Weekly Threats N. 20 2019
17 Maggio 2019La settimana appena trascorsa è stata nuovamente segnata dall’attività di Anonymous Italia. In un primo caso si è trattato della vandalizzazione di una pagina del portale di TIM, in un secondo della campagna #OpPharma – lanciata da un tweet del profilo @Anon_ITA e ripresa poi anche da @LulzSec_ITA – che prende di mira quella che gli hacktivisti del collettivo definiscono “malasanità”. I portali sanitari colpiti hanno subito attacchi di SQLinjection realizzati con il tool open source SQLmap. I dati sottratti, che variano da sito a sito, comprendono elenchi di database e tabelle, nomi, username, email, password in chiaro, indirizzi fisici, numeri di telefono.
Nuovi dettagli emergono rispetto al team russo che va sotto il nome Fxmsp e che di recente ha messo in vendita i codici sorgente di alcuni prodotti antivirus USA. L’attore è noto per aver già in passato messo a segno colpi analoghi, con un profitto complessivo di oltre 1 milione di dollari. I nomi che compaiono nei log delle chat del dark market – e che quindi possono essere dati per confermati – sono quelli di McAfee e TrendMicro. Symantec avrebbe invece negato ogni coinvolgimento. Gli attacchi sarebbero avvenuti abusando di server remote desktop protocol (RDP) e servizi di Active Directory (AD) esposti. Il materiale sottratto consiste nei sorgenti, nell’accesso ai network interni e negli asset. La vendita si sta svolgendo grazie ad un network di venditori – i cui nomi sono Antony Moricone, Lampeduza, Nikolay e BigPetya – e il prezzo richiesto è di 300.000 dollari per ciascuna compagnia colpita. Fxmsp ha inoltre messo in vendita anche la botnet sfruttata in passato per colpire target di alto profilo.
L’Europol ha invece rilasciato un comunicato stampa in merito ad un’operazione internazionale – a guida FBI – conclusasi con la chiusura del network sfruttato per distribuire il malware GozNym e con l’arresto di molti dei criminali che lo hanno gestito. L’operazione è stata condotta in Georgia, Moldova, Ucraina e Stati Uniti. Sono state arrestate numerose persone, fra cui anche uno degli amministratori del network Avalanche. La rete in questione veniva utilizzata as-a-service e forniva differenti servizi: bulletproof hosting, money muling, strumenti di cifratura, spammer, tool per la codifica e supporto tecnico. Veniva pubblicizzato nel dark web in forum per russofoni.
Un’enorme campagna di disinformazione gestita dal governo di Teheran, e verosimilmente legata alla precedente scoperta di un’infrastruttura massiva per la distribuzione di fake news, è stata battezzata dagli analisti Endless Mayfly. L’operazione, condotta in diverse lingue, ha come scopo principale quello di screditare con varie modalità le politiche saudite, statunitensi e israeliane. Nello specifico è stata messa in piedi una rete di persone inesistenti e falsi account social media che diffondono fake news e amplificano giudizi critici sui suddetti Paesi.
Il Ministero della Giustizia vietnamita è il target di una nuova campagna messa in atto da un APT cinese. Sebbene la campagna presenti diversi punti in comune con quelle recentemente svolte da Goblin Panda – vittimologia e tecniche di attacco coincidono – l’attore sembra essere diverso. Nello specifico il documento RTF utilizzato sfrutta la nota vulnerabilità di Equation Editor CVE-2017-11882 per scaricare la minaccia identificata come Gh0st RAT.
Rispetto alle vulnerabilità, Intel ha rilasciato 12 bollettini di sicurezza che correggono falle, soprattutto di tipo escalation of privilege, in numerosi prodotti. Tra i bollettini presente anche un advisory relativo a 4 falle che consentono attacchi speculativi (CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091).
Settimana delicata per Microsoft che ha rilasciato – con carattere d’urgenza – due patch per vulnerabilità critiche. Nel primo caso, con CVE-2019-0708, si è trattato di una patch relativa ad una vulnerabilità di tipo Remote Code Execution che affligge Remote Desktop Services. La problematica coinvolge le versioni 32 e 64 bit dei sistemi operativi Windows 7 e Windows Server 2008. La vulnerabilità può essere sfruttata sia in rete locale che da remoto, senza possedere credenziali di autenticazione. Unico requisito per il suo sfruttamento è quello di poter accedere al servizio RDP (porta TCP 3389) della macchina target e inviare una richiesta specifica in fase di pre-autenticazione. Sfruttando tale vulnerabilità si espone il completo sistema alla possibilità di installare programmi, creare, visionare, modificare dati degli utenti nonché creare nuovi account di sistema privilegiati. La falla, qualora “armata”, è inoltre potenzialmente sfruttabile per attività di attacco su larga scala come è avvenuto nel celebre caso di WannaCry. Da segnalare che Microsoft ha rilasciato anche le patch per le versioni del proprio sistema operativo non più ufficialmente supportate: Windows XP e Windows Server 2003.
Infine Whatsapp ha recentemente corretto una grave falla che è già stata sfruttata per installare tool di sorveglianza su un numero limitato di smartphone. Identificato con CVE-2019-3568, il bug può essere sfruttato per installare spyware e rubare dati da dispositivi Android o iPhone grazie ad una semplice chiamata Whatsapp e si rivela efficace anche nel caso in cui la vittima designata non risponda. Al momento, tale bug è stato utilizzato per infettare alcuni dispositivi selezionati con il noto spyware Pegasus, sviluppato e commercializzato dalla controversa compagnia israeliana NSO Group.
Rilasciati anche aggiornamenti per prodotti Cisco, SAP, Citrix, Apple, Samba, VMware, Siemens, Adobe, Linksys e Linux.
Relativamente ai data breach, un database Elasticsearch non protetto ha esposto i dati personali di oltre 3 milioni di cittadini panamensi, che corrisponde a circa il 90% della popolazione del paese. Secondo quanto dichiarato dal ricercatore che l’ha scoperto, nel database compaiono informazioni di vario genere tra cui nomi, date di nascita, numeri identificativi dei documenti, numeri di previdenza sociale, indirizzi mail e numeri di telefono.
[post_tags]