redmount.xyz

Negli ultimi anni, la crescente diffusione di spyware avanzati ha sollevato seri interrogativi sulla privacy e sulla sicurezza delle informazioni. Uno dei nomi più recenti a emergere nel panorama della sorveglianza digitale è Graphite , uno spyware sviluppato dalla società israeliana Paragon Solutions . Questo strumento ha attirato l’attenzione internazionale per il suo utilizzo da parte di governi e agenzie di intelligence, ma anche per le preoccupazioni legate ai diritti fondamentali e alla libertà di stampa. Cos’è Graphite? Graphite è uno spyware di livello governativo progettato per infiltrare dispositivi mobili e raccogliere informazioni sensibili. A differenza di altri spyware commerciali, Graphite viene venduto esclusivamente a enti statali per attività di intelligence e contrasto al crimine organizzato. Tuttavia, recenti rivelazioni indicano che è stato utilizzato anche per monitorare giornalisti e attivisti, sollevando interrogativi sulla sua gestione e sulle sue implicazioni ...

La ricerca sul modo in cui i rootkit vengono utilizzati dai criminali informatici ha rivelato che quasi la metà delle campagne è incentrata sulla compromissione dei sistemi governativi. Mercoledì, Positive Technologies ha pubblicato  un rapporto  sull'evoluzione e l'applicazione dei rootkit negli attacchi informatici, rilevando che il 77% dei rootkit viene utilizzato per il cyberspionaggio. I rootkit vengono utilizzati per ottenere privilegi in un sistema infetto, a livello di kernel o in base a modalità utente, quest'ultima utilizzata da molte applicazioni software. Alcuni rootkit possono anche combinare entrambe le funzionalità. Una volta che un rootkit si è agganciato a una macchina, può essere utilizzato per dirottare un PC, intercettare chiamate di sistema, sostituire software e processi e possono anche far parte di un kit di exploit più ampio contenente altri moduli come keylogger, malware per il furto di dati e minatori di criptovaluta - con il rootkit impostato per ...

Lazarus Group, il gruppo di minacce persistenti avanzate (APT) attribuito al governo nordcoreano, è stato osservato condurre due distinte campagne di attacco alla catena di approvvigionamento come mezzo per ottenere un punto d'appoggio nelle reti aziendali e prendere di mira un'ampia gamma di entità a valle. L'ultima operazione di intelligence di raccolta ha comportato l'uso di MATA quadro malware, nonché backdoor doppiati BLINDINGCAN e COPPERHEDGE per attaccare l'industria della difesa, un fornitore della soluzione di monitoraggio delle risorse IT con sede a Lettonia e un think tank con sede in Corea del Sud, secondo un nuovo Rapporto sulle tendenze APT del terzo trimestre 2021 pubblicato da Kaspersky. In un caso, l'attacco alla catena di approvvigionamento ha avuto origine da una catena di infezione originata da un legittimo software di sicurezza sudcoreano che esegue un payload dannoso, portando alla distribuzione del malware BLINDINGCAN e COPPERHEDGE sull...

È stato trovato un rootkit appena identificato con una firma digitale valida emessa da Microsoft che viene utilizzata per proxy del traffico agli indirizzi Internet di interesse per gli aggressori da oltre un anno prendendo di mira i giocatori online in Cina. Bitdefender, società di tecnologia di sicurezza informatica con sede a Bucarest, ha chiamato il malware " FiveSys " , indicando il suo possibile furto di credenziali e i motivi del dirottamento degli acquisti all'interno del gioco. Il produttore di Windows da allora ha revocato la firma in seguito alla divulgazione responsabile. "Le firme digitali sono un modo per stabilire fiducia", hanno affermato i ricercatori di Bitdefender in un white paper, aggiungendo "una firma digitale valida aiuta l'attaccante a aggirare le restrizioni del sistema operativo sul caricamento di moduli di terze parti nel kernel. Una volta caricato, il rootkit consente suoi creatori di ottenere privilegi virtualmente illimi...

I ricercatori della sicurezza informatica hanno dettagliato una nuova campagna che probabilmente prende di mira entità nel sud-est asiatico con un malware Linux precedentemente non riconosciuto, progettato per consentire l'accesso remoto ai suoi operatori, oltre ad accumulare credenziali e funzionare come server proxy. Si dice che la famiglia di malware, soprannominata " FontOnLake " dalla società di sicurezza informatica slovacca ESET, presenti "moduli ben progettati" che vengono continuamente aggiornati con nuove funzionalità, indicando una fase di sviluppo attiva. I campioni caricati su VirusTotal indicano la possibilità che le primissime intrusioni che utilizzano questa minaccia si siano verificate già a maggio 2020. Avast e Lacework Labs stanno monitorando lo stesso malware sotto il moniker HCRootkit. "La natura subdola degli strumenti di FontOnLake in combinazione con il design avanzato e la bassa prevalenza suggeriscono che vengono utilizzati in at...

