WEEKLY THREATS

Weekly Threats N. 31 2021

06 Agosto 2021

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:
• Attacco ransomware al CED della Regione Lazio e al gruppo energetico ERG
• FIN6 veicola il ransomware Conti tramite BazarCall, TrickBot e Cobalt Strike
• Interessanti campagne nel panorama APT
• Malware: tracciate novità e aggiornamenti
• Pubblicata exploit per Ubuntu che sfrutta la CVE-2021-3490 nella componente eBPF del Linux Kernel
• Rilasciati numerosi bollettini che correggono vulnerabilità in diversi prodotti
• Nuove azioni sul fronte giudiziario contro attori della scena crime

La settimana che sta per concludersi è stata segnata da un importante attacco informatico al CED della Regione Lazio. Il 1 agosto 2021 la Regione è stata vittima di un’offensiva ransomware ad opera del RansomEXX Team, che ha interessato il CED e ha comportato l’irraggiungibilità del sito ufficiale (regione.lazio[.]it) e del sistema di prenotazione dei vaccini Anti Covid-19 (prenotavaccino-covid.regione.lazio[.]it). Inizialmente, sembrava che l’avversario fosse riuscito a criptare anche il backup dei dati ma, secondo recenti aggiornamenti, avrebbe in realtà solamente sovrascritto le copie. La conferma è arrivata giovedì sera quando il Presidente della Regione Nicola Zingaretti ne ha annunciato il recupero senza il bisogno di pagare alcun riscatto. La compromissione sembra essere partita dal PC di un dipendente di LAZIOcrea e ha visto anche l’utilizzo delle credenziali di un sistemista. Tuttavia, nei giorni successivi all’attacco, l’emissione del Green Pass non ha subito interruzioni ma solo dei ritardi; per quanto riguarda i tamponi, la Regione ha consentito a tutte le strutture, compresa la rete delle farmacie, di registrare l’esito direttamente sul circuito di Tessera Sanitaria gestito da Sogei e da Ragioneria generale dello Stato. Nella mattina di venerdì 6 agosto il sistema delle prenotazioni dei vaccini risulta disponibile. Intanto, la Procura della Repubblica continua ad indagare per accesso abusivo a sistema informatico e tentata estorsione.

Negli stessi giorni, è stato reso noto che il gruppo italiano ERG – leader nel settore dell’energia rinnovabile – è anch’esso caduto vittima di un’offensiva ransomware rivendicata dal gruppo Cyber Crime Lockbit 2.0. Nonostante ciò, in un comunicato ufficiale, l’azienda ha confermato di aver registrato solamente alcuni limitati disservizi all’infrastruttura ICT, i quali sono attualmente in via di risoluzione. Inoltre, ha dichiarato che tutti gli impianti sono correttamente in esercizio e che non hanno subito alcuna interruzione permettendo così alla società di garantire l’operatività di business.

È stata tracciata un’infezione ad opera di FIN6 (alias Conti Team), noto gruppo cybercrime russo, che tramite BazarCall, TrickBot e Cobalt Strike esegue il ransomware Conti. L’infezione ha avuto inizio grazie ad un file .xlsb che ha permesso di scaricare la DLL del malware TrickBot e di caricarla in memoria tramite certutil. TrickBot permette il furto delle credenziali del browser e la ricognizione dell’ambiente utilizzando tool di Windows (nltest.exe e net.exe). Successivamente, ha scaricato ed eseguito Cobalt Strike utilizzando più payload. Una volta stabilito l’accesso, l’avversario si è mosso lateralmente nella rete utilizzando un loader PowerShell per eseguire ulteriori Beacon Cobalt Strike. L’avversario ha inoltre disabilitato Windows Defender, elevato i suoi privilegi al livello “SYSTEM” ed effettuato un dump del processo LSASS.exe. In seguito, FIN6 ha ottenuto l’accesso al controller di dominio ed ha estratto l’hash delle password tramite ntdsutil. Due giorni dopo la prima infezione, il Beacon Cobalt Strike sul domain controller è stato nuovamente eseguito e l’avversario, utilizzando psexec ha lanciato il ransomware Conti su tutti gli host Windows collegati al dominio. Infine, un file readme.txt contenente la nota di riscatto è stato creato in ogni cartella.

