Weekly Threats N. 39 2020
25 Settembre 2020Numerose sono le campagne malware, anche con vittime di rilievo, e le nuove azioni hacktiviste che segnano la scena cyber italiana degli ultimi giorni; a livello internazionale abbiamo dato conto soprattutto di operazioni crime; esposti i dati degli utenti di Bing; rilasciate PoC e correzioni per bug gravi in Firefox, Instagram e µTorrent.
Mentre il collettivo hacktivista LulzSecITA rivendicava azioni contro entità correlabili ai Ministeri dell’Interno e della Salute italiani, due compagnie – Luxottica e il Gruppo Carraro – sono state colpite da attacchi informatici che hanno compromesso anche seriamente parte delle attività produttive.
Ma sono moltissime le campagne malware censite in Italia questa settimana; FormBook e Agent Tesla hanno preso di mira il settore alberghiero; quanto ad Emotet, sono state tracciate quotidianamente ondate di email malevole, alcune a tema Enel Energia. Ursnif ha invece abusato dei nomi dell’Agenzia delle Entrate e del corriere Bartolini; in un altro frangente è stato distribuito da email che sembravano provenire dall’Organizzazione Mondiale per la Sanità o che facevano riferimento al COVID-19. Questo stesso tema ricorre anche in relazione alla minaccia individuata come 404keyLogger, che ha funzioni di RAT e infostealer.
Spostando il focus sul panorama europeo, ancora a tema Coronavirus si registra, in Germania, un’operazione che ha mirato ad alcune aziende con email che sembravano provenire dal Ministero della Salute tedesco ed hanno distribuito minacce malware.
A livello internazionale emergono le attività dei gruppi Evilnum (noto anche come Jointworm) e OldGremlin (di recente documentazione); il primo ha lanciato una campagna contro società di servizi finanziari e del settore IT che servono organizzazioni in Europa e negli Stati Uniti, l’altro ha distribuito il ransomware custom TinyCriptor nell’ambito di attacchi di spear phishing basati anche sul tema del Coronavirus.
Pochi segnali sono giunti invece dagli avversari APT. Leviathan, il team sponsorizzato dal Governo di Pechino, ha sfruttato almeno 18 applicazioni Azure Active Directory presenti sul portale Azure di Microsoft e un account GitHub nell’ambito di una campagna a tema COVID-19 veicolata da email di spear phishing e basata sul toolkit PowerShell Empire.
Negli Stati Uniti, un alert della CISA (Cybersecurity and Infrastructure Security Agency) ha reso noto un attacco portato ai danni di un’Agenzia federale sfruttando la vulnerabilità CVE-2019-11510 di Pulse Secure VPN.
Torniamo a parlare di data breach eccellenti con la scoperta di un database esposto online del motore di ricerca Bing di Microsoft; al suo interno erano archiviate particolari coordinate delle ricerche che possono essere sfruttate per risalire all’identità degli utenti; a quanto pare, fra il 10 e il 12 settembre il server che ospita il database è stato preso di mira da una tipologia di attacco automatizzato chiamata “Meow“.
Chiudiamo la rassegna con una serie di vulnerabilità di rilievo.
Le versioni 68.11.0 e precedenti di Firefox per Android sono impattate da un bug che consente compromissioni attraverso la connessione wi-fi; Mozilla ha preso atto del problema rassicurando gli utenti sul fatto che non sarà ereditato da Fennec, la prossima versione del browser.
Facebook ha invece risolto una falla RCE che affligge la versione per Android di Instagram; si tratta di una integer overflow ad alto impatto tracciata come CVE-2020-1895.
Guai anche per il client µTorrent, esposto ad attacchi che possono indurre al crash e corrompere qualsiasi istanza Torrent connessa alla rete (CVE-2020-8437); la Proof of Concept di uno dei due exploit possibili è già stata resa pubblica.
[post_tags]