redmount.xyz

Un gruppo di ricercatori di KU Leuven e dell’Università di Birmingham ha pubblicato i risultati di un attacco hardware chiamato Battering RAM, che punta direttamente alle difese di enclave hardware su CPU Intel e AMD, aggirando meccanismi oggi considerati affidabili per la protezione delle attività in memoria. L’elemento chiave è un interposer DDR4 economico, costruibile con componenti analogici a basso costo (meno di 50 USD), che viene inserito nel percorso tra processore e memoria. Durante l’avvio si comporta “innocuo”, superando tutti i controlli di fiducia, ma in un momento successivo può diventare attivo: reindirizza gli indirizzi fisici protetti verso location controllate dall’attaccante, permettendo lettura o scrittura arbitraria della memoria cifrata. Su piattaforme Intel, Battering RAM consente l'accesso in chiaro (plain-text) alle enclave protette da SGX. Su sistemi AMD, l’attacco bypassa le mitigazioni contro BadRAM (un precedente attacco di aliasing su memoria) e introd...

Negli ultimi giorni è emersa una nuova ondata di malvertising e SEO poisoning che punta a intercettare chi cerca il client Microsoft Teams sui motori di ricerca, reindirizzando gli utenti verso annunci o pagine di download fasulle che offrono un installatore contraffatto invece dell’app ufficiale. Secondo le prime segnalazioni, il file distribuito in queste pagine malevole è un installer camuffato che installa la backdoor nota come Oyster (anche indicata in passato come Broomstick/CleanUpLoader), dando agli aggressori un punto d’accesso remoto sui sistemi compromessi. A confermare la dinamica sono multiple realtà che monitorano la minaccia: Blackpoint SOC ha descritto la campagna come basata su SEO poisoning e annunci malvertising che spingono download ingannevoli, mentre analisti di settore e vendor hanno trovato varianti del loader ospitate su domini compromessi o su pagine generate appositamente per mimare download legittimi. Il malware viene spesso confezionato in installer Windows...

Il reverse engineering è da sempre una delle attività più complesse nel mondo della cybersecurity. Disassemblare, decompilare, interpretare binari offuscati e ricostruire la logica nascosta all’interno di un eseguibile richiede tempo, competenze approfondite e grande attenzione ai dettagli. Negli ultimi anni però, con l’arrivo dei modelli linguistici di grandi dimensioni, si è aperta una prospettiva nuova: sfruttare la capacità di questi sistemi di ragionare su testo e codice per accelerare e in parte automatizzare il processo di analisi. Un recente lavoro pubblicato su arXiv propone una vera e propria sistematizzazione delle conoscenze su questo tema, raccogliendo 44 studi accademici e 18 progetti open source che uniscono LLM e reverse engineering e cercando di dare un ordine a un campo di ricerca ancora frammentato. L’articolo si presenta come una fotografia aggiornata e completa, utile non solo per i ricercatori ma anche per i professionisti della sicurezza che vogliono capire se e ...

In queste ore è emerso un’operazione cibernetica sofisticata attribuita a gruppi legati alla Cina, che distribuisce versioni aggiornate dei malware PlugX e Bookworm contro operatori telecom e infrastrutture nei paesi dell’Asia centrale e nel Sud-Est (ASEAN).  La nuova versione di PlugX sfrutta tecniche avanzate: DLL side-loading tramite app legittime, cifratura XOR-RC4-RtlDecompressBuffer, e chiavi RC4, tutte caratteristiche che risultano condivise — almeno parzialmente — con le backdoor RainyDay e Turian. Ciò suggerisce un’evoluzione dei tool tradizionali o un’integrazione tra arsenali informatici diversi.  Il team Unit 42 di Palo Alto ha approfondito il ruolo di Bookworm, un RAT modulare in uso da tempo presso il gruppo Mustang Panda (anche noto come Stately Taurus). Bookworm è progettato per scaricare moduli aggiuntivi da server di comando e controllo (C2), permettendo ai suoi operatori di espandere le funzionalità a seconda dell’obiettivo. Le versioni più recenti utiliz...

Microsoft ha annunciato di aver cessato e disabilitato una serie di servizi cloud e di intelligenza artificiale per un’unità del Ministero della Difesa israeliano (IMOD), dopo aver accertato che tali tecnologie erano state impiegate per sostenere un sistema di sorveglianza di massa sui civili palestinesi.  L’azione dell’azienda è stata attivata in risposta a un’inchiesta giornalistica coordinata dal Guardian, +972 Magazine e Local Call, che ha rivelato come l’Unità 8200 dell’intelligence israeliana avesse archiviato e analizzato milioni di telefonate intercettate tramite la piattaforma Azure, con il fine di monitorare gli spostamenti e guidare operazioni militari nella Striscia di Gaza e in Cisgiordania.  Nel comunicato interno rivolto ai dipendenti, il vicepresidente Brad Smith ha dichiarato che Microsoft non fornisce tecnologie che facilitino la sorveglianza di massa dei civili e che, dopo un’analisi interna, sono emersi elementi che violavano i termini di servizio dell’azie...

