Aggiornamenti recenti Giugno 13th, 2025 12:44 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- EchoLeak: è arrivata la prima vulnerabilità zero clic per le IA (Microsoft 365 Copilot)
- Smartwatch e attacchi acustici: nuova minaccia alle reti isolate
- Microsoft rilascia patch per 67 bug, di cui uno già sfruttato
- Un bug di Google consentiva di scoprire il numero di telefono degli utenti in pochi minuti
- Helmon e la cybersecurity per tutti. Soprattutto le PMI
Falla in Cobalt Strike ha permesso di tracciare i server usati dai pirati
Un bug nel software utilizzato dai cyber-criminali consentiva di individuare l’indirizzo IP dei server Command and Control. Ora, però, il trucchetto non funziona più.
Nel mondo della sicurezza informatica esistono software che si posizionano in una sorta di “zona grigia”. Tecnicamente sono tool di intrusione, usati però anche da ricercatori e professionisti per valutare il livello di sicurezza dei sistemi nei cosiddetti “penetration test”.
Uno di questi strumenti è Cobalt Strike, un pacchetto di strumenti prodotto da Strategic Cyber LLC, che si integra con la celebre piattaforma Metasploit.
Negli ultimi tempi, Cobalt Strike è diventato però uno degli strumenti preferiti dai pirati informatici per portare i loro attacchi, sfruttandolo nel dettaglio come primo vettore di attacco, che gli consente di “mettere un piede” nei sistemi che prendono di mira per poi installare i loro malware.
Si tratta di un sistema server/client, particolarmente pratico (nell’ottica di un cyber-criminale) per gestire le operazioni in remoto. Tra gli utilizzatori del software ci sono anche soggetti piuttosto “celebri”, come il gruppo APT29 (Cozy Bear) sospettato di aver portato gli attacchi al Partito Democratico durante le ultime presidenziali USA.
Quello di cui nessuno si era accorto fino a oggi, però, è che Cobalt Strike aveva un lieve bug che consentiva di tracciare i suoi server.
Come ha spiegato in un report la società di sicurezza Fox-IT, la funzionalità è affidata a NanoHTTPD, un server Java opensource che ha ben pochi utilizzi al di fuori di questo.
Ciò che hanno notato i ricercatori è che NanoHTTPD inserisce uno spazio alla fine dell’indicazione dello status HTTP in risposta a interrogazioni in remoto. Un dettaglio quasi irrilevante, che ha permesso però agli analisti di Fox-IT di cominciare un’operazione di mappatura dei server.
Il bug, stando a quanto riportano, sarebbe presente dal 2012. La loro scoperta risale però a 5 anni fa e non è stata resa pubblica per consentirgli di continuare a monitorare l’attività dei server sospetti. Usiamo il termine “sospetti” perché, come precisano gli stessi ricercatori, alcuni di questi server possono fare riferimento ad aziende che eseguono penetration test e che sono quindi perfettamente legali.
Tuttavia, lo storico raccolto da Fox-IT conferma il fatto che ci sia una crescita esponenziale nell’utilizzo di Cobalt Strike. Nel corso dei 4 anni, infatti, gli analisti hanno individuato 7.718 istanze uniche, con un trend in costante crescita.
Ora che lo sviluppatore ha individuato e corretto il bug, spiegano dalle parti di Fox-IT, la quantità di server individuati attraverso questa tecnica sta decrescendo costantemente, mano a mano che gli utilizzatori (legittimi e non) eseguono l’aggiornamento alla nuova versione 3.13, rilasciata nel gennaio scorso.
La società di sicurezza ha quindi deciso di divulgare la notizia insieme a un elenco completo degli indirizzi IP che ha individuato nel corso della sua opera di mappatura.
Condividi l'articolo
I dati personali sul Dark Web sono una manna per i pirati informatici
Thunderclap: il pericolo arriva dalle periferiche
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Le aziende italiane prevedono un aumento degli investimenti... La cybersecurity sta acquisendo sempre più importanza tra... -
Sophos Annual Threat Report: i malware e gli strumenti più... Nel 2024, le piccole e medie imprese, spesso considerate il... -
Down di MATLAB: MathWorks conferma l’attacco... MATLAB ha smesso di funzionare per quasi una settimana e... -
Acronis: l’italia traina la crescita MSP Nel corso del “TRU Security Day 2025” di... -
Akamai individua “BadSuccessor” per... I ricercatori di Akamai hanno individuato di recente...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
EchoLeak: è arrivata la prima vulnerabilità zero clic per... Nel gennaio 2025, i ricercatori di Aim Labs hanno... -
Smartwatch e attacchi acustici: nuova minaccia alle reti... Le reti air-gapped, ovvero fisicamente separate da Internet... -
Microsoft rilascia patch per 67 bug, di cui uno già... Nell’aggiornamento di sicurezza di giugno Microsoft... -
Un bug di Google consentiva di scoprire il numero di... Di recente Google ha agito su un bug che consentiva... -
Helmon e la cybersecurity per tutti. Soprattutto le PMI In un contesto nazionale in cui il cyber crime colpisce...
Ransomware: la serie
No posts found.
