Weekly Threats N. 36 2021
10 Settembre 2021Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.
In sintesi:
- Groove ransomware pubblica una lista di credenziali VPN Fortinet in un forum underground
- Interessanti novità e aggiornamenti nel mondo ransomware
- Si continuano a tracciare diverse campagne malware in Italia
- Pubblicate le PoC dell’exploit per bug di ‘pac-resolver’, Ghostscript e HAProxy
- Sfruttato ITW bug critico di Zoho
- EGoManiac: un vecchio APT turco di recente scoperta
- BrakTooth: numerose vulnerabilità nel protocollo Bluetooth Classic (BT)
La settimana che sta per concludersi è stata segnata da un importante leak di dati Fortinet ad opera del gruppo ransomware Groove. Quasi 500.000 credenziali valide per VPN Fortinet sono state raccolte, presumibilmente sfruttando la vulnerabilità Fortinet CVE-2018-13379, ed esposte su un forum undeground chiamato RAMP. Il gruppo – che ha utilizzato lo stesso server “wyyad” di Babuck e BlackMatter – sembrerebbe essere un ex affiliato o un sottogruppo del Babuk Locker Team, disposto a collaborare con altri avversari pur di ottenere un guadagno economico; tra questi i ricercatori segnalano il BlackMatter Team. Gli analisti ritengono che il leak sia stato fatto per promuovere il nuovo forum RAMP e l’operazione Groove.
Rimanendo in campo ransomware, segnaliamo interessanti novità. I server del dark web del REvil Team si sono riattivati dopo quasi due mesi di assenza. L’avversario era sparito dai radar dopo l’attacco massivo contro i server Kaseya che ha coinvolto migliaia di aziende; tuttavia, al momento non è chiaro se il gruppo sia tornato operativo e se abbia lanciato nuovi attacchi.
Il RagnarLocker Team questa settimana ha minacciato di pubblicare immediatamente i dati delle vittime che dovessero cercare l’aiuto delle Forze dell’Ordine, contattare esperti di recupero dati o assumere professionisti per la decrittazione e per condurre il processo di negoziazione.
Del Conti Team (FIN6) sono stati tracciati attacchi basati sullo sfruttamento delle vulnerabilità ProxyShell di Microsoft Exchange. Nel corso dell’intrusione la gang ha installato non meno di sette minacce: due web shell, Cobalt Strike e quattro applicazioni commerciali di accesso remoto (AnyDesk, Atera, Splashtop e Remote Utilities).
Infine, il Pysa Team ha iniziato a sfruttare una versione per Linux della backdoor ChaChi, un RAT in Golang capace di fare DNS tunneling per le comunicazioni col C2.
In Italia si continuano a tracciare campagne basate su diversi malware: Ursnif sfruttando come esca Enel Energia; Remcos con oggetto “Request for Quotation” e allegati TAR; Dridex a tema fatturazione; Hancitor fingendo documenti DocuSign e Agent Tesla a tema “rimborso”.
Riguardo al versante delle vulnerabilità sfruttate o pubblicate, sono state rilasciate le PoC dell’exploit per due bug RCE critici, di cui uno senza CVE-ID nella libreria Ghostscript, mentre il secondo nel popolare pacchetto NMP ‘pac-resolver’ (CVE-2021-23406).
Da segnalare anche il problema di sicurezza CVE-2021-40346; si tratta di un integer overflow che impatta il software open source gratuito HAProxy e per il quale sono state pubblicate diverse Proof-of-Concept dell’exploit.
Si invita inoltre a prestare particolare attenzione alla CVE-2021-40539 di Zoho che risulta sfruttata In-The-Wild (ITW).
Nel panorama APT finisce per la prima volta sotto la lente degli analisti l’avversario EGoManiac – una realtà connessa alla Turchia – che ha sfruttato tra il 2010 e il 2016 diversi RAT con stringhe scritte in turco per condurre un’offensiva mirata tutta incentrata sulla Turchia. Target di questa realtà APT, infatti, sembra siano stati soprattutto politici turchi e turcofoni.
BladeHawk ha condotto una campagna mirata – attiva da marzo 2021 – contro specifici target del gruppo etnico curdo e basata su due minacce per sistemi Android: 888 RAT e SpyNote. Gli attaccanti hanno attivato profili Facebook fraudolenti attraverso i quali hanno distribuito applicazioni malevole che sembravano dedicate a news in curdo e a notizie utili ai supporter della minoranza.
Infine, sono stati intercettati documenti di spear-phishing riconducibili a CloudFall e, in particolare, ad una campagna che ha colpito target in Asia centrale ed Europa dell’Est. I soggetti presumibilmente presi di mira sono scienziati e ricercatori invitati a conferenze militari internazionali. Il gruppo state-sponsored presenta numerosi elementi di contatto con l’APT russo Red October (alias Cloud Atlas).
Continua ad essere monitorata la campagna nota come Aggah, la quale sfrutta infrastrutture legittime come Zendesk e GitHub per distribuire Oski Stealer e Agent Tesla.
Da ultimo, il TeamTNT ha lanciato una nuova ondata dell’offensiva basata sul repository Chimaera – attiva da luglio 2021 – con migliaia di infezioni a livello globale e che vede l’utilizzo di nuovi strumenti open-source per raccogliere le credenziali memorizzate dalle macchine compromesse.
Aggiornamenti di sicurezza sono stati rilasciati per soluzioni Mozilla, Fortinet, Mitsubishi Electric, Palo Alto Networks, Cisco, WordPress, F5 Networks e Citrix. Inoltre, Google ha pubblicato il bollettino di sicurezza di settembre 2021 per Android e Pixel.
Infine, ricercatori della Singapore University of Technology and Design (SUTD) hanno identificato numerose vulnerabilità nel protocollo di comunicazione Bluetooth Classic (BT) – rinominate BrakTooth – che affliggono 13 chipset SoC di 11 differenti produttori.
Concludiamo con alcune notizie proventienti dall’ambiente internazionale.
La Germania ha accusato la Russia di aver condotto attacchi cyber contro il Bundestag alla vigilia delle elezioni parlamentari.
Sempre la Russia, secondo quanto riportato dall’Università di Cardiff, sarebbe responsabile di numerose campagne che stanno sistematicamente manipolando una vasta gamma di media, siti web e social media occidentali per diffondere la propaganda e la disinformazione a sostegno degli interessi del Cremlino.
Una nuova botnet nominata Mēris ha colpito il provider internet russo Yandex con un massiccio attacco DDoS descritto come il più grande nella storia della RuNet.
Spostandoci in Medio Oriente, un avversario che si firma “sangkanicil” ha rivendicato un data breach di vaste dimensioni ai danni di cittadini israeliani. Si tratterebbe di informazioni appartenenti a circa 7 milioni di persone, equivalenti a oltre l’80% della popolazione dello Stato di Israele.
Il 2 settembre è stato arrestato in Corea del Sud un cittadino russo accusato di essere parte del gruppo FIN6 e per il quale sono già in corso le procedure per l’estradizione negli Stati Uniti.