Quanto al panorama APT, il gruppo iraniano Charming Kitten ha lanciato diversi attacchi contro individui iraniani appartenenti al Movimento Riformista nel periodo compreso tra agosto 2020 e maggio 2021. Utilizzando tecniche di ingegneria sociale, il gruppo veicolava il malware Android LittleLooter con l’obiettivo di esfiltrare dati relativi ad account Telegram, uno degli servizi di instant messaging stranieri consentiti in Iran ed utilizzato in passato (durante il Movimento Verde del 2009) per l’organizzazione delle proteste. I dati Telegram delle vittime sembrerebbero essere stati utilizzati per supportare il monitoraggio dei dissensi e delle proteste relative alle elezioni presidenziali del 2021 in Iran.

Dalla Cina giungono diverse notizie. L’avversario APT31 ha impiegato nuovi tool in diversi attacchi che prendono di mira molteplici settori, tra cui quello governativo, aerospaziale, della Difesa, finanziario e tecnologico, in Paesi come Russia, Bielorussia, Mongolia, Canada e Stati Uniti. L’infezione inizia con mail di phishing contenenti un link che porta ad un dominio imitante quello di alcune Agenzie governative. Una volta aperto, viene scaricato sul computer un dropper che rilascia una libreria malevola e un’applicazione legittima vulnerabile al DLL sideloading. Il RAT distribuito è in grado di ottenere informazioni sulle unità mappate, eseguire la ricerca di file, creare processi o comunicare attraverso pipe, creare un processo tramite ShellExecute, creare directory, creare File Stream e, infine, di auto-cancellarsi.
Molte delle campagne tracciate hanno preso di mira Paesi del sud-est asiatico. All’inizio del 2021, sono state rilevate molteplici compromissioni da parte di vari gruppi APT cinesi contro aziende del settore delle telecomunicazioni. Le offensive, categorizzabili in 3 cluster sono iniziate anche nel 2017. Cosa importante è lo sfruttamento delle 0-day ProxyLogon nei server Microsoft Exchange anni prima che venissero scoperte. L’obiettivo degli avversari era quello di ottenere e mantenere un accesso continuo ai sistemi dell’ISP per facilitare operazioni di spionaggio e raccogliere informazioni sensibili come i dati CDR (Call Detail Record – il registro chiamate detenuto dall’ISP). Le operazioni sono state attribuite a GALLIUM (già noto per aver compromesso ISP anche in Europa), Naikon (che ha utilizzato la backdoor Nebulae e un nuovo keylogger proprietario denominato EnrollLogger) e, con bassa sicurezza, a Emissary Panda. In seguito, ulteriori offensive sono state tracciate contro infrastrutture critiche (difesa, energia, idrico e telecomunicazioni). Le TTP e i sample rilevati in questi attacchi sono sovrapponibili a quelli raccolti nelle infezioni ad opera di Naikon contro i vari ISP.

Rimanendo sul fronte APT si segnala che il Dipartimento di Giustizia degli Stati Uniti (DoJ) ha accusato l’avversario state-sponsored russo APT29 di aver violato gli account Microsoft Office 365 degli impiegati di 27 uffici dei procuratori distrettuali durante l’ondata globale di attacchi SolarWinds. Si ritiene che l’APT abbia avuto accesso agli account compromessi dal 7 maggio al 27 dicembre 2020 circa.

