Weekly Threats N. 9 2022

04 Marzo 2022

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

Ucraina: le ultime dal dominio cibernetico
Disinformazione: infowar tra Russia e Occidente
Gruppi APT: individuate tre nuove backdoor
Conti Team: colpiti Gruppo Angelantoni Industrie e Prima Power

Con il conflitto russo-ucraino ancora in atto, anche le offensive nel dominio cibernetico non hanno tregua. Diversi avversari cyber crime, tra cui il Conti Team, Stormous e CoomingProject, si sono schierati a supporto del Governo di Putin. Dal canto suo invece, il vicepremier ucraino Mykhailo Fedorov ha dato vita al gruppo IT Army of Ukraine, chiamando a raccolta hacktivisti ed esperti di sicurezza informatica per organizzare offensive contro Mosca e Minsk. A loro si sono aggiunti collettivi hacktivisti come Anonymous, AgainstTheWest e il gruppo Belarusian Cyber-partisans il quale ha rivendicato un’operazione di sabotaggio delle reti ferroviarie bielorusse che ha l’obbiettivo di rallentare il movimento dei treni militari russi verso l’Ucraina.
Si segnala inoltre l’identificazione di nuovi malware, non ancora riconducibili ad un avversario noto, utilizzati in almeno due campagne contro organizzazioni ucraine. Tra questi, il worm HermeticWizard (alias FoxBlade), il wiper IsaacWiper e il ransomware HermeticRansom.
Sempre relativamente alla guerra in atto: la botnet DanaBot è stata sfruttata in un attacco DDoS contro il server webmail del Ministero della Difesa di Kiev; massicci attacchi informatici, attribuiti ad un gruppo brasiliano chiamato Monday Group, hanno compromesso almeno 30 siti web di università del Paese; l’operazione Asylum Ambuscade – presumibilmente opera del bielorusso UNC1151 – ha utilizzato account e-mail compromessi di militari ucraini per prendere di mira entità governative europee che aiutano i rifugiati in arrivo dall’Ucraina.
Nel frattempo, nello spazio informativo russo e occidentale si sta dispiegando quella che è a tutti gli effetti nota come information warfare, che ha come terreno di scontro privilegiato le maggiori piattaforme online per la condivisione di contenuti e i servizi offerti dalle Big Tech.

Nel panorama state-sponsored anche questa settimana sono state individuate nuove minacce, nello specifico tre diverse backdoor.
La prima, attribuibile ad un APT di matrice cinese e denominata Daxin, è la più sofisticata backdoor mai utilizzata finora. Le altre due invece, Small Sieve e Canopy, sono state attribuite al gruppo iraniano MuddyWater.

Concludiamo la nostra rassegna con una notizia riguardante il nostro Paese.
Il Conti Team ha rivendicato sul proprio sito dei leak la compromissione di due realtà italiane: il Gruppo Angelantoni Industrie e la Business Unit Prima Power del Gruppo Prima Industrie.

[post_tags]

AgainstTheWest Anonymous Asylum Ambuscade Belarusian Cyber-partisans Canopy Conti Team CoomingProject Danabot Daxin HermeticRansom HermeticWizard IsaacWiper IT Army of Ukraine Monday Group MuddyWater Small Sieve Stormous UNC1151

Contenuti correlati

Deepfake russo incolpa Kiev dell’attentato a Mosca, scoperti AcidPour e PhantomCore, segnalate diverse operazioni APT

L'Italia nel mirino di nuove offensive, approfondimenti sul leak di I-Soon, attività APT in Eurasia e Medio Oriente

Malware inediti utilizzati contro entità ucraine, attività state-sponsored in Asia, le ultime sulle vulnerabilità Ivanti