Rivendicate potenziali violazioni di diverse multinazionali, offensive in Italia, fermento tra gli APT cinesi

Cybercrime: rivendicati presunti data breach e leak ai danni di diverse società

In data 17, 18 e 19 giugno 2024, l’avversario IntelBroker ha pubblicato su un forum underground tre annunci: due inerenti la vendita di dati riguardanti presunti data breach risalenti al giugno 2024 e riconducibili rispettivamente ad Advanced Micro Devices (AMD) e T-Mobile; e uno relativo al rilascio del codice sorgente interno di tre strumenti Apple, presumibilmente ottenuto a seguito di un data breach avvenuto sempre nel giugno 2024. Stando a quanto annunciato dall’attaccante, per quanto riguarda AMD i dati compromessi includono una vasta gamma di informazioni, tra cui quelle su futuri prodotti della società, documenti finanziari, codice sorgente e database di clienti e dipendenti; mentre per T-Mobile comprendono codice sorgente, file SQL, immagini, dati Terraform, certificazioni t-mobile[.]com, Siloprograms e altro ancora. Fonti mediatiche hanno riportato che AMD ha dichiarato di essere a conoscenza dell’annuncio e di star lavorando a stretto contatto con le Forze dell’Ordine e con un partner di hosting terzo per indagare sulla rivendicazione e sull’importanza dei dati. T-Mobile, invece, avrebbe negato la violazione dichiarando che i suoi sistemi non sono stati compromessi e che non c’è alcuna indicazione circa il furto di dati dei propri clienti o codice sorgente. Al momento, l’operatore multinazionale di telefonia mobile starebbe indagando attivamente su un problema riscontrato presso un fornitore di servizi di terze parti. Tuttavia, il post sul forum risulta essere stato aggiornato con la scritta “[SOLD]”, suggerendo presumibilmente che la vendita dei dati sia andata a buon fine. Quanto ad Apple, l’attaccante ha fatto trapelare il codice sorgente dei seguenti tre strumenti interni al sito apple[.]com: AppleConnect-SSO, Apple-HWE-Confluence-Advanced e AppleMacroPlugin. Ciononostante, la Casa di Cupertino sembrerebbe non aver rilasciato alcun comunicato a riguardo. Il 19 giugno un altro avversario, rintracciato con lo pseudonimo 888, ha pubblicato nell’underground un annuncio riguardate un presunto data leak relativo ai dati di quasi 33.000 dipendenti (attuali ed ex) della società di consulenza e servizi IT Accenture. In base a quanto si legge nel post, nel giugno 2024 la compagnia ha subito una data breach da parte di terzi che ha esposto i dati di 32.826 dipendenti, tra cui indirizzi e-mail e nomi completi. Anche in questo caso, l’azienda sembrerebbe non aver rilasciato alcuna comunicazione sul supposto incidente.

Italia: segnalati diversi attacchi ransomware e campagne di phishing

Anche questa settimana continuano imperterrite le rivendicazioni ransomware contro diverse realtà del nostro Paese. L’inedito Space Bears ha annunciato la compromissione di Gianni Cuccuini (Cuccuini S.p.A.), boutique livornese (LI) specializzata nella vendita al dettaglio di abbigliamento e moda multibrand; RansomHub Team di GB Ricambi S.p.A., azienda di Nonantola (MO) operante nel settore della ricambistica after market e leader nella produzione e commercializzazione di ricambi per macchine agricole e movimento terra; Cactus Team di Sofidel S.p.A., gruppo con sede a Porcari (LU) specializzato nella produzione di carta per uso igienico e domestico; mentre Cicada3301, anch’esso precedentemente non documentato, ha reclamato la sua responsabilità dietro l’attacco all’Azienda Socio Sanitaria Territoriale Rhodense (ASST Rhodense) avvenuto nella notte tra il 5 e il 6 giugno 2024. Stando a quanto riportato nel blog di quest’ultimo, sarebbero stato esfiltrati 1 TB di dati, tra cui informazioni di identificazione personale (PII), documenti medici, prescrizioni e altri documenti sensibili. Tali dati sembrano essere stati pubblicati integralmente e scaricabili direttamente tramite appositi link. D’altro canto, per quanto riguarda le attività di phishing è stata tracciata una campagna a tema Agenzia delle Entrate che ha previsto la distribuzione del malware DanaBot e diverse operazioni volte a esfiltrare le credenziali delle vittime che hanno sfruttato come esca finte comunicazioni dell’Agenzia delle Entrate e della Corte Suprema di Cassazione, oltre a un falso aggiornamento Zimbra.

APT: fermento in Cina

Ricercatori di sicurezza hanno documentato diverse operazioni di spionaggio condotte da avversari finanziati dalla Repubblica Popolare Cinese (RPC). Tra questi, Velvet Ant ha sferrato un attacco prolungato contro un’organizzazione situata nell’Asia orientale per un periodo di circa tre anni, stabilendo molteplici punti di appoggio e utilizzando vari punti di ingresso nella rete, tra cui un’appliance F5 BIG-IP legacy che fungeva da server interno di C2. L’offensiva ha portato alla distribuzione di due versioni di PlugX e di altri tool identificati come VELVETSTING, VELVETTAP, EarthWorm (SAMRID) ed ESRDE. Dal canto suo, il gruppo UNC3886 ha condotto numerose intrusioni prendendo di mira importanti organizzazioni strategiche su scala globale, le quali hanno previsto lo sfruttamento di vulnerabilità 0-day in dispositivi Fortinet, Ivanti e VMware, utilizzando molteplici meccanismi di persistenza per mantenere un accesso illimitato agli ambienti compromessi. Nelle macchine virtuali VMware ESXi, l’attaccante ha eseguito diverse azioni di post-exploitation, tra cui: l’uso dei rootkit Reptile e MEDUSA disponibili pubblicamente per garantire la persistenza a lungo termine; la distribuzione di malware soprannominati MOPSLED e RIFLESPINE che sfruttano servizi di terze parti affidabili per il C2; la raccolta di credenziali tramite backdoor Secure Shell (SSH); e l’estrazione di credenziali dal protocollo di autenticazione Terminal Access Controller Access-Control System Plus (TACACS+) usando malware custom come LOOKOVER. Tra gli altri strumenti di attacco utilizzati figurano VIRTUALPIE; VIRTUALPITA; VIRTUALSHINE; VIRTUALSPHERE; e una versione trojanizzata di un demone TACACS legittimo con funzionalità di registrazione delle credenziali. Infine, è stata scoperta una campagna di spionaggio di lunga durata rivolta contro diverse Telco di un Paese asiatico per la quale sono stati impiegate backdoor associate a più APT cinesi, quali: COOLCLIENT attribuita a Mustang Panda; QUICKHEAL, a lungo impiegata da Ice Fog; e RainyDay, collegata a Naikon. Il motivo ultimo dell’operazione rimane poco chiaro, ma è possibile che i gruppi di Pechino stessero raccogliendo informazioni sul settore delle telecomunicazioni nello Stato target. Un’altra possibilità è che l’obbiettivo fosse effettuare intercettazioni o cercare di eseguire azioni di disturbo contro le infrastrutture critiche del Paese.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center. Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.