Weekly Threats N. 45 2020

06 Novembre 2020

Dall’Italia arriva la notizia di un data breach massivo firmato Anonymous Italia e rivendicato il 5 novembre; in questo giorno si ricorda la “Congiura delle polveri” guidata contro il Parlamento inglese da Guy Fawkes, la cui immagine è divenuta un’icona dei movimenti hacktivisti mondiali. I ransomware continuano a mietere vittime eccellenti in tutto il mondo e anche nel nostro Paese. Sul versante governativo globale sono state registrate alcune azioni associate alle Presidenziali USA e una contro l’autorità per il nucleare in Giappone. Particolarmente nutrita è anche la sezione delle vulnerabilità 0-day che risultano già sfruttate.

La lista dei siti governativi italiani presi di mira da Anonymous Italia è lunga e comprende Regione Lazio, Provincia di Roma, ISTAT, Città Metropolitana di Milano, Regione Sicilia, ASL Abruzzo, CNR; per tutti si è trattato di data breach, per qualcuno anche di defacement. Nella nota di rivendicazione pubblicata sul blog ufficiale e rilanciata anche sul profilo Twitter di LulzSecITA si denuncia la scarsa efficacia delle nostre istituzioni nel fronteggiare l’attuale emergenza sanitaria.

Fra le società colpite da un cryptor negli ultimi giorni spicca il produttore del famoso liquore Campari; questo e la società giapponese di gaming Capcom sono stati impattati da RagnarLocker con perdite ingenti di dati e richieste di riscatto milionarie.
Un’altra realtà italiana, la CMC di Ravenna, ha subito gli effetti di NetWalker; il caso risale al 27 ottobre, ma non è stato chiarito l’esito della vicenda per questa società attiva nel settore dell’edilizia idraulica, portuale e stradale in molti paesi del globo. Nel frattempo Nefilim continua a rilasciare i dati sottratti alla Luxottica.
La Mattel, leader nel campo dei giochi, ha pubblicamente dichiarato di aver subito una violazione nel luglio scorso; analisti ritengono che la firma sia del gruppo russo FIN6, nel cui arsenale campeggiano TrikBot, Ryuk e Conti.
Si segnalano diversi movimenti anche dal lato degli avversari. Il Maze team il 1 novembre ha ufficialmente posto fine al proprio progetto; il sito dei leak è in via di smantellamento e non si registrano nuove azioni dallo scorso settembre; alcuni degli affiliati sarebbero passati alle operazioni di Egregor Team.
Per un gruppo che chiude, uno incrementa le proprie risorse; il REvil Team si sarebbe aggiudicato l’asta di un infostealer chiamato KPot per 6.500 dollari.
Sono state scoperte, infine, due nuove minacce: RegretLocker attacca VM di Windows; King Engine, variante di Hentai OniChan, ha sfruttato il tema COVID-19 per raggiungere target del settore sanitario.

Apple, è notizia di queste ultime ore, ha rilasciato fix per 3 0-day sfruttati in the wild: CVE-2020-27930 (RCE di FontParser), CVE-2020-27950 e CVE-2020-27932 (memory leak e escalation of privilege del kernel).
Oracle, dopo la pubblicazione del bollettino di sicurezza di ottobre, ha dovuto far fronte a una serie di problemi. Allo 0-day di WebLogic CVE-2020-14882 (CVSS 9.8), di cui si è già parlato la settimana scorsa e sfruttato anche di recente per la distribuzione di Cobalt Strike, se ne aggiunge un secondo, correlato; si tratta di un RCE tracciato con codice CVE-2020-14750, la cui PoC è già pubblica e che è stato risolto con una patch out-of-band.
Nel frattempo è stato scoperto un avversario che sembra aver sfruttato principalmente exploit per prodotti Oracle; individuato con la sigla UNC1945 e attivo almeno dal 2018, vanta un arsenale molto ampio che comprende anche EVILSUN, un tool basato sull’exploit per la CVE-2020-14871 di Solaris 9.
Bug sfruttati in the wild anche per Chrome e Windows. Nel browser di Google sono stati risolti, fra gli altri, CVE-2020-16009 nella versione per desktop e CVE-2020-16010 in quella per Android. Microsoft, invece, ha programmato per il 10 novembre la soluzione di CVE-2020-17087, un integer overflow che da solo consente di scalare i privilegi e, in catena con CVE-2020-15999 di Chrome, permette di eludere le sandbox.

Intanto, gli USA hanno fronteggiato numerose attività APT mirate a manipolare l’opinione pubblica con l’intento di interferire in qualche modo sull’esito delle Presidenziali. Sono state tracciate campagne firmate dal russo Sofacy contro account di posta elettronica dei partiti democratici in California e Indiana, nonché di importanti think tank a Washington e New York. Entità state-sponsored di matrice iraniana, secondo un alert rilasciato da CISA ed FBI, sarebbero riuscite a sottrarre i dati di registrazione degli elettori; il DoJ (Dipartimento di Giustizia) ha continuato a sequestrare domini registrati dall’Iran e sfruttati per campagne di disinformazione.

Chiudiamo con l’attacco informatico denunciato dal Nuclear Regulation Authority (NRA) giapponese; in una comunicazione ufficiale sul proprio sito, l’Autorità ha spiegato che fra 17 e 27 ottobre sono stati sospesi in via precauzionale i servizi mail; durante una conferenza stampa il vice segretario di Stato giapponese, Katsuya Okada, ha confermato un accesso non autorizzato, rassicurando che le informazioni relative agli impianti nucleari del Paese, conservate in un sistema indipendente e non raggiungibile dall’esterno, non sono state impattate. Il sospetto è che si sia trattato di un’operazione di matrice nordcoreana.

[post_tags]

Anonymous Italia Cobalt Strike Conti. Maze Team CVE-2020-14750 CVE-2020-14871 CVE-2020-14882 CVE-2020-15999 CVE-2020-16009 CVE-2020-16010 CVE-2020-17087 CVE-2020-27930 CVE-2020-27932 CVE-2020-27950 Egregor Team EVILSUN FIN6 Hentai OniChan King Engine KPot LulzSecITA Nefilim RagnarLocker RegretLocker REvil team Ryuk Sofacy TrikBot UNC1945

Contenuti correlati

L'Italia nel mirino di nuove offensive, approfondimenti sul leak di I-Soon, attività APT in Eurasia e Medio Oriente

Malware inediti utilizzati contro entità ucraine, attività state-sponsored in Asia, le ultime sulle vulnerabilità Ivanti

DDoS e ransomware colpiscono l’Italia, smantellata una botnet del russo Sofacy, notificate vulnerabilità sfruttate ITW