WEEKLY THREATS

Weekly Threats N. 24 2020

12 Giugno 2020

Questa settimana abbiamo registrato numerose notizie provenienti dal versante nazionale. Di particolare interesse è stata la scoperta di un portale chiamato CloudEyE, che finge di offrire soluzioni di sicurezza e che ha invece distribuito sample di GuLoader spacciandoli per il crypter DarkEye. Il sito sembra gestito da un soggetto italiano che in un forum ha adottato il nickname “sonykuccio” e che potrebbe rispondere al nome di Sebastiano Fabio Dragna.
Continuano poi le campagne malware; il RAT Netwire è stato veicolato da documenti Excel con macro malevole, mentre email che si fingono comunicazioni su fantomatiche fatturazioni hanno distribuito Agent Tesla tramite link o allegati malevoli.
Intanto, le operazioni del team LulzSecITA non sembrano rallentare. Gli hacktivisti hanno rivendicato sul proprio profilo Twitter data breach ai danni di ANIA (Associazione Nazionale fra le Imprese Assicuratrici) e CICAP (Comitato Italiano per il Controllo delle Affermazioni sulle Pseudoscienze).
Sulla scena internazionale continua ad essere sfruttato il tema della pandemia da Coronavirus.
Una campagna di phishing sta al momento prendendo di mira una corporation di multinazionali tedesche (MNC) associata ad una task force incaricata di procurare l’attrezzatura di protezione per il personale medico (PPE) contro il COVID-19.
Oltre ad una versione fake dell’applicazione nostrana Immuni (sviluppata per il monitoraggio delle infezioni), ricercatori di sicurezza hanno tracciato altri 11 APK che si spacciavano per utility analoghe di Paesi come Singapore, Iran, Brasile, India e Russia e che infettavano i dispositivi con malware come Anubis e SpyNote.
Infine, in Spagna i sistemi di alcuni ospedali sono stati infettati dal ransomware NetWalker (alias Mailto), grazie ad email che facevano riferimento ad aggiornamenti in merito al virus biologico.
Un altro ransomware continua a dominare il panorama cybercrime, dettando anche una particolare linea di comportamento. Maze – che per primo è passato dalla semplice cifratura dei dati alla minaccia di leakage delle informazioni, in caso di mancato pagamento – sta componendo un “cartello“, mettendo la propria infrastruttura a disposizione di altri operatori nel campo dei ransomware. Il “Maze Cartel” al momento vede la partecipazione di LockBit e Ragnar Locker. Fra le recenti vittime eccellenti di questa minaccia compaiono ora due aziende USA: la VT San Antonio Aerospace (VT SAA), che fa la manutenzione di velivoli, e la nota firma di servizi per processi aziendali Conduent.
Ancora un ransomware e due vittime eccellenti: Ekans ha colpito Enel Argentina e la giapponese Honda.
Di diversa natura, invece, la compromissione subita dalla A1 Telekom; i sistemi del maggior provider di comunicazioni internet austriaco sono stati oggetto di un attacco di probabile matrice state-sponsored (fonti anonime hanno fatto riferimento all’APT cinese Gallium) che potrebbe aver esposto dati sensibili di oltre 12.000 server.
Rimaniamo nell’orizzonte APT cinese per segnalare la ripresa delle attività da parte del gruppo Evil Eye (anche noto come Earth Empura o POISON CARP) con un nuovo spyware per Android ribattezzato ActionSpy.
In Slovacchia, invece, sono stati arrestati quattro alti funzionari governativi nell’ambito di un’indagine che ha portato anche al sequestro di una serie di dispositivi sospetti connessi alla rete IT ufficiale del governo – GOVNET; si sospetta il coinvolgimento dell’intelligence di un Paese straniero.
Sempre nel campo dei sospetti, poi, rimane la vicenda di una vasta e longeva operazione di cyber-spionaggio internazionale che ha riguardato, fra gli altri, individui e ONG impegnate nella campagna #ExxonKnew, contro la ExxonMobil. Gli analisti ritengono che l’avversario, individuato come Dark Basin, sia da ricondurre alla firma di sicurezza indiana BellTroX, che avrebbe operato su commissione di un Governo al momento ignoto.
Chiudiamo il nostro riepilogo settimanale con 4 vulnerabilità che aprono a particolari scenari di attacco.
CallStranger (CVE-2020-12695) è un bug di UPnP, Universal Plug and Play, che consente di bypassare la sicurezza e fare scan su LAN.
SMBleed (CVE-2020-1206) affligge il protocollo SMB (Server Message Block) e può essere sfruttato per effettuare un leak della memoria del kernel e, in combo con altri bug, permette anche di eseguire codice da remoto.
CrossTalk (CVE-2020-0543) impatta Intel Xeon E3 e consente attacchi side-channel; SGAxe è invece il nome di una nuova tecnica basata sulla nota CacheOut – efficace contro l’enclave Intel – che ne sfrutta la medesima falla (CVE-2020-0549).

[post_tags]