lunedì 21 novembre 2022

Pubblicato l'expoit per sfruttare ProxyNotShell di Microsoft Server Exchange


E' stato pubblicato l'exploit per sfruttare in attacchi reali Proxy Not Shell, il bug di Microsoft Server Exchange.

ProxyNotShell: breve sintesi

Anzitutto presentiamo in breve le vulnerabilità in questione. Le vulnerabilità alla base di ProxyNotShell sono:

  • CVE-2022-41040: vulnerabilità di falsificazione delle richieste lato server;
  • CVE-2022-41082: vulnerabilità di esecuzione codice da remoto quando PowerShell è accessibile all'attaccante. 

Per approfondire > Microsoft Exchange: due vulnerabilità 0-day usate in attacchi reali contro le aziende

La società ha aggiunto che la vulnerabilità CVE-2022-41040 può essere sfruttata solo da attaccanti autenticati: se però l'exploit di questa ha successo, l'attaccante può attivare la vulnerabilità CVE-2022-41082.  Sottolineiamo comunque che queste 0-day impattano solo sulle istanze Microsoft Exchange on-premise. 

Ulteriori informazioni tecniche, indicatori di compromissione e info sono disponibili nella "Customer Guidance for Reported Zero-day Vulnerabilities in Microsoft Exchange Server" di Microsoft.

Microsoft ha patchato già queste vulnerabilità

venerdì 18 novembre 2022

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT 05 - 11 Novembre


Quali malware girano nel panorama italiano? Quali campagne di attacco? Nei report settimanali del CERT-AgID tutte le informazioni utili: perché la prevenzione passa dalla consapevolezza. 

I malware della settimana 05 - 11 Novembre

La scorsa settimana il CERT ha intercettato e analizzato 36 campagne dannose: di queste 32 sono state mirate contro utenti italiani mentre 4 sono state generiche ma veicolate anche nel cyber spazio italiano. Le famiglie individuate in diffusione sono state 7, con una sovraesposizione del malware Emotet. Ecco il dettaglio:

  • Emotet è stato diffuso con 11 diverse campagne a tema Documenti, Pagamenti e Resend. Le email hanno veicolato allegati ZIP e XLS. Per la diffusione sono state usate le parti Epoch5 e Epoch4 dell'infrastruttura di Emotet. Per approfondire > La botnet Emotet aumenta la propria attività e riduce drasticamente il tasso di rilevamento;
  • AgentTesla è stato diffuso con 6 diverse campagne a tema Pagamenti e Delivery: 2 di queste sono state campagne generiche, ma 4 invece sono state mirate contro utenti italiani. Gli allegati vettore sono stati nei formati 7Z, ACE, IMG e DOC. Per approfondire > Anatomia di AgentTesla, lo spyware più diffuso in Italia;
  • IceID è stato in diffusione con 2 campagne mirate molto insidiose: uno a tema Energia, che ha simulato comunicazioni relative a bollette Enel e una che ha simulato comunicazioni dell'Agenzia delle Entrate. Le email hanno veicolato allegati XLS. Maggior info sul canale Telegram del CERT;

mercoledì 16 novembre 2022

Data breach: in vendita i dati dei clienti di Luxottica


Data breach: in vendita su Breach Forum i dati di 300 milioni di clienti di Luxottica. L'azienda, nel 2021, era già stata colpita da un ransomware. Siamo di fronte ad un nuovo attacco?

Luxottica: i dati in vendita su Breach Forum

Di nuovo, come ormai succede da tempo, i dati di un'azienda italiana finiscono in vendita su Breach Forum, community di black hacker specializzata in rivendita di dati rubati. Stando a quanto riportato dalla redazione di Red Hot Cyber, l'utente che ha pubblicato il post su Breach Forum ha affermato che i dati sono stati sottratti nel 2021. 

Fonte: Red Hot Cyber

Vi si trovano informazioni come:

lunedì 14 novembre 2022

Kelvin Security: il gruppo di cyber criminali specializzati in data breach colpisce di nuovo in Italia


Kelvin Security, il gruppo di cyber criminali specializzati in data breach ha colpito di nuovo in Italia, pubblicando i dati rubati da un'azienda  italiana. Chi sono e come agiscono.

