Weekly Threats N. 49 2020

Campagne malware/phishing e un arresto segnano la scena cybercrime italiana; a livello internazionale, due operazioni cavalcano l’onda del vaccino per il COVID-19, mentre i ransomware continuano a mietere vittime eccellenti; due popolari botnet si stanno propagando grazie a particolari exploit (uno dei quali per uno zero-day); in attesa dei bollettini schedulati per il mese corrente dai maggiori vendor di software, segnaliamo il rilascio di alcune patch e hotfix di rilievo.

Il Corpo dei Carabinieri di Monza ha individuato 12 persone – 6 delle quali sono già state tratte in arresto – che si ritengono parte di un’organizzazione criminale dedita al furto di denaro dagli ATM. Il gruppo avrebbe colpito almeno 35 dispositivi gestiti da uffici postali e istituti bancari sul territorio nazionale, capitalizzando 800.000 euro in soli 7 mesi.
Nel frattempo continua il tracciamento di email a tema Vodafone volte a distribuire Ursnif, di altre comunicazioni a tema DHL che veicolano MassLogger e di messaggi di phishing che mirano alle credenziali di login dei clienti Nexi.
Fra i target di UNC1945, gruppo che si è contraddistinto per lo sfruttamento di vulnerabilità che affliggono Oracle Solaris, e in particolare la zero-day CVE-2020-14871, compaiono anche aziende di grosso calibro in Italia ed Europa.
Italiani, europei e di numerose altre nazioni del mondo sono anche i target di un nuovo sofisticato gruppo mercenario chiamato DeathStalker che sfrutta la backdoor PowerPepper.

Un altro bug di Oracle, il CVE-2020-14882 che impatta WebLogic, è attualmente sfruttato dalla botnet DarkIRC; l’omologa Mirai, invece, ha aggiunto al proprio arsenale l’exploit per uno zero-day dei dispositivi LILIN.

Numerose le vittime eccellenti per ransomware di stampo crime e APT. Il Conti Team ha richiesto un riscatto di 750 BTC (circa 13 milioni di dollari) per ripristinare i sistemi di Advantech; il REvil Team ha adottato la tecnica Search Engine Optimization (SEO) per distribuire il proprio cryptor e il trojan bancario Gootkit in Germania; il DopplePaymer Team ha invece compromesso il Banijay Group (casa madre della Endemol Shine Group) e la Contea del Delaware in Pennsylvania.
Egregor, che sembrerebbe avere qualche connessione con Prolock, ha colpito gli store Kmart e la TransLink, l’agenzia dei trasporti di Vancouver.
Non sono ancora noti i nomi delle minacce che hanno raggiunto la brasiliana Embraer, produttrice di aeroplani civili e militari, e il Manchester United.
Dal canto suo, la compagine state-sponsored nordcoreana Lazarus ha bloccato i sistemi di numerose piccole aziende sfruttando la CVE-2020-10189 di Zoho ManageEngine Desktop Central.

Ancora avversari nordcoreani sono ritenuti responsabili di tentativi di attacco contro AstraZeneca, impegnata nella produzione di uno dei vaccini per il Coronavirus; falsi recruiter hanno contattato lo staff della compagnia tramite LinkedIn e WhatsApp presentando false offerte di lavoro; i documenti distribuiti contenevano un malware sfruttabile per ottenere accesso ai dispositivi target.
Un’altra vasta campagna, avviata nel settembre 2020, sta sfruttando il tema del COVID-19 per colpire organizzazioni coinvolte nella supply chain della realizzazione dei vaccini. Fra i target vi sono lo European Commission’s Directorate-General for Taxation and Customs Union e realtà di numerosi settori localizzate tra Europa – Italia compresa – Medio Oriente, ex-URSS e regioni del MENA.
Continua poi la distribuzione di email che, fingendosi report della WHO (World Health Organization) sull’andamento della pandemia, diffondono minacce come AZORult e Glupteba.

Segnaliamo il rilascio di una PoC dell’exploit per una vulnerabilità zero-day (privilege escalation) riscontrata da un ricercatore indipendente in Windows 7 e Windows Server 2008 R2. Entrambi i sistemi hanno raggiunto la fine del supporto a gennaio 2020 e attualmente sono nel periodo Extended Security Updates (ESU); a partire dal 2023 non riceveranno più alcuna correzione. Il progetto 0patch ha provveduto a rilasciare un micropatch gratuita e non ufficiale.
Xerox ha approntato una hotfix per DocuShare (CVE-2020-27177) e Mozilla ha corretto un problema ad alto impatto in Thunderbird (CVE-2020-26970); Schneider Electric ha rilasciato advisory per StruxureWare e EcoStruxure Operator Terminal Expert runtime (Vijeo XD); Apple ha risolto 18 falle in iCloud per Windows; segnalate patch anche per il core di Drupal e alcuni prodotti Fortinet.