Nuovi attacchi in Italia, analizzate offensive di diversi APT, colpite DFS, Halliburton e TfL

Italia: rilevate campagne di phishing e attacchi ransomware

È stata identificata una nuova ondata, la terza in un mese, della campagna con target Italia volta alla distribuzione di Nocturnal Stealer, che sfrutta indirizzi di posta elettronica certificata (PEC) compromessi per veicolare la minaccia ad altre PEC. Anche questa nuova offensiva si caratterizza per l’invio di comunicazioni fraudolente che richiedono il pagamento di una presunta fattura insoluta, minacciando azioni legali in caso di inadempienza. In aggiunta, sono state tracciate due ulteriori operazioni. La prima ha sfruttato come esca Microsoft SharePoint, presentando nel testo dei messaggi link a presunte ricevute che mirano a ottenere le credenziali degli account Microsoft del malcapitato. La seconda, invece, ha colpito i dispositivi Android degli utenti di una banca italiana, distribuendo un RAT noto come EagleSpy. L’attacco ha utilizzato e-mail e messaggi che sembravano provenire dall’istituto di credito target. Nello specifico, nelle comunicazioni veniva richiesto agli utenti di fornire i loro dati di accesso come nome, e-mail, codice utente e PIN. Una volta ottenute queste informazioni, la vittima veniva invitata a scaricare un presunto aggiornamento dell’app bancaria, che in realtà installava il malware. Infine, passando al panorama ransomware l’operatore RansomHub Team ha rivendicato sul proprio sito dei leak la compromissione di Poker S.p.A.; mentre il gruppo Meow Leaks ha reclamato la violazione di Caseificio Alta Valsesia.

APT: osservate operazioni di APT 29, Lazarus Group e AQUATIC PANDA e attacchi in Ucraina

Tra novembre 2023 e luglio 2024, il gruppo russo APT 29 è stato osservato durante degli attacchi che hanno mirato a siti web del governo mongolo, in cui ha utilizzato exploit per iOS e Android simili a quelli sviluppati dai fornitori di spyware commerciali Intellexa e NSO Group. Spostandoci nel continente asiatico, il 19 agosto 2024, ricercatori di sicurezza hanno osservato il nordcoreano Lazarus Group sfruttare la vulnerabilità 0-day di Chromium CVE-2024-7971, corretta il 21 dello stesso mese, per distribuire il rootkit FudModule. Oltre a ciò, una nuova backdoor multipiattaforma scritta in Golang, denominata KTLVdoor, è stata attribuita all’avversario state-sponsored di matrice cinese AQUATIC PANDA. La minaccia, che dispone sia di versioni Windows che Linux, è più complessa dei soliti tool utilizzati dall’avversario. È altamente offuscata e viene diffusa ITW usando vari nomi di utility di sistema o strumenti simili, come sshd, java, sqlite, bash, edr-agent. Infine, il CERT-UA, in collaborazione con altre entità governative ucraine, ha identificato e analizzato due offensive realizzate utilizzando l’applicazione di messaggistica istantanea Signal, usata per diffondere link volti a scaricare file APK malevoli tra i soldati.

Breach: Deutsche Flugsicherung, Halliburton e Transport for London nel mirino

La Deutsche Flugsicherung (DFS), società statale tedesca responsabile del controllo del traffico aereo del Paese, ha annunciato di essere stata colpita da un attacco informatico. Secondo quanto riportato da un media locale, un portavoce ha precisato che l’offensiva ha impattato l’infrastruttura IT amministrativa, compromettendo principalmente le comunicazioni interne della società. Il media ha infine riportato che, secondo le informazioni in suo possesso, dietro l’operazione ci sarebbe il gruppo state-sponsored russo Sofacy. Da parte sua, l’azienda statunitense di servizi petroliferi Halliburton ha confermato in un nuovo documento alla Securities and Exchange Commission (SEC) che, nel recente attacco legato all’operatore ransomware RansomHub, sono stati rubati dei dati. In particolare, una terza parte non autorizzata ha avuto accesso ai sistemi ed esfiltrato informazioni sensibili; la società sta ora cercando di determinare la natura e la portata dei dati sottratti e le notifiche necessarie. Infine, alla lista si aggiunge anche Transport for London (TfL) i cui servizi sono stati presi di mira da un’offensiva. L’azienda ha dichiarato che non vi sono prove che i dati dei clienti siano stati compromessi e che al momento non vi era alcun impatto sui servizi TfL.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence