Security Orchestration, Automation and Response (SOAR). In questo articolo, esploreremo come queste soluzioni lavorano insieme per fornire una protezione completa contro le minacce informatiche e come possono aiutare le aziende a prevenire, rilevare e rispondere agli incidenti di sicurezza. 

Ccerchiamo di capire cosa siano queste soluzioni avanzate. 

Un EDR (Endpoint Detection and Response) è una soluzione di sicurezza che consente di proteggere da minacce informatiche i dispositivi endpoint: questi sono i nostri computer e i nostri dispositivi mobili. Un EDR monitora costantemente tali dispositivi per rilevare e investigare eventuali attività sospette, consentendo agli amministratori di sistema di identificare e rispondere rapidamente alle minacce. 

Un EDR raccoglie differenti dati dagli endpoint (log di sicurezza, eventi di rete e informazioni sulle minacce) utilizzando tecnologie come il rilevamento del comportamento anomalo, l'intelligenza artificiale e l'apprendimento automatico.

Il panorama delle minacce è sempre più interessato a soluzioni Open Source per risolvere le fasi di exploitation, C2 e post-exploitation. Sono fasi critiche e complesse, che consumano molte risorse per la loro costruzione e mantenimento, umane ed economiche. Le soluzioni più o meno commerciali o più o meno “legali” (come Metasploit e Cobalt Strike, ufficialmente venduti per realizzare “simulazioni di attacco”) hanno fatto e fanno il loro dovere per molti agenti di minaccia al pari degli ethical hacker che intendono invece “realmente simulare”. 

L’emergere di pacchetti software Open Source efficaci abbatte notevolmente questo consumo di risorse, e diviene un osservato speciale, anzi, una vera e propria miniera d’oro per gli agenti di minaccia. 

Differenti analisti (tra cui l’azienda di sicurezza informatica Cybereason di Boston, con sedi anche a Londra, Tokyo e Tel Aviv, e la più nota Qualys) stanno tenendo sotto controllo questo fenomeno. 

In particolare l’attenzione si sta focalizzando su due particolari framework Open Source, dedicati proprio alle fasi di cui sopra: Empire e Sliver. 

Molti pensano a Windows come un unico ambiente monolitico, ma la verità è che di Windows ne esistono differenti versioni ed edizioni, ognuna con una propria storia e caratteristiche. L’avvento di nuove generazioni complica poi ancora di più il panorama, moltiplicando le versioni in circolazione. Attualmente sono in circolazione diverse versioni di Windows, tra cui Windows 11. Windows 10, Windows 8.1 e Windows 7 (per la versione Desktop) e Windows Server 2019, seguita da Windows Server 2016 e Windows Server 2012 R2. 

Pertanto è fisiologico che Microsoft resti attenta ad omogeneizzare le politiche di sicurezza in tutte le generazioni dei suoi sistemi. 

È quanto ha fatto con l’ultima novità (introdotta già per le edizioni Enterprise ed Educational), portata in anteprima sull’edizione Windows 11 Pro e nelle edizioni Windows 10 versione 1709 (e successive) e Windows Server 2019. 

Una rivoluzione per qualcuno. Un cambiamento riguardante le regole di autenticazione per protocollo SMB. 

Il protocollo SMB in versione 2 (SMB2) e 3 (SMB3) non consentiranno più il fallback verso sistemi di autenticazione insicuri; questo comporterà l’abolizione predefinita dell’accesso guest (ospite), né in prima battuta, né come conseguenza a credenziali errate. Questo varrà sia per il servizio che per il client SMB realizzato con sistemi Windows 

Le email sono ordinario veicolo di molte minacce per ognuno di noi: spam, phishing, malware. Molto spesso siamo bersaglio senza rappresentare un diretto interesse per gli agenti di minaccia. Abbiamo già visto varianti di attacchi via posta elettronica che mirano a obiettivi più specifici e noti, ma ora parliamo di una versione ancora più specializzata: la compromissione delle email commerciali, una forma che si configura in una vera e propria truffa telematica. 

Questa minaccia individua i propri obiettivi tra il personale amministrativo di aziende commerciali e finanziarie, personale che viene studiato per diverso tempo per verificarne la responsabilità e coinvolgimento dei processi di pagamento. A tal fine si utilizzano differenti tecniche di social engineering, phishing e furto di credenziali. Lo scopo ultimo è poter intervenire fraudolentemente all’interno del processo amministrativo con comunicazioni falsificate che possano dirottare capitali verso l’attaccante, unico beneficiario di questa truffa. 

