Aggiornamenti recenti Luglio 26th, 2024 2:16 PM
Mar 01, 2019 Marco Schiaffino Hacking, In evidenza, Malware, News, RSS, Scenario, Vulnerabilità 0
Nel mondo della sicurezza informatica esistono software che si posizionano in una sorta di “zona grigia”. Tecnicamente sono tool di intrusione, usati però anche da ricercatori e professionisti per valutare il livello di sicurezza dei sistemi nei cosiddetti “penetration test”.
Uno di questi strumenti è Cobalt Strike, un pacchetto di strumenti prodotto da Strategic Cyber LLC, che si integra con la celebre piattaforma Metasploit.
Negli ultimi tempi, Cobalt Strike è diventato però uno degli strumenti preferiti dai pirati informatici per portare i loro attacchi, sfruttandolo nel dettaglio come primo vettore di attacco, che gli consente di “mettere un piede” nei sistemi che prendono di mira per poi installare i loro malware.
Si tratta di un sistema server/client, particolarmente pratico (nell’ottica di un cyber-criminale) per gestire le operazioni in remoto. Tra gli utilizzatori del software ci sono anche soggetti piuttosto “celebri”, come il gruppo APT29 (Cozy Bear) sospettato di aver portato gli attacchi al Partito Democratico durante le ultime presidenziali USA.
Quello di cui nessuno si era accorto fino a oggi, però, è che Cobalt Strike aveva un lieve bug che consentiva di tracciare i suoi server.
Come ha spiegato in un report la società di sicurezza Fox-IT, la funzionalità è affidata a NanoHTTPD, un server Java opensource che ha ben pochi utilizzi al di fuori di questo.
Ciò che hanno notato i ricercatori è che NanoHTTPD inserisce uno spazio alla fine dell’indicazione dello status HTTP in risposta a interrogazioni in remoto. Un dettaglio quasi irrilevante, che ha permesso però agli analisti di Fox-IT di cominciare un’operazione di mappatura dei server.
Il bug, stando a quanto riportano, sarebbe presente dal 2012. La loro scoperta risale però a 5 anni fa e non è stata resa pubblica per consentirgli di continuare a monitorare l’attività dei server sospetti. Usiamo il termine “sospetti” perché, come precisano gli stessi ricercatori, alcuni di questi server possono fare riferimento ad aziende che eseguono penetration test e che sono quindi perfettamente legali.
Tuttavia, lo storico raccolto da Fox-IT conferma il fatto che ci sia una crescita esponenziale nell’utilizzo di Cobalt Strike. Nel corso dei 4 anni, infatti, gli analisti hanno individuato 7.718 istanze uniche, con un trend in costante crescita.
Ora che lo sviluppatore ha individuato e corretto il bug, spiegano dalle parti di Fox-IT, la quantità di server individuati attraverso questa tecnica sta decrescendo costantemente, mano a mano che gli utilizzatori (legittimi e non) eseguono l’aggiornamento alla nuova versione 3.13, rilasciata nel gennaio scorso.
La società di sicurezza ha quindi deciso di divulgare la notizia insieme a un elenco completo degli indirizzi IP che ha individuato nel corso della sua opera di mappatura.
Set 29, 2023 0
Feb 16, 2023 0
Nov 25, 2022 0
Nov 24, 2022 0
Lug 26, 2024 0
Lug 26, 2024 0
Lug 25, 2024 0
Lug 25, 2024 0
Lug 26, 2024 0
Parigi è al centro dell’attenzione mondiale per le...Lug 24, 2024 0
Il 19 luglio 2024 è una data che rimarrà impressa per...Lug 24, 2024 0
Con l’obiettivo di assicurare un adeguato livello di...Lug 23, 2024 0
Le password sono ormai universalmente riconosciute come un...Lug 23, 2024 0
Sembra un numero fin troppo elevato, ma è tutto vero:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Lug 26, 2024 0
Parigi è al centro dell’attenzione mondiale per le...Lug 26, 2024 0
Tanti videogiocatori si affidano ai cheat per avere più...Lug 25, 2024 0
I ricercatori di ESET hanno scoperto EvilVideo, una...Lug 25, 2024 0
Daggerfly, gruppo di cybercriminali cinesi conosciuto anche...Lug 24, 2024 0
Il 19 luglio 2024 è una data che rimarrà impressa...