Weekly Threats N. 46 2021
19 Novembre 2021Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.
In sintesi:
• Attacchi ransomware contro i Comuni di Torino e Perugia
• Campagne malware e di phishing in Italia
• Tracciate numerose e variegate attività APT
• Memento Team: emerge un nuovo operatore ransomware
• Moses Staff Team: nuove azioni dimostrative contro Israele
• FIN6: arrestato in Messico un cittadino moscovita per riciclaggio di cryptovaluta
• Emotet ritorna a colpire grazie all’infrastruttura di Trickbot
• SharkBot: il nuovo trojan per Android colpisce anche istituti di credito italiani
• Rilasciati bollettini di sicurezza per diverse soluzioni
• Netgear corregge una RCE critica che impatta molti dispositivi wi-fi SOHO
Apriamo la rassegna settimanale con notizie provenienti dal nostro Paese. Lunedì 15 novembre la Città di Torino ha comunicato la sospensione di alcuni servizi, tra cui quelli anagrafici, a causa di un probabile attacco ransomware. Per evitare la propagazione della minaccia i dipendenti sono stati invitati a non accendere le postazioni di lavoro. I dati sembra siano stati recuperati dai backup e non risulterebbe l’esposizione di informazioni sensibili dei cittadini. Dinamiche e conseguenze simili avrebbe avuto un altro attacco contro il Comune di Perugia, segnalato solo in questi giorni ma risalente al 3 novembre scorso.
Le campagne malware contro utenze e-mail italiane continuano ad avere nomi noti. Agent Tesla è stato veicolato da diversi messaggi anche a tema BRT, sLoad ha utilizzato comunicazioni PEC, LokiBot ha sfruttato come esca l’Università Sapienza di Roma e Dridex il tema della fatturazione.
Un caso di phishing è stato registrato ai danni di utenti Sky Italia; con la promessa di un rimborso, le vittime sono state indotte a fornire agli avversari le credenziali di accesso e le coordinate della carta di credito.
Numerose sono le campagne APT segnalate negli ultimi giorni.
Dal fronte nordcoreano sono stati lanciati 3 diversi attacchi. Lazarus Group, che continua a targettizzare ricercatori in ambito cybersecurity, ha compromesso una versione piratata del popolare e costoso tool di reverse engineering IDA Pro 7.5 al fine di distribuire il RAT NukeSped.
Riguardo a ScarCruft, sono state descritte operazioni condotte nell’arco del 2021 e sono stati rivelati i due malware custom FatBoy e YoreKey. Il team ha anche provveduto ad autofinanziarsi attraverso campagne di mining fraudolento e sextortion.
Infine, non è stata ancora associata ad un avversario noto l’operazione sponsorizzata dalla Corea del Nord e tracciata a partire dall’11 novembre che sta sfruttando falsi documenti del Presidente della Pyongyang University of Science and Technology e gli exploit per CVE-2020-9715 (Acrobat e Reader) e CVE-2021-40444 (Microsoft MSHTML).
Due campagne di watering hole hanno poi colpito, rispettivamente, i visitatori di due siti web di Hong Kong e individui di alto profilo in Medio Oriente, Sud Africa ed Europa. Nel primo caso gli avversari hanno sfruttato un’exploit chain composta da una RCE in WebKit (CVE-2021-1789) e una 0-day di macOS Catalina (CVE-2021-30869) per distribuire la backdoor MACMA. Nell’altro, che ha avuto un respiro ampio, si sospettano la collaborazione della società israeliana Candiru e l’intervento parziale di un avversario state-sponsored chiamato Karkadann (Piwiks).
Intanto, un alert di FBI e Agenzie governative USA e britanniche mettono in guardia su attacchi ransomware realizzati da una realtà state-sponsored dell’Iran, che sfrutta vulnerabilità Fortinet e ProxyShell per colpire una vasta platea di vittime in diversi settori delle infrastrutture critiche negli Stati Uniti.
