Security Weekly 31-4/4/25
Analizziamo lo smantellamento di Androxgh0st botnet, il leak di AdultFriendFinder, tanto altro e il funfact
Buon sabato e ben ritrovato caro cyber User!
🧨 1. Operazione Duck Hunt colpisce Androxgh0st Botnet
Contesto tecnico:
L'FBI, in collaborazione con partner internazionali, ha smantellato una rete botnet basata su Androxgh0st, un malware focalizzato sull’abuso di credenziali di AWS, Microsoft 365 e altri servizi cloud tramite API scraping.
Approfondimento per esperti:
Androxgh0st automatizza la raccolta di chiavi API hardcoded da repo GitHub o configurazioni mal gestite.
Una volta ottenuto l’accesso, esegue azioni non autorizzate su AWS S3, SES, e Lambda, spesso impiegate per attività come lo spam-as-a-service o il pivoting interno.
Il codice sorgente è scritto in Python ed è facilmente modificabile, il che lo rende attraente per attori meno sofisticati.
Implicazioni per sviluppatori:
Mai salvare secrets/API key nel codice, specialmente nei repo pubblici. Implementare scansioni automatiche con Git Hooks o tool come TruffleHog.
Log e audit continuo su ambienti cloud, uso di IAM con least privilege e controllo delle API exposed.
🐛 CVE-2024-3400: Palo Alto PAN-OS zero-day exploitato attivamente
Dettagli tecnici:
La vulnerabilità è una command injection non autenticata nella funzione di gestione delle configurazioni del GlobalProtect.
Permette l’esecuzione di comandi arbitrari con privilegi root, bypassando completamente i controlli di accesso.
È sfruttabile via HTTP su PAN-OS versioni 10.2, 11.0 e 11.1.
Per esperti di difesa:
Sfruttata via HTTP POST malformati che iniettano payload nella pipeline di configurazione.
Indicatori di compromissione (IoC): modifiche sospette ai file
/opt/pancfg/mgmt, processi spawnati damgmtsrvr.
Mitigazioni immediate:
Applicazione patch urgente.
WAF per filtrare richieste malformate.
Monitoraggio di richieste HTTP verso endpoint
/ssl-vpn/config.
👤 Leak massivo di dati su AdultFriendFinder e altri siti per incontri
Fatti principali:
Un archivio di 300+ milioni di record è stato caricato su forum underground, contenente e-mail, IP, dettagli di login e preferenze sessuali.
Non è ancora chiaro se i dati siano di una nuova violazione o una ricombinazione di breach passati.
Implicazioni tecniche:
Le password sembrano hashate con MD5 senza salt, quindi facilmente crackabili via rainbow table.
Gli IP permettono la deanonimizzazione tramite geo-enrichment, pericoloso per l’estorsione mirata.
Per gli sviluppatori:
Ricordarsi: mai usare MD5 per le password – bcrypt, scrypt o Argon2 sono l’unica strada.
Privacy by Design: segmentazione e criptazione dei dati sensibili (soprattutto quelli “delicati” come preferenze sessuali o orientamento).
🔍 Attacco watering hole contro siti afghani legittimi
Descrizione:
Gruppi APT hanno compromesso siti governativi e ONG in Afghanistan, iniettando codice JavaScript malevolo che reindirizza gli utenti a server di exploit.
Il payload finale: un dropper che installa RAT custom, probabilmente sviluppato da gruppi filo-statali.
Approfondimento tecnico:
Il JS controlla l’OS e il browser dell’utente e serve exploit solo a target Windows con browser non aggiornato.
Gli script sono offuscati con obfuscatori JS come Obfuscator.io e decodificano dinamicamente codice in base a fingerprint dell’utente.
Mitigazioni per siti a rischio:
Implementare Content Security Policy (CSP).
Monitorare regolarmente il contenuto del DOM da CDN e third-party JS.
Integrity check su JS remoto (Subresource Integrity – SRI).
🛡️ Altre notizie in breve per esperti
DarkGate Malware con nuove funzionalità di Anti-VM
Rileva VirtualBox, VMware, Hyper-V e disabilita il payload. Usato per eludere sandbox automatici.Trickbot ritorna come loader in campagne phishing
Dopo lo smantellamento del 2023, una variante limitata sta riemergendo con moduli ridotti e cifratura via RC4.XSS nella libreria Chart.js
Se combinata con input dinamico non sanificato, può portare a injection persistente. Fix già rilasciato: aggiornare alla versione ≥4.5.0.
🔐 Riflessioni finali
Questo report evidenzia come gli attaccanti:
Sfruttino misconfigurazioni e scarsa gestione delle credenziali,
Continuino ad abusare di supply chain (come JS nei siti afghani),
E rinascono anche dopo operazioni di dismantling (Trickbot, DarkGate).
Per i professionisti della sicurezza, è fondamentale monitorare la propria superficie di attacco cloud, automatizzare la difesa tramite CI/CD security, e mantenere aggiornati sia tool che librerie di terze parti.
😋 FunFact
Il 2 aprile Microsoft ha celebrato i 50 anni della fondazione dell’azienda in un modo insolito. Bill Gates ha pubblicato un post celebrativo nel proprio “blog”. Con effetti particolari sul testo e foto in bianco e nero, ci sono tutte le tappe che hanno portato a costruire l’impero che oggi conosciamo, partendo dal 1975 fino alla pubblicazione di tutto il codice sorgente originale dell’interprete Altair BASIC, il linguaggio di programmazione originale Microsoft in 157 pagine PDF. Da lì nasce Office, Windows 95, Copilot e tutto il resto che oggi conosciamo di questa azienda.
Anche quest'oggi abbiamo concluso, ti ringrazio per il tempo e l'attenzione che mi hai dedicato, augurandoti buon fine settimana, ti rimando al mio blog e alla prossima settimana per un nuovo appuntamento con NINAsec.
Il network
Con questo piccolo schema riepilogo in breve i punti di riferimento che alimento con i miei contenuti, su diversi fronti, quasi quotidianamente.
Ransomfeed.it - piattaforma di monitoraggio ransomware, realtime;
inSicurezzaDigitale.com - blog di sicurezza informatica con approfondimenti tematici;
SecureBulletin.com - news internazionali su cyber security, analisi e frodi;
Spcnet.it - notizie geek;
ilGlobale.it - note politiche e di economia, di rilevanza internazionale;
Ziobudda.org - notizie Linux, open source e software libero, segnalabili e commentabili (socialnews).
NewsDF - il raccoglitore di tutto questo, con un suo feed RSS generale, per non perdere niente di quello che pubblico.