Negli ultimi giorni è uscita una notizia che vale la pena leggere con attenzione: sono stati sfruttati in attacco dei “zero-day” contro i firewall Cisco della famiglia Adaptive Security Appliance (ASA) e prodotti correlati, e diversi avvisi ufficiali invitano a intervenire subito. La storia è stata riportata da più testate tecniche e da Cisco stessa, che ha pubblicato patch e dettagli sulle falle coinvolte. Cosa è successo, in parole semplici? Alcuni bug nel servizio web/VPN dei dispositivi ASA permettono a un attaccante — inviando richieste appositamente costruite — di superare i controlli e far girare codice sul dispositivo. In pratica, chi sfrutta questi bug può eseguire comandi come se fosse l’amministratore del firewall. Cisco ha identificato più CVE coinvolte e ha confermato che almeno due di queste (quelle catalogate come sfruttate “in the wild”) sono state usate dagli aggressori prima che le correzioni fossero pubblicate. La cosa che preoccupa di più non è solo il controllo tem...

La notizia ha fatto il giro del mondo: un adolescente è stato arrestato per il suo presunto ruolo nell’attacco informatico ai casinò di Las Vegas nel 2023. Le vittime principali? MGM Resorts e Caesars Entertainment, che hanno denunciato perdite «dell’ordine dei 100 milioni di dollari». Secondo le autorità, il giovane si è presentato spontaneamente alle forze dell’ordine il 17 settembre 2025 presso il Clark County Juvenile Detention Center, ed è stato formalmente imputato per reati che includono estorsione, accesso illecito a sistemi informatici e uso fraudolento dei dati personali altrui. Si è cercato di trasferirlo in ambito penale adulto, data la gravità dell’operazione. Quel che rende questa vicenda particolarmente affascinante dal punto di vista della sicurezza informatica è proprio la semplicità apparente del vettore di attacco, e al tempo stesso l’efficacia devastante di quanto è successo: il ragazzo — stando alle prime ricostruzioni — avrebbe individuato un impiegato della MGM s...

Negli Stati Uniti, il 23 settembre 2025, il Secret Service ha annunciato di aver smantellato una rete clandestina composta da oltre 300 server SIM e 100.000 schede SIM nelle immediate vicinanze di New York, entro un raggio di 35 miglia dal quartier generale delle Nazioni Unite. Secondo l’agenzia, quella rete costituiva una minaccia imminente alla sicurezza delle comunicazioni, con capacità di intromettersi in traffico critico, mandare messaggi anonimi e criptati, persino compromettere celle telefoniche e bloccare chiamate d'emergenza. Le autorità americane affermano che la rete fosse legata a “minacce telematiche” rivolte a funzionari governativi statunitensi di alto profilo e che le prime indagini mostrino che attori stranieri avessero comunicazioni con persone già note alle autorità federali. L’operazione è stata giustificata come misura preventiva, vista la concomitanza con l’Assemblea Generale dell’ONU, in cui numerosi leader mondiali erano attesi, e la vicinanza geografica del...

Immagina di aver messo via 43,6 BTC nel 2013, aver generato una password lunghissima con un password manager “per sicurezza”, poi perdere il file che la conteneva — e risvegliarti 11 anni dopo con la possibilità concreta di non rivedere mai più quei soldi. È successo davvero, e la storia è un perfetto mix tra noir informatico, reverse engineering e una lezione pratica di cyber-igiene. La vicenda ha come protagonista un utente anonimo che aveva usato RoboForm per creare una password di 20 caratteri e salvarla in un file cifrato. Quel file, col tempo, si è corrotto e l’accesso al wallet è diventato impossibile. Anni dopo, due ricercatori — tra cui l’ingegnere Joe Grand, noto come “Kingpin” — hanno preso in mano la situazione. Analizzando una vecchia versione del software, hanno scoperto che il generatore di password dipendeva in modo prevedibile dalla data e dall’ora del computer. In pratica, il sistema non era così casuale come sembrava: conoscendo il periodo di utilizzo e i parametri s...

Negli ultimi mesi i ricercatori di sicurezza hanno scoperto una nuova campagna legata ad hacker nordcoreani che sfrutta la tecnica di social engineering nota come ClickFix. L’operazione prende di mira chi cerca lavoro nel settore delle criptovalute, in particolare candidati per posizioni di marketing e trading, attirandoli con annunci e colloqui falsi. Durante l’intervista viene simulato un problema tecnico, ad esempio un malfunzionamento della webcam o dell’accesso alla piattaforma. Alla vittima viene chiesto di copiare e incollare dei comandi nel terminale o in PowerShell per “risolvere” l’errore, ma in realtà quei comandi installano malware. Due tra i software dannosi osservati in queste campagne sono BeaverTail e InvisibleFerret, strumenti che consentono agli attaccanti di ottenere accesso remoto, rubare credenziali e monitorare le attività degli utenti. Diversi ricercatori collegano l’operazione al Lazarus Group, già noto per attacchi a catene di fornitura, furti di criptovalute e...