lunedì 21 novembre 2022

Pubblicato l'expoit per sfruttare ProxyNotShell di Microsoft Server Exchange


E' stato pubblicato l'exploit per sfruttare in attacchi reali Proxy Not Shell, il bug di Microsoft Server Exchange.

ProxyNotShell: breve sintesi

Anzitutto presentiamo in breve le vulnerabilità in questione. Le vulnerabilità alla base di ProxyNotShell sono:

  • CVE-2022-41040: vulnerabilità di falsificazione delle richieste lato server;
  • CVE-2022-41082: vulnerabilità di esecuzione codice da remoto quando PowerShell è accessibile all'attaccante. 

Per approfondire > Microsoft Exchange: due vulnerabilità 0-day usate in attacchi reali contro le aziende

La società ha aggiunto che la vulnerabilità CVE-2022-41040 può essere sfruttata solo da attaccanti autenticati: se però l'exploit di questa ha successo, l'attaccante può attivare la vulnerabilità CVE-2022-41082.  Sottolineiamo comunque che queste 0-day impattano solo sulle istanze Microsoft Exchange on-premise. 

Ulteriori informazioni tecniche, indicatori di compromissione e info sono disponibili nella "Customer Guidance for Reported Zero-day Vulnerabilities in Microsoft Exchange Server" di Microsoft.

Microsoft ha patchato già queste vulnerabilità

venerdì 18 novembre 2022

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT 05 - 11 Novembre


Quali malware girano nel panorama italiano? Quali campagne di attacco? Nei report settimanali del CERT-AgID tutte le informazioni utili: perché la prevenzione passa dalla consapevolezza. 

I malware della settimana 05 - 11 Novembre

La scorsa settimana il CERT ha intercettato e analizzato 36 campagne dannose: di queste 32 sono state mirate contro utenti italiani mentre 4 sono state generiche ma veicolate anche nel cyber spazio italiano. Le famiglie individuate in diffusione sono state 7, con una sovraesposizione del malware Emotet. Ecco il dettaglio:

  • Emotet è stato diffuso con 11 diverse campagne a tema Documenti, Pagamenti e Resend. Le email hanno veicolato allegati ZIP e XLS. Per la diffusione sono state usate le parti Epoch5 e Epoch4 dell'infrastruttura di Emotet. Per approfondire > La botnet Emotet aumenta la propria attività e riduce drasticamente il tasso di rilevamento;
  • AgentTesla è stato diffuso con 6 diverse campagne a tema Pagamenti e Delivery: 2 di queste sono state campagne generiche, ma 4 invece sono state mirate contro utenti italiani. Gli allegati vettore sono stati nei formati 7Z, ACE, IMG e DOC. Per approfondire > Anatomia di AgentTesla, lo spyware più diffuso in Italia;
  • IceID è stato in diffusione con 2 campagne mirate molto insidiose: uno a tema Energia, che ha simulato comunicazioni relative a bollette Enel e una che ha simulato comunicazioni dell'Agenzia delle Entrate. Le email hanno veicolato allegati XLS. Maggior info sul canale Telegram del CERT;

mercoledì 16 novembre 2022

Data breach: in vendita i dati dei clienti di Luxottica


Data breach: in vendita su Breach Forum i dati di 300 milioni di clienti di Luxottica. L'azienda, nel 2021, era già stata colpita da un ransomware. Siamo di fronte ad un nuovo attacco?

Luxottica: i dati in vendita su Breach Forum

Di nuovo, come ormai succede da tempo, i dati di un'azienda italiana finiscono in vendita su Breach Forum, community di black hacker specializzata in rivendita di dati rubati. Stando a quanto riportato dalla redazione di Red Hot Cyber, l'utente che ha pubblicato il post su Breach Forum ha affermato che i dati sono stati sottratti nel 2021. 

Fonte: Red Hot Cyber

Vi si trovano informazioni come:

lunedì 14 novembre 2022

Kelvin Security: il gruppo di cyber criminali specializzati in data breach colpisce di nuovo in Italia


Kelvin Security, il gruppo di cyber criminali specializzati in data breach ha colpito di nuovo in Italia, pubblicando i dati rubati da un'azienda  italiana. Chi sono e come agiscono.

Kelvin Security: gli attacchi più recenti

Per approcciarsi alla storia di questo gruppo di attaccanti è utile prendere spunto da un episodio reale, accaduto pochi giorni fa, e da prendere come contesto. Qualche giorno fa in BreachForums (forum dell'underground hacking specializzato nella rivendita di dati rubati) è comparso un nuovo post dell'utente KevinSecurity: nel post gli attaccanti mettono in vendita i dati di Norigine Italia, un'azienda farmaceutica con sede a Milano. 

giovedì 10 novembre 2022

LockBit stringe una nuova alleanza: il malware Amadey Bot per distribuire il ransomware


C'è una novità per quanto riguarda il Ransomware As a Service LockBit: alcuni affiliati hanno iniziato ad utilizzare il malware Amadey Bot per distribuire il ransomware

Il malware Amadey Bot viaggia via email

I ricercatori di sicurezza lanciano l'allarme: affiliati del ransomware LockBit hanno iniziato ad utilizzare il malware Amadey Bot per distribuire il ransomware. Gli affiliati distribuiscono il malware tramite email di phishing personalizzate per le aziende target. Ad ora le campagne sono state di due tipi: false offerte di lavoro destinate ai dipendenti delle aziende target e presunte notifiche per violazione del copyright. 

Per saperne di più > Ransomware: LockBit 3.0 debutta anche in Italia

Amadey Bot è un malware piuttosto vecchio che presenta tre gruppi principali di funzionalità:

  • riconoscimento del sistema bersaglio;
  • esfiltrazione dei dati;
  • loader di payload. 

I ricercatori hanno però notato come, dall'inizio del 2022, l'attività collegata a questo malware sia andata sempre più intensificandosi. Poi nel Luglio di quest'anno è stata intercettata in diffusione una nuova versione. Nella campagna di Luglio, Amadey ha funto da dropper di diversi malware per il furto dati, soprattutto RedLine. Poi la virata: le campagne recenti distribuiscono il payload di LockBit 3.0.


La catena di infezione