Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Cerca
LECS 970x120 1
320x100 Itcentric

Autore: Sandro Sana

Cosa sono i Rootkit? Alla scoperta di una delle minacce più insidiose

Sandro Sana 21/08/2024

I rootkit sono una delle minacce informatiche più insidiose e complesse nel panorama della sicurezza digitale. Il termine “rootkit” deriva dall’unione di due parole: “root”, che in sistemi Unix e Linux si riferisce all’utente con i massimi privilegi, e “kit”, che indica un insieme di strumenti software. Un rootkit, quindi, è un insieme di strumenti progettati per garantire l’accesso privilegiato a un sistema informatico, rimanendo al contempo nascosto agli occhi dell’utente e dei software di sicurezza. Come Funzionano i Rootkit? I rootkit operano infiltrandosi nel sistema operativo o in altre componenti fondamentali del software, mascherando la loro presenza e consentendo a un

UULoader: Un’Analisi Tecnica Approfondita del Malware e delle Tecniche di Attacco

Sandro Sana 20/08/2024

Negli ultimi mesi, una nuova minaccia informatica ha fatto il suo ingresso sulla scena globale: un malware chiamato UULoader. Questo sofisticato software malevolo sta suscitando preoccupazioni significative tra i ricercatori di sicurezza, in particolare per la sua capacità di distribuire altri potenti strumenti di hacking come Gh0st RAT e Mimikatz. Concentrandosi principalmente su utenti dell’Asia orientale, UULoader rappresenta un esempio preoccupante di come gli attacchi informatici stiano diventando sempre più subdoli e difficili da rilevare. È probabile che il malware sia di origine cinese, vista la presenza di stringhe cinesi nei file. Inoltre, i siti di phishing legati alle criptovalute continuano a

L’Hacking Back: Una Difesa Necessaria o un Rischio Incalcolabile?

Sandro Sana 12/08/2024

Recentemente, un caso straordinario ha portato sotto i riflettori la pratica controversa dell’hacking back, ovvero il contrattacco informatico contro chi ha perpetrato un attacco. Questa vicenda, riportata da TechSpot, coinvolge un marito che, spinto dalla frustrazione e dal desiderio di giustizia, è riuscito a smascherare un’operazione globale di smishing (phishing tramite SMS) che aveva preso di mira sua moglie. Questo episodio non solo mette in discussione le normative vigenti, ma offre anche spunti per riconsiderare l’hacking back come una possibile legittima difesa nel cyberspazio. La Vicenda: Dal Phishing alla Caccia agli Hacker Il protagonista di questa storia è un ingegnere informatico con

Gli Stati Uniti Sviluppano un’Intelligenza Artificiale per Prevedere gli Attacchi dei Talebani

Sandro Sana 06/08/2024

Negli ultimi anni, gli Stati Uniti hanno intrapreso un progetto ambizioso per migliorare la sicurezza in Afghanistan attraverso l’uso dell’intelligenza artificiale (IA). Il sistema, noto come Raven Sentry, è stato progettato per prevedere gli attacchi dei talebani, fornendo avvertimenti tempestivi e mirati alle forze di sicurezza locali e alle autorità governative. Come Funziona Raven Sentry Il progetto Raven Sentry è nato da una collaborazione tra ingegneri della Silicon Valley e analisti militari in Afghanistan. All’inizio, la curazione dei dati è stata effettuata manualmente, con riunioni regolari tra il team analitico in Afghanistan e gli stakeholder a Washington e al Comando Centrale degli

KozSec rivendica un attacco informatico a Vodafone Ukraine: Un’Analisi Tecnica

Sandro Sana 05/08/2024

Vodafone Ukraine è stata recentemente vittima di un attacco cibernetico di grande portata, rivendicato da un gruppo noto come #KozSec. Questo articolo tecnico fornisce un’analisi dettagliata dell’incidente, delle tecniche utilizzate dagli aggressori e delle implicazioni geopolitiche ed economiche dell’attacco. Dettagli dell’Attacco L’attacco ha colpito Vodafone Ukraine, causando disservizi significativi. In particolare, sono stati compromessi 65.536 indirizzi IP e diversi domini sono risultati non funzionanti. Questi dati sono stati raccolti e riportati dagli specialisti, sebbene si tratti di valori approssimativi. Il gruppo responsabile ha dichiarato che l’operazione è stata un’azione dimostrativa della loro capacità di partecipare attivamente a un conflitto cibernetico. L’attacco ha