Lo studio può durare molto tempo perché l’attaccante deve impossessarsi non solo delle informazioni relativamente alla possibilità di un attacco (conoscenza di relazioni commerciali, contratti, compravendite, ecc), ma anche e soprattutto ha bisogno di impossessarsi di informazioni utili alla falsificazione delle comunicazioni, quindi non solo nomi, ruoli ed indirizzi email, ma anche linguaggio, comportamenti e carattere dei personaggi che verranno falsificati, tipicamente i dirigenti che sono al vertice dei processi decisionali sui pagamenti.

CybersecurityUP è la Business Unit che eroga i servizi di Cybersecurity di Fata Informatica e tra questi il training specialistico è certamente un’eccellenza su tutto il territorio italiano.

L’offerta di formazione specialistica di CybersecurityUP non ha pari, vantando corsi che coprono le più importanti aree della Cybersecurity come la Malware Analysis, l’Analisi forense, la formazione per Soc Specialist piuttosto che per Ethical Hacker e Penetration Tester.

Il coordinatore didattico dei corsi è il Prof. Antonio Capobianco, docente di Cybersecurity Threats Analysis presso l’Università degli Studi Guglielmo Marconi, e autore del libro “La minaccia Cyber: se la conosci la eviti?”.

Tra i docenti di CybersecurityUP troviamo sia Vincenzo Alonge che Andrea Tassotti entrambi docenti nel Master di secondo livello in Cybersecurity del dipartimento di ingegneria informatica Roma3.

Con questi docenti la qualità è garantita! Ma la particolarità è che, grazie all’esperienza nella docenza maturata anche in ambiente universitario, i corsi sono stati strutturati per fornire le basi sui sistemi operativi e sulle reti per poi arrivare alle lezioni in ambito hacking.

Si parte dalle basi sino ad arrivare agli argomenti più difficili.

A partire dal 13 Febbraio 2023 entrerà a catalogo un nuovo format formativo denominato Hacker Academy.

La crescita di un Ethical Hacker non può avvenire esclusivamente all’interno di una scuola; l’Ethical Hacker ha bisogno di una palestra in cui potersi allenare quotidianamente. Per quanto si possa eseguire esercitazioni nel periodo di apprendimento, senza una palestra continuamente a disposizione è impossibile costruire una esperienza pratica quale è necessario possedere durante l’attività in campo aperto. 

È per questo motivo che CybersecurityUp ha creato HackMeUp, il nuovo cyberrange per accompagnare l’Ethical Hacker in quella crescita continua che deve. 

La piattaforma verrà resa disponibile a tutti gli allievi iscritti al corso Certified Professional Ethical Hacker edizione Extreme: tramite HackMeUp i neo Ethical Hacker potranno continuare a mettere alla prova se stessi per un intero anno dalla fine del corso, accompagnati nella loro crescita professionale fino alla piena consapevolezza delle proprie capacità. 

La piattaforma è definita di gioco, ma non si scherza! La piattaforma non abbandona la vocazione di mettere alla prova le conoscenze acquisite, né rinuncia a porre nuove e più dure sfide, in quel processo di crescita continuativa che è l’esercizio quotidiano. 

Nelle ultime due settimane Google è dovuta correre urgentemente ai ripari per due distinte e nuove vulnerabilità 0-day di Chrome (in realtà sono vulnerabilità presenti nel sorgente chromium). 

La prima vulnerabilità (pubblicata il 28 novembre sul National Vulnerability Database del NIST) è stata censita come CVE-2022-4135 con CVSS 9.6. Si tratta di una violazione dei limiti in scrittura della memoria del processo (CWE-787 – “Out-of-bounds Write”), comunemente nota come “buffer overflow dell’heap” nella componente GPU di Chrome. 

Questa vulnerabilità consentirebbe ad un malintenzionato, che abbia compromesso il processo di rendering, di eseguire una evasione dalla sandbox tramite una pagina HTML appositamente creata. 

Le conseguenze di un buffer overflow sono tipicamente l’arresto anomalo del software, ma anche la possibilità di porre il programma in un ciclo infinito: in ogni caso si raggiunge l’obiettivo di negazione del servizio (DoS), in questo caso negazione nell’uso del browser. Non è escluso che da un buffer overflow possano innescarsi meccanismi di esecuzione di codice arbitrario o evasione dai meccanismi di protezione esistenti, come nel caso descritto.