Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Alla scoperta dell’IaB JohnDoe7: accessi in vendita dall’uomo qualunque

Antonio Piovesan : 23 Luglio 2025 07:08

Continuiamo la nostra serie di articoli sugli Initial Access Broker con un articolo su JohnDoe7 (anche noto come LORD1) che, come vedremo in seguito, usa un nome/moniker che richiama alla cinematografia o al mondo legal negli Stati Uniti.

Exploit di vulnerability 1-day

KELA Cyber ha osservato la costante offerta di exploit per vulnerabilità 1-day, il che conferma che gli IAB, come altri attori, sono interessati a colpire le aziende che non hanno applicato patch al loro ambiente in modo tempestivo. Qui in figura, su Exploit nell’Ottobre 2020, LORD1 offre un exploit RCE e LPE il cui prezzo parte da 5.000 dollari.

LORD1 offre exploit di un giorno (RCE, LPE), con prezzo a partire da 5000$

Il caso del software MOVEit Transfer

Nel giugno 2023, johndoe7 aka LoRD1 su XSS ed Exploit ha offerto uno script dannoso personalizzato per sfruttare la vulnerabilità di Progress MOVEit Transfer (CVE-2023-34362). Nel maggio 2023, il gruppo ransomware CL0P ha preso di mira MOVEit Transfer di Progress Software, comunemente utilizzato dalle organizzazioni per gestire le operazioni di trasferimento dei file. Hanno sfruttato la vulnerabilità zero-day SOL injection (CVE-2023-34362) per infiltrarsi nelle applicazioni web di MOVEit Transfer e ottenere un accesso non autorizzato ai database archiviati. Ciò potrebbe far pensare ad un legame tra johndoe7 e la gang CL0P …

Sponsorizza la prossima Red Hot Cyber Conference!

Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference
Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. 
Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. 
Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.



Supporta RHC attraverso:
 

  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.
 

Nel successivo esempio nei forum XSS e Exploit, gli attori malevoli “0x90” e “Present” manifestano il loro interesse nel comprare degli exploit per la CVE-2023-3519 (RCE su Citrix) e per la CVE-2022-24527 (LPE su Microsoft Connected Cache).

Report di Soc RADAR su attacchi a crypto/NFT

Secondo un report di SOCRadar, LORD1 è molto attivo nella compromissione di credenziali relative al mondo delle criptovalute e delle NFT; le analisi condotte dal gruppo di ricerca di SOCRadar rivelano che la maggior parte delle circa 1.700 minacce uniche del Dark Web rilevate dal 2021 a oggi riguardano la vendita di dati utente compromessi su scala globale. Pertanto, gli attori malevoli prendono di mira il settore delle criptovalute e delle NFT rappresentano una minaccia globale per tutti gli utenti.

La minaccia più diffusa nel settore delle criptovalute e NFT è la compromissione e la successiva vendita di informazioni personali degli utenti del settore sui forum del Dark Web.

Nel grafico precedente, fatto 100 il totale dei casi di compromissione credenziali analizzati nel periodo da SOCRadar, ogni segmento mostra la percentuale di contributo attribuita a ciascuno attore malevolo: LORD1 figura al quinto posto della TOP 10 con un contributo pari al 14 per cento.

Scenari di altre CVE sfruttate dallo IAB

ATLASSIAN BITBUCKET COMMAND INJECTION (CVE-2022-36804)

Resa nota nell’agosto 2022, CVE-2022-36804 è una vulnerabilità di iniezione di comandi che interessa più API endpoint dei server di Bitbucket. Utilizzando questa vulnerabilità, gli aggressori con accesso a un repository pubblico o con permessi di lettura a un repository Bitbucket privato, possono eseguire codice arbitrario inviando una richiesta HTTP dannosa.

FORTINET: AUTHENTICATION BYPASS VULNERABILITY (CVE-2022-40684)

Resa nota nel settembre 2022, questa vulnerabilità consente a un aggressore non autenticato di eseguire operazioni sull’interfaccia amministrativa dell’apparato FORTINET tramite richieste HTTP o HTTPs appositamente create tramite bypass dell’autenticazione utilizzando un percorso o un canale alternativo [CWE-288] in Fortinet FortiOS versione 7.2.0 fino a 7.2.1 e 7.0.0 fino a 7.0.6, FortiProxy versione 7.2.0 e versione 7.0.0 fino a 7.0.6 e FortiSwitchManager versione 7.2.0 e 7.0.0.

XSS Forum

Altre tracce di Johndoe7 dal 2022 nel forum XSS ( https://xss.ist/forums/104 )

SEVEN / SE7EN

Curiosità, “John Doe” è il nome del villain/il cattivo del film SE7EN

https://villains.fandom.com/it/wiki/John_Doe

Negli USA il nome John Doe è usato per una vittima o un imputato sconosciuto o che si intende mantenere anonimo in un caso legale. È inoltre il nome che viene attribuito d’ufficio ai cadaveri di sconosciuti.

In Italia è l’equivalente di Ignoto o NN (dal latino Nomen Nescio).

NotaBene su 1-day: che cos’è una vulnerabilità 1-day?

Le vulnerabilità 1-day sono vulnerabilità note per le quali è disponibile una remediation patch o una mitigation, ma che non sono ancora state applicate. Il termine “un giorno” si riferisce al periodo che intercorre tra la divulgazione della vulnerabilità e l’applicazione della patch ai sistemi interessati.

A volte queste vulnerabilità vengono definite “n-day”, poiché il periodo è spesso molto più lungo di un giorno, dato che il tempo medio per l’applicazione di una patch (MTTP) è di solito compreso tra i 60 e i 150 giorni.

