Weekly Threats N. 04 2021
29 Gennaio 2021Questa settimana sono state tracciate numerose campagne basate su minacce informatiche o finalizzate al phishing che hanno interessato utenze email italiane; a livello internazionele emergono dettagli di alcune campagne APT di particolare interesse; sono state smantellate le infrastrutture di due popolari malware; continuano le operazioni ransomware; fra le vulnerabilità segnalate compaiono anche alcuni 0-day.
Utenti italiani continuano ad essere fra gli obiettivi di campagne malware globali o più mirate; nello specifico, sono stati distribuiti GuLoader, zLoader, Emotet, AgentTesla e Ursnif (in questo caso, tramite email che sembrano provenire dal Ministero dello Sviluppo Economico); inoltre, email di phishing hanno imitato comunicazioni dei corrieri Bartolini, DHL, Poste Italiane, oppure hanno finto segnalazioni da parte del servizio Register.it e offerte di giftcard della catena di supermercati Lidl.
Ricercatori che collaborano con grandi firme di sicurezza sono finiti nel mirino di una campagna verosimilmente sponsorizzata dal Governo nordcoreano; grazie a sofisticate tecniche di social engineering basate su profili di popolari social network e su un blog appositamente creato, gli avversari hanno distribuito una backdoor a professionisti del settore.
In Medio Oriente sono state rilevate attività del gruppo Volatile Cedar, che potrebbe essere una realtà sponsorizzata direttamente dal Governo libanese o da un gruppo politico di quella nazione e che sembra avere contatti con la Hezbollah Cyber Unit; grazie alla compromissione di server Oracle (CVE-2012-3152), Atlassian (CVE-2019-3396, CVE-2019-11581) e Redit, sono stati distribuiti il RAT Explosive, la webshell Caterpillar e una serie di minacce open source, oltre che malware di matrice iraniana; le vittime comprendono entità di USA, Regno Unito, Egitto, Giordania, Arabia Saudita, Emirati Arabi e dell’Autorità Palestinese afferenti ai settori governativo, delle telecomunicazioni, IT e privato.
Andate a buon fine due imporanti operazioni volte allo smantellamento di reti cyber criminali. Le autorità di Olanda, Germania, Regno Unito, Francia, Lituania, Stati Uniti, Canada e Ucraina, coordinate da Europol e Eurojust, hanno neutralizzato l’infrastruttura del popolare malware Emotet; il Dipartimento di Giustizia americano (DoJ) ha reso noto che un’azione congiunta delle forze dell’ordine americane a cui hanno partecipato anche le autorità bulgare, ha portato alla chiusura della rete utilizzata dal NetWalker Team.
Ma i ransomware in generale non sembrano rallentare le proprie attività. Nefilim Team ha compromesso i sistemi di una compagnia sfruttando le credenziali di un amministratore di sistema deceduto e utilizzando gli exploit per alcune falle di Citrix (si ipotizza che si tratti di CVE-2019-11634, CVE-2019-13608, CVE-2020-8269, CVE-2020-8270, CVE-2020-8283); REvil Team ha invece sfruttato i bug CVE-2019-2725, CVE-2018-13379 e CVE-2019-11510; Avaddon Team ha adottato un sistema di estorsione già praticato da SunCrypt Team e RagnarLocker Team che prevede anche un’offensiva di tipo DDoS contro le vittime insolventi. Ignoto il malware – presumibilmente un cryptor – utilizzato in un sofisticato attacco che ha raggiunto i sistemi di SonicWall; gli avversari hanno compromesso le versioni 10.x di SMA (Secure Mobile Access) e potrebbero aver sottratto anche alcuni codici sorgente.
Nel frattempo, continuano anche le campagne di phishing, due delle quali mirate soprattutto contro entità degli Stati Uniti. È stato scoperto un portale che imita quello della Federal Trade Commission (FTC) e ne sfrutta il sigillo e l’indirizzo per risultare più credibile; figure aziendali come amministratori delegati, presidenti e fondatori di società sono finite nel mirino di avversari che efiltrano credenziali di account di alto livello per poi rivenderle nei forum undergrond.
Nutrita risulta la sezione vulnerabilità. Apple ha rilasciato, fra gli altri, aggiornamenti straordinari per iOS 14.4 e iPadOS14.4 che risolvono i tre 0-day CVE-2021-1870, CVE-2021-1871 (arbitrary code execution) e CVE-2021-1782 (elevation of privilege); nel programma Sudo di Linux è stata risolta una falla di tipo heap-based buffer overflow, vecchia di 10 anni, tracciata con codice CVE-2021-3156 e battezzata Baron Samedit; Google ha dovuto affrontare un problema del linguaggio di programmazione Go, rubricato con CVE-2021-3115, che su piattaforme Windows consente di fare command injection e quindi RCE.
Segnalati problemi di sicurezza anche in prodotti e soluzioni di Mozilla, Delta Electronics, Honeywell, Mitsubishi Electric, M&M Software GmbH e Fuji Electric.