Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 18 Febbraio 2022 18:06
Il gruppo di hacker TunnelVision, ritenuto affiliato al governo iraniano, sta sfruttando la vulnerabilità critica Log4Shell (CVE-2021-44228) nella libreria open source Apache Log4j della quale abbiamo parlato molto a ridosso di Natale 2021, per installare ransomware sui server VMware Horizon.
“TunnelVision sta sfruttando attivamente la vulnerabilità per eseguire comandi PowerShell dannosi, installare backdoor, creare utenti, rubare credenziali e navigare nella rete. Di norma, gli aggressori utilizzano prima la vulnerabilità in Log4j per eseguire direttamente i comandi in PowerShell, quindi eseguono ulteriori comandi utilizzando reverse shell eseguite tramite il processo Tomcat”
hanno spiegato gli esperti di SentinelOne.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Gli hacker utilizzano anche diversi servizi legittimi per nascondere le proprie attività, inclusi transfer.sh, pastebin.com, webhook.site, ufile.io, raw.githubusercontent.com.
Secondo gli esperti, le attività di TunnelVision sono monitorate da altre società di sicurezza delle informazioni, ma con nomi diversi, come Phosphorus (Microsoft), nonché Charming Kitten e Nemesis Kitten (CrowdStrike).
La confusione nasce perché gli esperti Microsoft attribuiscono l’attività a un gruppo (Phosphorus) e gli esperti CrowdStrike associano queste operazioni criminali a due gruppi diversi: Charming Kitten e Nemesis Kitten.
SentinelOne tiene traccia del raggruppamento separatamente sotto il nome TunnelVision.
Ciò non significa che i raggruppamenti elencati non siano correlati, solo che al momento gli esperti non dispongono di dati sufficienti per trarre conclusioni più accurate.
RedazioneDue gravi vulnerabilità di sicurezza sono state individuate nei dispositivi NetScaler ADC e NetScaler Gateway (precedentemente noti come Citrix ADC e Gateway). Queste falle possono permettere a u...
Secondo una analisi degli specialisti del Positive Technologies Expert Security Center, è stata rilevata una nuova vulnerabilità in Google Chrome monitorata con l’identificatore CVE-2...
Come abbiamo visto, è guerra informatica tra Israele ed Iran. Dopo gli attacchi di Predatory Sparrow alla Bank Sepah, ora un gruppo che si fa chiamare APTiran, colpisce le infrastrutture di Israe...
Autori: Simone D’Agostino e Antonio Piovesan Abbiamo spesso parlato di casi di vettori di attacco come e-mail/sms di phishing, siti abbeveratoio (watering hole) o altro riconducibile in general...
Un nuovo caso di Initial Access italiano è emerso nelle ultime ore sul dark web, confermando la continua pressione cybercriminale sul tessuto industriale del Paese. Il venditore, identi...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