Kelvin Security: gli attacchi più recenti

Per approcciarsi alla storia di questo gruppo di attaccanti è utile prendere spunto da un episodio reale, accaduto pochi giorni fa, e da prendere come contesto. Qualche giorno fa in BreachForums (forum dell'underground hacking specializzato nella rivendita di dati rubati) è comparso un nuovo post dell'utente KevinSecurity: nel post gli attaccanti mettono in vendita i dati di Norigine Italia, un'azienda farmaceutica con sede a Milano. 

giovedì 10 novembre 2022

LockBit stringe una nuova alleanza: il malware Amadey Bot per distribuire il ransomware


C'è una novità per quanto riguarda il Ransomware As a Service LockBit: alcuni affiliati hanno iniziato ad utilizzare il malware Amadey Bot per distribuire il ransomware

Il malware Amadey Bot viaggia via email

I ricercatori di sicurezza lanciano l'allarme: affiliati del ransomware LockBit hanno iniziato ad utilizzare il malware Amadey Bot per distribuire il ransomware. Gli affiliati distribuiscono il malware tramite email di phishing personalizzate per le aziende target. Ad ora le campagne sono state di due tipi: false offerte di lavoro destinate ai dipendenti delle aziende target e presunte notifiche per violazione del copyright. 

Per saperne di più > Ransomware: LockBit 3.0 debutta anche in Italia

Amadey Bot è un malware piuttosto vecchio che presenta tre gruppi principali di funzionalità:

  • riconoscimento del sistema bersaglio;
  • esfiltrazione dei dati;
  • loader di payload. 

I ricercatori hanno però notato come, dall'inizio del 2022, l'attività collegata a questo malware sia andata sempre più intensificandosi. Poi nel Luglio di quest'anno è stata intercettata in diffusione una nuova versione. Nella campagna di Luglio, Amadey ha funto da dropper di diversi malware per il furto dati, soprattutto RedLine. Poi la virata: le campagne recenti distribuiscono il payload di LockBit 3.0.


La catena di infezione

martedì 8 novembre 2022

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT 29 Ottobre - 4 Novembre


Quali malware girano nel panorama italiano? Quali campagne di attacco? Nei report settimanali del CERT-AgID tutte le informazioni utili: perché la prevenzione passa dalla consapevolezza. 

I malware della settimana 29 Ottobre - 4 Novembre

La scorsa settimana il CERT-agID ha individuato e analizzato 30 campagne dannose: 1 sola è stata generica mentre tutte le altre sono state mirate contro obiettivi italiani. 5 sono state le famiglie malware individuate in diffusione:

IceID in breve:

venerdì 4 novembre 2022

Vulnerabilità critica in WMware: pubblicati alcuni exploit

Sono stati pubblicati alcuni exploit per una vulnerabilità di esecuzione di codice da remoto pre autenticato che consentirebbero di eseguire codice arbitrario da remoto con privilegi di root su dispositivi Cloud Foundation e NSX Manager non patchati.

La vulnerabilità CVE-2021-3914: qualche info tecnica

La vulnerabilità in questione è la CVE-2021-39144, che si trova nella libreria open source XStream, utilizzata in due prodotti WMware. Ha un punteggio di 9,8 su 10, livello critico: per VMware è così rischiosa che il vendor ha deciso di pubblicare le patch perfino per una serie di prodotti end-of-life.

Attori non autenticati potrebbero sfruttarla da remoto, con un attacco tutto sommato piuttosto semplice che non richiede l'interazione dell'utente. 

VMware è intervenuta già sul problema, pubblicando un alert di sicurezza relativo alla CVE-2021-39144: qui l'alert. La vulnerabilità è già stata risolta, per gli utenti sarà sufficiente l'aggiornamento di XStream alla versione 1.4.19. Contestualmente VMware consiglia anche di patchare una seconda falla, la CVE-2022-31678 che innescare DoS o esporre informazioni in seguito ad attacchi XXE (XML External Entity).

Pubblicati gli exploit per la CVE-2021-39144

mercoledì 2 novembre 2022

Emotet torna a colpire in Italia


Emotet torna a colpire in Italia: la notizia proviene dal CERT, che ha individuato una nuova campagna di distribuzione del malware. Emotet non si vedeva nel nostro paese da 4 mesi.


La nuova campagna di distribuzione di Emotet

Il CERT ha individuato e analizzato una campagna di diffusione di Emotet in Italia. Il malware torna attivo nel nostro paese dopo 4 mesi di assenza: l'ultima campagna individuata contro utenti italiani risaliva infatti al 15 Luglio 22. 

La nuova campagna, circolata via email, veicola un allegato in formato ZIP protetto da password e contenente un classico file XLS con macro dannosa. 

Fonte: https://cert-agid.gov.it

Fonte: https://cert-agid.gov.it

La catena di infezione, spiega il CERT, non è cambiata: vi sono 4 dropurl usate dalla macro. Queste, parzialmente leggibili direttamente dal file XLS, conducono al download della libreria DLL a 64BIT di Emotet. Questa DLL viene quindi eseguita con il comando regsvr32