Security Weekly 25-30/5/25

Notizie globali, abuso di DLL e binary reverse con AI nella pratica, ma c'è anche il Funfact

📬 Ben ritrovato caro cyber User con il nostro aggiornamento settimanale delle minacce emergenti, vulnerabilità critiche e delle evoluzioni normative più rilevanti nel mondo della cybersecurity.

Nuove metriche e strumenti di difesa

• NIST introduce il Likely Exploited Vulnerabilities metric
  Un nuovo strumento per valutare quali CVE sono effettivamente sfruttate in the wild.
  Approfondisci

• ETSI pubblica la prima specifica tecnica per la sicurezza AI
  Il documento TS 104 223 definisce le linee guida per proteggere i sistemi di intelligenza artificiale.
  Approfondisci

• MITRE ATT&CK v17
  L’aggiornamento amplia la copertura su ESXi, aggiunge oltre 140 nuove analytics difensive e migliora la raccolta dati su mobile.
  Approfondisci

Le tattiche

Sfruttare i Network Provider malevoli su Windows

Nel panorama della sicurezza informatica, le tecniche di attacco evolvono costantemente, sfruttando meccanismi di sistema meno noti ma potenti. Una di queste tecniche coinvolge l'uso di Network Provider malevoli su sistemi Windows, una metodologia che permette la cattura di credenziali utente in modo stealth.

Cos'è un Network Provider su Windows?

I Network Provider sono moduli DLL che si integrano nel processo di autenticazione di Windows. Registrati attraverso specifiche chiavi di registro, questi provider possono interagire con il sistema durante il login, offrendo funzionalità aggiuntive come l'autenticazione su reti aziendali o servizi cloud.

Tuttavia, questa capacità di interazione profonda con il processo di autenticazione può essere sfruttata da attori malintenzionati per intercettare e registrare le credenziali degli utenti.

La tecnica di attacco: intercettazione delle credenziali

La tecnica descritta da Ricardo J. Ruiz Fernández si basa sull'implementazione di un Network Provider malevolo che intercetta le credenziali durante il processo di login. Questa metodologia è particolarmente efficace anche in ambienti con protezioni avanzate come Protected Process Light (PPL) o Credential Guard, a condizione che non vi siano controlli rigorosi sulle modifiche alle chiavi di registro.(vulners.com)

Passaggi dell'Attacco:

1. Compilazione della DLL malevola:
   Utilizzando strumenti come "x64 Native Tools Command Prompt for VS", si compila una DLL che implementa le funzionalità desiderate.

   Esempio di compilazione:

cl /LD /DFILE_PATH=\"C:\\\\Windows\\\\Tasks\\\\custom_path.txt\" 1_textfile_base64.c crypt32.lib /link /OUT:anp.dll

2. Registrazione del Network Provider:
   La DLL viene registrata come Network Provider modificando le chiavi di registro appropriate, permettendo al sistema di caricarla durante il login.

3. Cattura delle credenziali:
   Durante il login o il cambio password, la DLL intercetta le credenziali e le registra in un file o le invia a un endpoint remoto.

Metodi di esfiltrazione dei dati

Il codice sviluppato offre diverse modalità per l'esfiltrazione delle credenziali intercettate:

1. Salvataggio in file con codifica Base64

Le credenziali vengono salvate in un file di testo, codificate in Base64, con una struttura JSON che include timestamp, operazione, dominio, username e password.

Esempio di contenuto del file:

eyJ0aW1lc3RhbXAiOiIyMDI1LTA0LTE0IDEwOjI4OjM2Iiwib3BlcmF0aW9uIjoiUFdEX1VQREFURV9PTEQiLCJkb21haW4iOiJERVNLVE9QLTBONkc2OTYiLCJ1c2VybmFtZSI6InJpY2FyZG8iLCJwYXNzd29yZCI6InFxIn0=

Decodificato:

{
  "timestamp": "2025-04-14 10:28:36",
  "operation": "PWD_UPDATE_OLD",
  "domain": "DESKTOP-0N6G696",
  "username": "ricardo",
  "password": "qq"
}

2. Salvataggio in file con Crittografia AES

Per una maggiore sicurezza, le credenziali possono essere crittografate utilizzando AES prima di essere salvate. La password AES predefinita è "TEST1234", ma può essere personalizzata.