Miratissime sono invece le incursioni del Moses Staff Team, un gruppo iraniano che da qualche mese sta operando contro Israele. Questo avversario è mosso da interessi politici e dichiara finalità puramente dimostrative contro quello che più volte ha definito il “nemico sionista”. Dopo aver messo a segno attacchi ransomware contro compagnie israeliane (sfruttando anche il malware custom chiamato PyDCrypt), ultimamente il Moses Staff Team ha rivendicato il leak di foto in 3D del territorio nazionale di Israele e annunciato azioni contro la Unit 8200 delle Israel Defense Forces.
Continuano perlopiù indisturbate le campagne di spionaggio industriale del russo RedCurl Team, che nell’ultimo anno ha colpito almeno quattro società, tra cui due localizzate in Russia. All’arsenale di questo avversario – che potrebbe avere contatti con l’APT RedOctober – è stato aggiunto un nuovo tool di ricognizione, chiamato dagli analisti FSABIN, il cui codice condivide diverse somiglianze con il modulo FirstStageAgent.
Passiamo al versante puramente crime, ma ritorniamo in ambito ransomware.
Sono di questi giorni le rivelazioni su un nuovo avversario che si fa chiamare Memento Team. Attivo almeno da aprile 2021, il gruppo ha iniziato con le tradizionali attività di cifratura diretta per poi trasformare le proprie TTP. Adesso, per eludere le soluzioni di sicurezza, invece di criptare i file, Memento li copia in un archivio RAR protetto da password che viene inserito in un drive condiviso accessibile via RDP.
Il Pysa Team avrebbe pubblicato sul proprio sito dedicato ai leak i nomi di 50 diverse vittime. Un numero insolitamente alto che fa sospettare il tentativo di provocazione contro le Autorità di numerosi Paesi, impegnate strenuamente nell’arginare un fenomeno criminale che si sta rivelando minaccioso anche per la sicurezza nazionale delle grandi Potenze occidentali.
E proprio in questo contesto, è del 2 novembre scorso la cattura di un possibile membro del gruppo russo FIN6. Il cittadino moscovita Denis Dubnikov è stato catturato in Messico ed espulso verso l’Olanda, dove si trova in attesa di estradizione verso gli Stati Uniti. Il ventinovenne avrebbe contribuito a riciclare oltre 400.000 euro in bitcoin, corrispondenti a una piccola parte della cifra complessiva raccolta grazie all’attività basata sul ransomware Ryuk.
Nonostante la massiccia operazione di Polizia di quest’anno, che ne ha prima smantellato l’infrastruttura e poi cancellato le tracce dai sistemi infettati, il malware Emotet è tornato attivo. Gli avversari ora stanno utilizzando la rete di TrickBot, minaccia associata proprio a FIN6.
Chiudiamo la sezione crime con una piccola carrellata sui malware per Android. SharkBot, scoperto nell’ottobre di quest’anno, prende di mira gli utenti di 22 banche europee oltre a quelli di 5 applicazioni di criptovalute negli Stati Uniti. Fra gli istituti di credito coinvolti, 8 hanno sede in Italia e 14 nel Regno Unito. MasterFred – intercettato per la prima volta nel giugno 2021- effettua attacchi overlay per rubare i dati delle carte di credito degli utenti di Netflix, Instagram e Twitter. BrazKing prende di mira clienti di istituti finanziari del Brasile ed è verosimilmente utilizzato da avversari dello stesso Paese.
Quanto a GravityRAT, noto almeno dal 2018 nella sua versione per Android, è tornato sotto le lenti degli analisti dopo un lungo periodo di apparente inattività; questa volta la detection è avvenuta in India e ha evidenziato che la minaccia viene spacciata per l’applicazione SoSafe Chat.
Fra i bollettini di sicurezza pubblicati negli ultimi giorni vi sono quelli di Schneider Electric, Samba, Google per Chrome desktop, Intel, Cisco, Drupal e Microsoft per Azure e Windows Server.
Infine, Netgear ha rilasciato fix per una RCE con PoC dell’exploit pubblica che impatta numerosi modem, router ed extender SOHO. Tracciata con codice CVE-2021-34991, la falla è di tipo Pre-Authentication Stack Overflow e può essere sfruttata per resettare la password di amministratore o eseguire codice arbitrario da remoto con privilegi root.