In campo malware, è stato recentemente tracciato un nuovo trojan, denominato FatalRAT, che sembra essere distribuito tramite gruppi e canali Telegram. Il malware esegue diversi test prima di infettare completamente un sistema ed è in grado di muoversi lateralmente nella rete, di eseguire comandi shell e di scaricare payload aggiuntivi. Rilevate invece interessanti novità per il malware cross-platform LemonDuck, utilizzato principalmente per operazioni di cryptomining. In recenti campagne sono state tracciate attività human-operated dove l’avversario ha prima compromesso la rete sfruttando vulnerabilità in server Microsoft o bruteforcing RDP e poi ha manualmente stabilito la persistenza sulla macchina ed effettuato movimento laterale. Si segnala anche l’utilizzo di varie tecniche fileless per diminuire il rischio di detection. Quanto a Raccoon Stealer, Malware-as-a-Service in grado di esfiltrare password e cookie dai browser, è stata tracciata una sua nuova versione in una recente campagna denominata “Trash Panda”. Le novità includono la capacità di rubare criptovalute e di scaricare ed eseguire ulteriori payload.

Nel frattempo gli analisti hanno continuato a tracciare campagne di phishing e spear-phishing che prendono di mira diversi obiettivi tra cui: account Office 365 (a tema fatturazione del piano Microsoft Business Basic); clienti della società statunitense PayPal (tramite Livechat); utenti degli account Google (sfruttando Google Translate) ed infine, diverse istituzioni pakistane tra cui il National Center of GIS and Space Application (NCGSA), il Ministero della Difesa, il Canteen Stores Department (sotto il controllo del Ministero della Difesa), il Ministero della Tecnologia, il Consolato del Nepal, la Special Communication Organization e il Nuclear Safety Committee.

Per quel che concerne il versante delle vulnerabilità, è stata rilasciata una Proof-of-Concept relativa allo sfruttamento della CVE-2021-3490 in eBPF nel Linux Kernel che permette l’elevazione locale dei privilegi a livello root su Ubuntu. eBPF è una tecnologia del Linux Kernel (a partire dalle versioni 4.x) che permette l’esecuzione di programmi senza dover cambiare il codice del kernel o aggiungere moduli addizionali. La vulnerabilità in questa componente impatta numerose distribuzioni come SUSE, Red Hat Enterprise Linux e Ubuntu. Sono stati inoltre rilasciati numerosi bollettini di sicurezza che correggono diverse vulnerabilità nei seguenti prodotti: la versione 1.0.30 della libreria libsndfile; il Nexus Control Panel dei Translogic Pneumatic Tube System (PTS) della svizzera Swisslog (vulnerabilità critiche denominate PwnedPiper); la soluzione eSOMS di Hitachi Power Grids della multinazionale svizzero-svedese ABB; FortiSandbox, FortiAuthenticator, FortiPortal, FortiOS, FortiManager e FortiAnalyzer dell’americana Fortinet; lo stack TCP/IP NicheStack dell’azienda HCC Embedded (chiamate “INFRA:HALT”); le versioni 3.1.24 e precedenti del plugin WordPress Download Manager; i router VPN di Cisco; Workspace One Access, Identity Manager, vRealize Automation, Cloud Foundation e Suite Lifecycle Manager di VMware. Inoltre, Android ha rilasciato l’Android Security Bulletin relativo al mese di agosto 2021 e Chrome sta per rilasciare la versione 92.0.4515.131 per Windows, MacOS e GNU/Linux.

Concludiamo con due notizie sul fronte giudiziario. Un quarantacinquenne barese è stato denunciato per aver esfiltrato le credenziali di accesso dell’home banking di un’azienda di Reggio Emilia tramite il trojan Zeus, veicolato tramite mail malevole. La denuncia è stata successivamente formalizzata alla Procura della Repubblica con l’accusa di frode informatica. Negli Stati Uniti, invece, è stato arrestato Riccardo Spagni, ex maintainer della criptovaluta Monero, con l’accusa di frode legata a presunti reati in Sudafrica tra il 2009 e il 2011. Spagni, mentre era impiegato come responsabile informatico presso una società chiamata Cape Cookies, avrebbe intercettato fatture da un’altra società, Ensync, relative a beni e servizi informatici forniti da Cape Cookies e avrebbe consapevolmente utilizzato informazioni false per produrre fatture simili basandosi su alcuni dati, tra cui la partita IVA e le coordinate del conto bancario. Attualmente su Spagni, detenuto negli Stati Uniti, pende la richiesta di estradizione del Sudafrica.

[post_tags]