Esempio di compilazione:

cl /LD /DFILE_PATH=\"C:\\\\Windows\\\\Tasks\\\\custom_path.txt\" /DAES_PWD=\"TEST1234\" 2_textfile_aes.c crypt32.lib advapi32.lib /link /OUT:anp.dll

La decodifica può essere effettuata con uno script Python:

python decrypt_aes.py <encrypted_data>

3. Invio a Webhook di Microsoft Teams con codifica Base64

Le credenziali possono essere inviate a un webhook di Microsoft Teams, codificate in Base64. L'URL del webhook deve essere specificato durante la compilazione.

Esempio di compilazione:

cl /LD /DWEBHOOK_URL=L\"https://...\" 3_webhook_base64.c crypt32.lib wininet.lib /link /OUT:anp.dll

4. Invio a Webhook di Microsoft Teams con crittografia AES

Simile al metodo precedente, ma con crittografia AES per proteggere ulteriormente le credenziali durante la trasmissione.

Esempio di compilazione:

cl /LD /DWEBHOOK_URL=L\"https://...\" /DAES_PWD=\"TEST1234\" 4_webhook_aes.c crypt32.lib wininet.lib advapi32.lib /link /OUT:anp.dll

Considerazioni sulla sicurezza

Questa tecnica evidenzia come componenti legittimi del sistema operativo possano essere sfruttati per attività malevole. È fondamentale in questo caso che i team di sicurezza monitorino attentamente le modifiche alle chiavi di registro relative ai Network Provider e implementino controlli per prevenire l'esecuzione di DLL non autorizzate.

---

Minacce avanzate e campagne APT

• Earth Lamia e APT41
  Gruppi cinesi sfruttano vulnerabilità note e, nel caso di APT41, nascondono comandi C2 in Google Calendar.
  Earth Lamia
  APT41 Google Calendar

• WaterPlum e OtterCookie
  Il gruppo nordcoreano aggiorna il proprio malware per colpire istituzioni finanziarie e piattaforme crypto.
  Approfondisci

• Earth Kurma
  Attivo dal 2020 nel Sud-Est asiatico, sfrutta piattaforme cloud per esfiltrare dati da enti governativi e telecomunicazioni.
  Approfondisci

---

Tools

DecompAI: l'agente AI per la reverse interattiva di binari Linux

Il reverse di binari rappresenta una sfida complessa, spesso riservata a esperti con anni di esperienza. Tuttavia, con l'avvento dell'intelligenza artificiale, strumenti come DecompAI stanno rivoluzionando questo campo, rendendo l'analisi binaria più accessibile e interattiva.

Cos'è DecompAI?

DecompAI è un agente basato su modelli linguistici di grandi dimensioni (LLM) che automatizza l'analisi e la decompilazione di binari Linux x86. Utilizzando un'interfaccia web interattiva basata su Gradio, DecompAI consente agli utenti di caricare un file binario e interagire con l'agente AI per esplorare, debuggare e decompilare il codice in modo conversazionale.

Caratteristiche principali

• Decompilazione guidata da AI: assistenza passo-passo nella decompilazione tramite un agente basato su ReAct.

• Analisi binaria: elenco delle funzioni, disassemblaggio delle sezioni e sintesi dell'assembly.

• Integrazione con strumenti: utilizzo di objdump, gdb, Ghidra (con hook AI personalizzati) e numerosi strumenti forniti da Kali Linux.

• Chat Interattiva: possibilità di porre domande all'agente, richiedere l'esecuzione di strumenti specifici o azioni di decompilazione.

• Persistenza delle sessioni: il caricamento dello stesso binario ripristina l'ambiente di lavoro precedente.

• Frameworks utilizzati: basato su LangGraph, LangChain e Gradio.

DecompAI rappresenta un potente strumento per la reverse e l'analisi di binari, ma è fondamentale utilizzarlo in ambienti sicuri, soprattutto considerando che il container Docker opera in modalità privilegiata. Si consiglia di eseguire audit del codice e di utilizzare l'applicazione in ambienti controllati.

DecompAI offre un approccio innovativo alla decompilazione, combinando l'intelligenza artificiale con strumenti tradizionali di analisi binaria. La sua interfaccia conversazionale e l'integrazione con strumenti come Ghidra e gdb lo rendono uno strumento prezioso per professionisti della cybersecurity e del reverse engineering.

