Budworm cinese APT scava un buco nella legislatura statale degli Stati Uniti • The Register

In breve Budworm (Advanced Persistent Threat Group, APT) ha spostato gli obiettivi dopo aver colpito il Medio Oriente, l’Europa e l’Asia, ed è stato catturato questa settimana mentre cercava di entrare nei sistemi di un’anonima legislatura statale degli Stati Uniti.

Il team di Symantec Threat Hunter ha segnalato l’intrusione, dicendo che ha tutti i segni distintivi di un attacco della banda Budworm legata alla Cina, che si pensa sia sponsorizzata dallo stato.

Symantec ha affermato che lo strumento principale di Budworm è noto come HyperBro, ma di recente è stato notato che ha abusato di una serie di strumenti di sicurezza legittimi, incluso l’utilizzo del software di gestione dei privilegi degli endpoint CyberArk Viewfinity, lo strumento di test di penetrazione Cobalt Strike, lo strumento di raccolta delle credenziali LaZagne, lo strumento proxy e port forwarding IOX, proxy inverso veloce e Fscan.

“Budworm è noto per aver organizzato attacchi ambiziosi contro obiettivi di alto valore”, ha affermato Symantec, indicando come prova gli attacchi contro un governo mediorientale senza nome e un ospedale dell’Asia orientale.

Sebbene non includesse i dettagli di quegli incidenti, Symantec si è collegato a un rapporto della Cybersecurity and Infrastructure Security Agency (CISA) su una campagna APT contro un appaltatore della difesa statunitense senza nome all’inizio di quest’anno. La CISA nota che HyperBro è stato utilizzato nell’attacco, il che significa che è probabile che il gruppo fosse coinvolto, ma non stava agendo da solo.

“Durante le attività di risposta agli incidenti, la CISA ha scoperto che probabilmente più gruppi APT hanno compromesso la rete dell’organizzazione e alcuni attori APT hanno avuto un accesso a lungo termine all’ambiente”, ha affermato l’agenzia.

Non è una buona notizia, come la vede Symantec: con due obiettivi statunitensi di alto valore attaccati in pochi mesi, “una ripresa degli attacchi contro obiettivi con sede negli Stati Uniti potrebbe segnalare un cambio di obiettivo per il gruppo”.

Il senatore Warren suona il braccio di Zelle, fa vergognare le banche per la frode EFT

La senatrice statunitense Elizabeth Warren (D-MA) afferma che le grandi banche stanno ignorando le crescenti frodi sulla piattaforma di pagamenti online di Zelle che gestiscono e non rimborsano gli utenti che cadono preda di truffe.

Se non hai sentito parlare di Zelle, non sei solo: il concorrente di Venmo è di proprietà di Bank of America, Truist, Capital One, JPMorgan Chase, PNC Bank, US Bank e Wells Fargo. Ora il senatore sostiene che il sistema sta vendendo i consumatori allo scoperto.

Secondo i dati di Warren, che secondo lei sono stati forniti da quattro delle sette banche del consorzio su richiesta a settembre, le richieste di frode sulla piattaforma hanno superato i $ 90 milioni (£ 80,5 milioni) nel 2020 ed erano sulla buona strada per superare i $ 255 milioni (£ 228 milioni) entro la fine del 2022.

A peggiorare le cose, Warren ha affermato che le banche hanno riferito di aver rimborsato solo il 9,6% delle richieste di truffe, pari a soli 2,9 milioni di dollari.

Zelle, d’altra parte, ha affermato che il 99,9 per cento delle transazioni sulla sua rete viene inviato senza segnalazioni di frodi o truffe e che “qualsiasi analisi esterna effettuata è incompleta e non riflette gli sforzi e i dati riportati da oltre 1.700 istituti finanziari sul Rete Zelle.

Airtag aiuta la scoperta dei cassonetti democratici

Un bandito politico del cartello del prato della Pennsylvania è stato sventato grazie a un uso esperto di un Apple Airtag.

Mentre il sospetto rimane in libertà, il rappresentante dello stato della Pennsylvania democratica Melissa Shusterman twittato che un localizzatore Apple era proprio ciò che serviva per rendere vani gli sforzi del ladro.

“I repubblicani locali pensavano di poter buttare via [Josh Shapiro], [Chrissy Houlahan], e i miei segni senza essere scoperti. Fortunatamente un membro della comunità ha inserito un airtag in uno [of] i segni e ci ha portato a questo cassonetto”, ha twittato Shusterman insieme alla foto di un bidone della spazzatura pieno di cartelli elettorali.

Gli agenti delle forze dell’ordine a Tredyffrin Township, in Pennsylvania, hanno detto che stavano esaminando le riprese video di un camion che si fermava al cassonetto e qualcuno che scaricava i segnali. Gli ufficiali hanno anche affermato che non c’era alcuna affiliazione di partito mirata tra quelli trovati nella spazzatura, ma un ex membro del comitato democratico che ha riferito di aver tirato fuori 118 cartelli dal cassonetto ha detto che tutti erano per candidati democratici, con i segni del candidato al Senato degli Stati Uniti John Fetterman trovati anche in la spazzatura.

Imperterrito, Shusterman ha detto che gli oggetti erano stati recuperati e che gli operatori della campagna erano in forze. “Il doppio della quantità di segni presi risalirà”, ha detto twittato.

Fortinet triple-whammy CVE ottiene PoC, spiegazione approfondita

Un difetto critico in FortiOS, FortiProxy e FortiSwitchManager di Fortinet è stato corretto, ma per i più curiosi la società di sicurezza Horizon3.ai ha rilasciato un proof of concept per l’exploit, oltre a spiegare come funziona.

Come Il registro segnalato all’inizio di questa settimana, il bug potrebbe consentire “a un utente malintenzionato non autenticato di eseguire operazioni sull’interfaccia amministrativa tramite richieste HTTP o HTTPS appositamente predisposte”, ma ora abbiamo una migliore comprensione di cosa è successo.

Eseguendo un comando diff su versioni vulnerabili e con patch di FortiOS, Horizon3.ai ha scritto nella sua immersione profonda, ha trovato alcune stringhe nel binario init del programma di installazione che puntavano alle intestazioni nel file NodeJs del programma di installazione.

“Questo binario init è piuttosto grande e sembra avere molte funzionalità, inclusi hook e gestori Apache per vari endpoint API REST di gestione”, ha osservato Horizon3.ai.

Per farla breve: quelle intestazioni inoltrate potrebbero essere utilizzate in modo improprio da un utente malintenzionato per impostare l’IP del client su 127.0.0.1, il che inganna l’agente di autenticazione di accesso attendibile e offre all’attaccante la possibilità di eseguire richieste API, senza necessità di autenticazione.

“Un utente malintenzionato può utilizzare questa vulnerabilità per fare qualsiasi cosa sul sistema vulnerabile”, ha osservato Horizon3.ai, inclusa l’aggiunta di nuovi utenti, la modifica delle configurazioni di rete e altre attività dannose.

Cattive notizie: i ricercatori hanno affermato che questa non è una novità e che hanno notato “una tendenza tra le vulnerabilità del software aziendale scoperte di recente in cui le intestazioni HTTP sono convalidate in modo improprio o eccessivamente attendibili”.

Installate quelle patch, gente. ®

Leave a Comment

Your email address will not be published. Required fields are marked *