Sono emersi dettagli su una nuova campagna di spionaggio informatico diretta contro l'industria aerospaziale e delle telecomunicazioni, principalmente in Medio Oriente, con l'obiettivo di rubare informazioni sensibili su risorse critiche, infrastrutture e tecnologia delle organizzazioni rimanendo all'oscuro ed eludendo con successo le soluzioni di sicurezza . La società di sicurezza informatica con sede a Boston Cybereason ha soprannominato gli attacchi " Operazione Ghostshell ", sottolineando l'uso di un trojan di accesso remoto (RAT) precedentemente non documentato e furtivo chiamato ShellClient che viene distribuito come il principale strumento di spionaggio preferito. Il primo segno degli attacchi è stato osservato nel luglio 2021 contro un insieme selezionato di vittime, indicando un approccio altamente mirato. "ShellClient RAT è in fase di sviluppo almeno dal 2018, con diverse iterazioni che hanno introdotto nuove funzionalità, mentre è sfuggito agl...

Un attore di minacce di lingua cinese precedentemente sconosciuto è stato collegato a un'operazione evasiva di lunga data mirata a obiettivi del sud-est asiatico già nel luglio 2020 per distribuire un rootkit in modalità kernel su sistemi Windows compromessi. Si dice anche che gli attacchi sferrati dal gruppo di hacker, soprannominato GhostEmperor di Kaspersky, abbiano utilizzato un "sofisticato framework di malware multi-stadio" che consente di fornire persistenza e controllo remoto sugli host mirati. La società di sicurezza informatica russa ha chiamato il rootkit Demodex , con infezioni segnalate in diverse entità di alto profilo in Malesia, Thailandia, Vietnam e Indonesia, oltre a valori anomali situati in Egitto, Etiopia e Afghanistan. "[Demodex] viene utilizzato per nascondere gli artefatti del malware in modalità utente agli investigatori e alle soluzioni di sicurezza, mentre dimostra un interessante schema di caricamento non documentato che coinvolge il compo...

I ricercatori della sicurezza informatica mercoledì hanno rivelato una backdoor precedentemente non documentata probabilmente progettata e sviluppata dal Nobelium Advanced Persistent Threat (APT) dietro l' attacco alla catena di approvvigionamento SolarWinds dello scorso anno , unendosi all'arsenale in continua espansione di strumenti di hacking dell'attore della minaccia. L'azienda con sede a Mosca Kaspersky ha chiamato il malware " Tomiris " , definendo le sue somiglianze con un altro malware di seconda fase utilizzato durante la campagna, SUNSHUTTLE (alias GoldMax), che prende di mira la piattaforma Orion del fornitore di software di gestione IT. Nobelium è anche conosciuto con i moniker UNC2452, SolarStorm, StellarParticle, Dark Halo e Iron Ritual. "Mentre gli attacchi alla catena di approvvigionamento erano già un vettore di attacco documentato sfruttato da un certo numero di attori APT, questa specifica campagna si è distinta per l'estrema atten...

Microsoft lunedì ha rivelato un nuovo malware distribuito dal gruppo di hacker dietro l'attacco alla catena di approvvigionamento SolarWinds lo scorso dicembre per fornire payload aggiuntivi e rubare informazioni sensibili dai server Active Directory Federation Services ( ADFS ). Il Threat Intelligence Center (MSTIC) del gigante tecnologico ha chiamato FoggyWeb "backdoor passiva e altamente mirata", rendendolo l'attore di minacce tracciato come l'ultimo strumento di Nobelium in una lunga lista di armi informatiche come Sunburst , Sunspot , Raindrop , Teardrop , GoldMax, GoldFinder , Sibot , Flipflop , NativeZone , EnvyScout, BoomBox e VaporRage . "Una volta che Nobelium ottiene le credenziali e compromette con successo un server, l'attore fa affidamento su tale accesso per mantenere la persistenza e approfondire la sua infiltrazione utilizzando malware e strumenti sofisticati", hanno affermato i ricercatori di MSTIC . "Nobelium utilizza Foggy...

I ricercatori di sicurezza hanno rilevato un punto debole senza patch nella tabella binaria della piattaforma Microsoft Windows (WPBT) che interessa tutti i dispositivi basati su Windows a partire da Windows 8 che potrebbe essere potenzialmente sfruttato per installare un rootkit e compromettere l'integrità dei dispositivi. "Questi difetti rendono ogni sistema Windows vulnerabile ad attacchi facilmente realizzabili che installano tabelle fraudolente specifiche del fornitore", hanno affermato i ricercatori di Eclypsium in un rapporto pubblicato lunedì. "Queste tabelle possono essere sfruttate da aggressori con accesso fisico diretto, con accesso remoto o attraverso le catene di approvvigionamento del produttore. Ancora più importante, questi difetti a livello di scheda madre possono ovviare a iniziative come Secured-core a causa dell'uso onnipresente di ACPI [Advanced Configuration and Power Interface] e WPBT." WPBT, introdotto con Windows 8 nel 2012, è una...