---

Botnet, Malware e Ransomware

• AyySSHush Botnet
  Oltre 9.000 router ASUS compromessi tramite CVE-2023-39780.
  Approfondisci

• PumaBot
  Nuova botnet Go-based che attacca dispositivi IoT Linux.
  Approfondisci

• Medusa RaaS
  Utilizza driver malevoli in attacchi BYOVD per disabilitare protezioni endpoint.
  Approfondisci

• Agenda, Play, RedCurl
  Gruppi ransomware aggiornano i propri arsenali; RedCurl introduce il ransomware QWCrypt.
  Agenda
  Play
  RedCurl/QWCrypt

Phishing, Supply Chain e Social Engineering

• Phishing via AI e social
  Campagne che sfruttano falsi tool AI e brand clonati su Facebook.
  Approfondisci

• DBatLoader e Rhadamanthys
  Malware diffusi tramite email di banche turche o finte denunce legali.
  DBatLoader
  Rhadamanthys

• Supply chain attacchi su npm, PyPI e Go
  Pacchetti malevoli camuffati da plugin e moduli Go con payload disk-wiper.
  npm
  PyPI
  Go

• Nuove tecniche di phishing
  DKIM replay, phishing OAuth su Microsoft 365, campagne che abusano di estensioni Chrome.
  DKIM replay
  OAuth 365
  Estensioni Chrome

Vulnerabilità critiche e incidenti noti

• Linux nftables
  Vulnerabilità double-free consente escalation locale di privilegi.
  Approfondisci

• CVE-2025-29824
  Zero-day nel driver CLFS di Windows, sfruttato da Play ransomware.
  Approfondisci

• AirBorne
  Nuove vulnerabilità in Apple AirPlay consentono RCE senza interazione utente.
  Approfondisci

Iniziative, normative e operazioni internazionali

• Operazione Endgame (Europol)
  Smantellata infrastruttura malware collegata a numerose famiglie.
  Approfondisci

• Nuove leggi in Giappone
  L’Active Cyberdefense Law consente azioni preventive contro minacce estere.
  Approfondisci

• Investimenti UE e UK
  L’UE investe 1,3 miliardi di euro in cybersecurity e AI; UK lancia una Cyber and Electromagnetic Command.
  UE
  UK

• Quantum-safe encryption
  ETSI introduce Covercrypt, schema di key encapsulation post-quantum.
  Approfondisci

Trend e raccomandazioni

• Router EOL come proxy criminali
  L’FBI segnala l’uso di router fuori supporto come proxy per furto crypto, cybercrime ed espionaggio.
  Approfondisci

• Certificati SSL
  CA/Browser Forum ridurrà la durata dei certificati a 47 giorni entro il 2029.
  Approfondisci

• Transizione post-quantum
  NCSC UK pubblica linee guida per l’adozione di algoritmi NIST-approved entro il 2035.
  Approfondisci

  ---

😋 FunFact

📸 Immich: l’alternativa a Google Foto e iCloud, per non sacrificare la tua privacy

Se la gestione delle tue foto passa per servizi centralizzati come Google Photos o iCloud, Immich è una soluzione che merita attenzione. Un progetto emergente, ancora in sviluppo ma che prospetta bene.

Si tratta di un'applicazione moderna, open source e self-hosted per il backup e la gestione delle immagini, progettata con un occhio di riguardo per la privacy e il controllo dei dati.

Supporta upload automatico da dispositivi mobili, riconoscimento facciale, ricerche intelligenti e condivisione — il tutto mantenendo i tuoi contenuti sotto il tuo pieno controllo, senza affidarsi a servizi cloud di terze parti.

Ideale per chi cerca autonomia e sicurezza nel trattamento dei propri ricordi digitali.

---

Anche quest'oggi abbiamo concluso, ti ringrazio per il tempo e l'attenzione che mi hai dedicato, augurandoti buon fine settimana, ti rimando al mio blog e alla prossima settimana per un nuovo appuntamento con NINAsec.

Il network

Con questo piccolo schema riepilogo in breve i punti di riferimento che alimento con i miei contenuti, su diversi fronti, quasi quotidianamente.

• Ransomfeed.it - piattaforma di monitoraggio ransomware, realtime;

• inSicurezzaDigitale.com - blog di sicurezza informatica con approfondimenti tematici;

• SecureBulletin.com - news internazionali su cyber security, analisi e frodi;

• Spcnet.it - notizie geek;

• ilGlobale.it - note politiche e di economia, di rilevanza internazionale;

• Ziobudda.org - notizie Linux, open source e software libero, segnalabili e commentabili (socialnews).

• NewsDF - il raccoglitore di tutto questo, con un suo feed RSS generale, per non perdere niente di quello che pubblico.