Purtroppo, lo sfruttamento delle vulnerabilità 1-day è spesso accelerato dal rilascio di codice exploit PoC  (Proof-of-Concept) prima che gli utenti interessati abbiano il tempo necessario ad applicare una patch ai propri sistemi. Questa pratica sembra essere peggiorata da quando alcuni ricercatori di cybersecurity cercano di mettere in mostra le proprie capacità tecniche creando delle PoC, nonostante i danni che derivano da ciò.

Mentre threat actors più sofisticati effettuano il reverse-engineering di una patch per capire quale problema fosse essa destinata a risolvere e quindi sviluppano i propri exploit sulla base delle loro scoperte, i meno tecnici adottano/usano il codice della PoC disponibile pubblicamente. In questo modo la vulnerabilità può essere sfruttata da attori malevoli con minori skill tecniche che altrimenti non avrebbero avuto questa capacità senza assistenza esterna.

Un esempio recente e rilevante di vulnerabilità one-day è rappresentato da CVE-2024-1708, una falla di tipo “Autenthication bypass”, e da CVE-2024-1709, una falla di tipo Path traversal, nei server ScreenConnect di ConnectWise: solo un giorno dopo l’annuncio delle vulnerabilità, diversi ricercatori hanno rilasciato il codice di exploit PoC e i dettagli tecnici relativi alle vulnerabilità. Questo codice, unito alla facilità di identificare istanze ScreenConnect vulnerabili tramite scanner web online, ha portato a uno sfruttamento di massa e alla distribuzione di ransomware e altro malware su server privi di patch.

Conclusione

In questo articolo della serie sugli initial access broker abbia visto come il furto di credenziali possa avvenire anche attraverso attacchi che sfruttino vulnerabilità di tipo RCE e LPE e come sia fondamentale applicare patches e remediations il prima possibile  … Quindi ricordiamo alcune delle best practice menzionate in precedenza per essere pronti ad ogni evenienza

  • Aggiornamento costante dei sistemi
  • Monitoraggio Continuo e Rilevamento delle Minacce
  • Controlli di Accesso Forti/uso di Multi Factor Authentication
  • Formazione e Consapevolezza dei Dipendenti
  • Segmentazione/micro segmentazione della rete

Riferimenti

KelaCyber 2022 Q2 Report https://www.kelacyber.com/wp-content/uploads/2022/08/KELA-RESEARCH_Ransomware-Victims-and-Network-Access-Sales_Q2-2022.pdf

Outpost24 IAB Report https://outpost24.com/wp-content/uploads/2024/11/IAB-and-links-to-ransomware.pdf

Soc Radar report https://socradar.io/wp-content/uploads/2024/03/SOCRadar-Cryptocurrency-NFT-Threat-Landscape-Report.pdf

Cyble underground report https://www.osintme.com/wp-content/uploads/2023/03/Cyble_Underground_Report.pdf

XSS Forum https://xss.ist/forums/104

Seven (Film, 1995) https://it.wikipedia.org/wiki/Seven

Antonio Piovesan
Laureato in ingegneria Informatica nel 2002, certificato CISSP dal 2023, entra nel mondo ICT come analista/full stack developer. Prosegue nella formazione frequentando un executive Master in cybersecurity e data protection presso 24ORE Business School. Si occupa ora di temi legati alla cybersecurity governance in ambito grande distribuzione organizzata. Nutre una forte passione per la tecnologia, l’innovazione e la cybersecurity, favorendo la diffusione della consapevolezza al rischio digitale. Ama leggere libri sulla storia della matematica ed è un appassionato di letteratura e cinematografia fantascientifica.

Lista degli articoli

Articoli in evidenza

Due bug critici in Cisco ASA e FTD: score 9.9 e rischio esecuzione di codice remoto
Di Redazione RHC - 25/09/2025

Cisco ha reso note due vulnerabilità critiche che interessano i propri firewall Secure Firewall Adaptive Security Appliance (ASA) e Secure Firewall Threat Defense (FTD), oltre ad altri prodotti di re...

Linux balla la samba… ma cade in una race condition. Una falla critica minaccia il kernel
Di Redazione RHC - 25/09/2025

Il ricercatore Nicholas Zubrisky di Trend Research ha segnalato una vulnerabilità critica nel componente ksmbd del kernel Linux che consente ad aggressori remoti di eseguire codice arbitrario con i m...

Criptovalute, ransomware e hamburger: la combo fatale per Scattered Spider
Di Redazione RHC - 25/09/2025

Il Dipartimento di Giustizia degli Stati Uniti e la polizia britannica hanno incriminato Talha Jubair, 19 anni, residente nell’East London, che gli investigatori ritengono essere un membro chiave di...

Rilevate vulnerabilità Zero-Day in Cisco IOS e IOS XE: Aggiornamenti Urgenti
Di Redazione RHC - 25/09/2025

Una vulnerabilità zero-day, monitorata con il CVE-2025-20352, è stata resa pubblica da Cisco nei suoi diffusissimi software IOS e IOS XE; tale vulnerabilità risulta essere sfruttata attivamente. L�...

Esce Kali Linux 2025.3! Nuova release con miglioramenti e nuovi strumenti
Di Redazione RHC - 24/09/2025

Gli sviluppatori di Kali Linux hanno rilasciato una nuova release, la 2025.3, che amplia le funzionalità della distribuzione e aggiunge dieci nuovi strumenti di penetration testing. L’aggiornamento...