Cresce la Minaccia del Gruppo CRYSTALRAY sulle Infrastrutture Cloud

Sandro Sana 14/07/2024

Negli ultimi mesi, Sysdig ha osservato un incremento significativo delle attività del gruppo CRYSTALRAY, un’organizzazione criminale specializzata in attacchi contro ambienti cloud. Il numero di vittime attribuite a CRYSTALRAY è aumentato vertiginosamente da 100 a 1500, segnalando una minaccia in rapida espansione. Metodi di Attacco e Strumenti Utilizzati CRYSTALRAY è noto per utilizzare il worm open-source SSH-Snake, che ruba le chiavi SSH dai server compromessi per muoversi lateralmente tra diverse macchine, rilasciando carichi malevoli aggiuntivi. Questo worm non solo si replica attraverso la rete, ma invia anche le chiavi rubate e la cronologia bash al server di comando e controllo del gruppo,

CVE-2024-4577: La Vulnerabilità PHP Sfruttata entro 24 Ore dalla Sua Scoperta

Sandro Sana 12/07/2024

Nel giugno 2024, è stata resa pubblica una grave vulnerabilità nel linguaggio di programmazione PHP, identificata come CVE-2024-4577. Questa falla di sicurezza colpisce le installazioni di PHP che operano in modalità CGI (Common Gateway Interface) ed è particolarmente critica per le installazioni su sistemi Windows con impostazioni locali in cinese e giapponese. Tuttavia, non si esclude che possa interessare un numero più ampio di configurazioni​ (Akamai)​​. Dettagli della Vulnerabilità La vulnerabilità è presente nelle versioni di PHP 8.1., 8.2., e 8.3.*, precedenti rispettivamente alle versioni 8.1.29, 8.2.20, e 8.3.8. La falla è causata dal modo in cui PHP e i gestori CGI

“HappyDoor”: La nuova Backdoor del Gruppo Kimsuky

Sandro Sana 10/07/2024

Il gruppo Kimsuky, noto per le sue operazioni di cyber spionaggio, ha sviluppato un nuovo malware chiamato “HappyDoor”. Questo backdoor, progettato per infiltrarsi e rubare dati dai sistemi compromessi, è stato analizzato dettagliatamente dall’AhnLab Security Emergency Response Center (ASEC). Di seguito, una descrizione approfondita delle caratteristiche tecniche e del funzionamento di HappyDoor, oltre a un profilo del gruppo Kimsuky. Chi è il Gruppo Kimsuky Kimsuky, anche noto come Thallium, Velvet Chollima e Black Banshee, è un gruppo di cyber spionaggio con presunti legami con la Corea del Nord. Attivo dal 2012, il gruppo è noto per prendere di mira principalmente enti governativi,

Attacco “Adversary-in-the-Middle” su Microsoft 365

Sandro Sana 09/07/2024

Nel luglio 2024, Field Effect ha scoperto una campagna di attacchi “Adversary-in-the-Middle” (AiTM) rivolta a Microsoft 365 (M365). Questo tipo di attacco compromette le email aziendali (BEC) utilizzando tecniche avanzate per intercettare e dirottare le credenziali degli utenti durante il processo di autenticazione. Metodo di Attacco Catena di Attacco Tecniche Specifiche Utilizzate Indicatori di Compromissione (IoC) Mitigazione e Difesa Conclusione Questa campagna di attacchi AiTM su M365 dimostra la crescente sofisticazione delle tecniche di BEC. La difesa richiede un approccio integrato che includa il monitoraggio continuo delle attività sospette e l’educazione degli utenti sulle minacce di phishing. Implementare rigorose misure di sicurezza

OpenSSH: Una RCE eseguita come Root mette a rischio 14 milioni di istanze su Linux

Sandro Sana 01/07/2024

Una recente vulnerabilità critica in OpenSSH, identificata come CVE-2024-6387, potrebbe permettere l’esecuzione di codice remoto non autenticato con privilegi root su sistemi Linux basati su glibc. Questa falla risiede nel componente server di OpenSSH (sshd) ed è dovuta a una race condition nel gestore dei segnali. La vulnerabilità è stata introdotta nuovamente in ottobre 2020 nella versione 8.5p1 di OpenSSH, risolvendo in parte un problema risalente a 18 anni fa (CVE-2006-5051). Dettagli della Vulnerabilità La vulnerabilità riguarda le versioni di OpenSSH tra 8.5p1 e 9.7p1. Essa consente agli attaccanti di eseguire codice arbitrario con privilegi elevati, compromettendo completamente il sistema. Questo problema

Categorie