Aggiornamenti recenti Febbraio 7th, 2025 11:57 AM
Mar 01, 2019 Marco Schiaffino Hacking, In evidenza, Malware, News, RSS, Scenario, Vulnerabilità 0
Nel mondo della sicurezza informatica esistono software che si posizionano in una sorta di “zona grigia”. Tecnicamente sono tool di intrusione, usati però anche da ricercatori e professionisti per valutare il livello di sicurezza dei sistemi nei cosiddetti “penetration test”.
Uno di questi strumenti è Cobalt Strike, un pacchetto di strumenti prodotto da Strategic Cyber LLC, che si integra con la celebre piattaforma Metasploit.
Negli ultimi tempi, Cobalt Strike è diventato però uno degli strumenti preferiti dai pirati informatici per portare i loro attacchi, sfruttandolo nel dettaglio come primo vettore di attacco, che gli consente di “mettere un piede” nei sistemi che prendono di mira per poi installare i loro malware.
Si tratta di un sistema server/client, particolarmente pratico (nell’ottica di un cyber-criminale) per gestire le operazioni in remoto. Tra gli utilizzatori del software ci sono anche soggetti piuttosto “celebri”, come il gruppo APT29 (Cozy Bear) sospettato di aver portato gli attacchi al Partito Democratico durante le ultime presidenziali USA.
Quello di cui nessuno si era accorto fino a oggi, però, è che Cobalt Strike aveva un lieve bug che consentiva di tracciare i suoi server.
Come ha spiegato in un report la società di sicurezza Fox-IT, la funzionalità è affidata a NanoHTTPD, un server Java opensource che ha ben pochi utilizzi al di fuori di questo.
Ciò che hanno notato i ricercatori è che NanoHTTPD inserisce uno spazio alla fine dell’indicazione dello status HTTP in risposta a interrogazioni in remoto. Un dettaglio quasi irrilevante, che ha permesso però agli analisti di Fox-IT di cominciare un’operazione di mappatura dei server.
Il bug, stando a quanto riportano, sarebbe presente dal 2012. La loro scoperta risale però a 5 anni fa e non è stata resa pubblica per consentirgli di continuare a monitorare l’attività dei server sospetti. Usiamo il termine “sospetti” perché, come precisano gli stessi ricercatori, alcuni di questi server possono fare riferimento ad aziende che eseguono penetration test e che sono quindi perfettamente legali.
Tuttavia, lo storico raccolto da Fox-IT conferma il fatto che ci sia una crescita esponenziale nell’utilizzo di Cobalt Strike. Nel corso dei 4 anni, infatti, gli analisti hanno individuato 7.718 istanze uniche, con un trend in costante crescita.
Ora che lo sviluppatore ha individuato e corretto il bug, spiegano dalle parti di Fox-IT, la quantità di server individuati attraverso questa tecnica sta decrescendo costantemente, mano a mano che gli utilizzatori (legittimi e non) eseguono l’aggiornamento alla nuova versione 3.13, rilasciata nel gennaio scorso.
La società di sicurezza ha quindi deciso di divulgare la notizia insieme a un elenco completo degli indirizzi IP che ha individuato nel corso della sua opera di mappatura.
Set 29, 2023 0
Feb 16, 2023 0
Nov 25, 2022 0
Nov 24, 2022 0
Feb 07, 2025 0
Feb 06, 2025 0
Feb 05, 2025 0
Feb 04, 2025 0
Gen 30, 2025 0
Quando si parla di dati e di privacy, gli utenti si dicono...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Gen 15, 2025 0
Gli ultimi giorni dell’anno sono da sempre...Gen 08, 2025 0
Se finora l’FBI e il governo degli Stati Uniti ha...Gen 02, 2025 0
Oggi le aziende italiane non solo devono affrontare nuove e...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Feb 07, 2025 0
Un bug critico e noto di Outlook è stato sfruttato...Feb 06, 2025 0
Silent Lynx, un gruppo APT di origine kazaka, è tornato...Feb 05, 2025 0
Il team di Threat Hunting della Zero Day Initiative di...Feb 04, 2025 0
Sophos ha completato l’acquisizione di Secureworks,...Feb 03, 2025 0
Meta ha annunciato di aver smantellato una campagna di...