Sotto attacco Magento in centinaia di negozi online; Spionaggio: intelligence azerbaigiana recluta militari armeni
Buon sabato e ben ritrovato caro cyber User. Come sempre impegniamo questo piccolo spazio per entrare nel merito di alcuni fatti che non sono stati trattati in settimana tra blog e miei social.
In breve oggi ti parlo di:
Sotto attacco Magento in centinaia di negozi online
Tools utili della settimana
Lo spionaggio: intelligence azerbaigiana recluta militari armeni
Voci della settimana
Sotto attacco Magento in centinaia di negozi online
Gli analisti di Sancec hanno scoperto l'origine di una violazione massiva di oltre 500 negozi di e-commerce che utilizzano la piattaforma Magento 1 e coinvolge un singolo dominio che carica uno skimmer per carte di credito su tutti loro. Secondo Sansec, l'attacco è diventato evidente alla fine del mese scorso quando il loro crawler ha scoperto 374 infezioni lo stesso giorno, tutte utilizzando lo stesso malware.
Il dominio da cui gli attori delle minacce hanno caricato il malware è naturalfreshmall[.]com, attualmente offline, e l'obiettivo degli attori delle minacce era quello di rubare le informazioni sulla carta di credito dei clienti nei negozi online presi di mira.
Il problema più profondo è sempre l'aggiornamento dei CMS online, già in produzione. Infatti questo incidente affligge Magento 1, che appunto è obsoleto e senza patch. Questo è un ottimo esempio del motivo per cui è così importante controllare sia i partner a valle che quelli a monte come parte di qualsiasi buon programma di gestione del rischio di terze parti. Poni le domande difficili sulla gestione delle patch e sulla gestione delle vulnerabilità. Insistere per ottenere la documentazione a supporto delle affermazioni del fornitore.
Tools utili della settimana
Un metodo per rilevare vulnerabilità nei plugin di Wordpress: https://kazet.cc/2022/02/03/fuzzing-wordpress-plugins.html
Un antivirus per Kubernetes: https://github.com/kube-tarian/tarian
Uno strumento per mappare le CVE al fine di stabilirne gli impatti: https://github.com/center-for-threat-informed-defense/attack_to_cve
Lo spionaggio: l'intelligence azerbaigiana recluta militari armeni
Il Servizio di sicurezza nazionale dell'Armenia ha annunciato di aver identificato e neutralizzato una rete di spionaggio operante nel Paese. È stato riferito che dozzine di militari armeni sono stati coinvolti in questo giro. Sono già state arrestate 19 persone, alcune hanno già confessato.
Secondo la dichiarazione dell'NSS, la rete è stata creata dai servizi di intelligence stranieri. Nel video, distribuito dal servizio stampa del dipartimento, uno degli ufficiali, nella sua testimonianza, chiarisce di aver incontrato su Facebook “i dipendenti dei servizi speciali dell'Azerbaigian”.
Gli ufficiali sono stati reclutati da “donne armene”.
Il rapporto della BNS descrive come è stata creata la rete di spionaggio. Si dice che per ridurre il rischio di esposizione, sui social media siano stati aperti account falsi di presunte donne armene con fotografie personali. Quelle donne si sarebbero poi presentate agli ufficiali armeni.
L'attenzione dei servizi speciali è stata attirata dall'esercito armeno, che, secondo il suo status ufficiale, aveva accesso a questo tipo di informazioni. Le reclute hanno trasmesso entrambe le informazioni a loro note e hanno scoperto informazioni aggiuntive che erano di interesse per gli ufficiali dell'intelligence che le hanno contattate. I dati sono stati trasmessi tramite applicazioni mobili.
Il Servizio di sicurezza nazionale dell'Armenia ha valutato il comportamento dei cittadini armeni coinvolti nella rete di agenti come "azioni sleali contro il loro stato".
E' utile ricordare che nel corso delle indagini sono state effettuate più di 30 perquisizioni, sono stati individuati e sequestrati documenti ufficiali, compreso l'originale, nonché “oggetti di rilevante importanza per il procedimento penale”.
Voci della settimana
Sicuramente da evidenziare gli aggiornamenti in materia cyber di invasione dell'Ucraina.
Il Lazarus Group della Corea del Nord continua la sua noiosa pratica di phishing per le vittime con offerte di lavoro fasulle indirizzate alle principali società aerospaziali e della difesa. Northrop Grumman e BAE sono stati impersonati in passato; più recentemente, riporta ZDNet, è stato il turno di Lockheed Martin (del quale è comparso un leak proprio di recente su RaidForums).
Continua il down operativo del celebre punto di incontro cyber RaidForums. E' fermo dal 7 febbraio, sembra un errore di connessione al database MySQL. Ovviamente non si sono risparmiate le ipotesi, tra le quali la possibilità, scrive gran parte della stampa, che il founder sia stato attaccato da un leone di montagna, in pericolo di vita, anche se non se ne capisce il nesso con l'operatività del sito web. A meno che il problema non sia dovuto all'impossibilità dell'autore, di pagare il mensile del servizio di hosting, inibendone il rinnovo e le funzionalità. L'ipotesi parte da un tweet di conversazione, spiegato qui, con gli admin RF. Sinceramente continuerei a monitorare la situazione, prima di dare giudizi affrettati. Ad oggi si alternano orari di visibilità della home, a momenti in cui è completamente inaccessibile.
PwC ha scoperto il gruppo di minacce White Tur che ha tentato di rubare le credenziali di accesso dei dipendenti del Ministero della Difesa serbo. Secondo quanto riferito, il gruppo ha preso in prestito TTP da più gruppi APT.
Nel frattempo in Italia Codacons diffida Lercio per aver scritto un titolo/notizia falsa. Loro si che combattono le fake-news e sono in prima linea sempre sul pezzo, nella rete. Una splendida prova del processo in atto di transizione digitale.
Anche quest'oggi abbiamo concluso, ti ringrazio per il tempo e l'attenzione che mi hai dedicato, augurandoti buon sabato, ti rimando al mio blog e al prossimo sabato per un nuovo appuntamento con NINAsec.