Weekly threats N.23

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

• TA505: sfruttata 0-day in MOVEit Transfer
• APT: rilevate backdoor e attività inedite
• Italia: nuove offensive colpiscono il Bel Paese

Nella settimana che sta per concludersi alcuni ricercatori di sicurezza hanno tracciato lo sfruttamento ITW di una 0-day critica in MOVEit Transfer, nota soluzione MFT che consente alle aziende di trasferire file in modo sicuro. Identificata con codice CVE-2023-34362, la vulnerabilità è una SQL Injection che potrebbe portare a un’escalation dei privilegi e a un potenziale accesso non autorizzato al database di MOVEit Transfer. Sebbene le prime evidenze di exploitation risalgono al 27 maggio 2023, il gruppo cybercriminale responsabile delle offensive, TA505, sembrerebbe aver tentato di sperimentare diversi metodi per sfruttare la 0-day già a partire dal luglio 2021. L’avversario ha confermato di aver abusato del problema di sicurezza per esfiltrare dati a centinaia di aziende, minacciando di pubblicarli a partire dal 14 giugno qualora non venisse pagato il riscatto richiesto. Tra le vittime identificate figura il provider britannico di soluzioni di payroll e HR Zellis, la cui compromissione avrebbe esposto anche informazioni inerenti ai dipendenti di alcuni clienti, tra cui Aer Lingus, BBC e British Airways.

Passando al panorama state-sponsored, sono state identificate tre backdoor inedite chiamate TinyNote, PowerDrop e Stealth Soldier. La prima, associata al cinese Mustang Panda, è stata usata presumibilmente contro ambasciate del Sudest e dell’Est asiatico al fine di raccogliere informazioni di alto valore. La seconda, invece, prende di mira l’industria aerospaziale statunitense e si ritiene sia attribuita a un avversario governativo. Infine, la terza è stata veicolata durante attacchi altamente mirati in Libia parte di una campagna di spionaggio in corso contro target nordafricani. Il collettivo responsabile della nota campagna Aggah ha condotto un’operazione denominata Red Deer rivolta contro organizzazioni israeliane di diversi settori. In aggiunta, alcuni analisti hanno fornito maggiori dettagli sulle offensive di spionaggio e di tipo cybercrime del gruppo dietro la campagna Asylum Ambuscade. Infine, nell’ambito del conflitto russo-ucraino, il cluster UAC-0099 ha spiato entità governative e rappresentanti di realtà del settore dei media in Ucraina; mentre l’operatore di Romcom RAT – presumibilmente Cuba Team – ha bersagliato politici ucraini che lavorano a stretto contatto con gli Stati occidentali e un’azienda sanitaria statunitense, la quale fornisce aiuti umanitari ai rifugiati che fuggono dal Paese.

Quanto al nostro Paese, Sky Italia ha subito un data breach che ha portato all’esfiltrazione illecita di alcuni dati dei clienti; Bennet è caduto vittima di un attacco di presunta natura estorsiva; mentre, un nuovo gruppo ransomware soprannominato Darkrace ha compromesso le società CO.NA.TE.CO. e Pluriservice, rubando 46 GB dalla prima e 43 GB dalla seconda. Dal canto suo, l’hacktivista filorusso NoName057(16) ha rivendicato DDoS contro portali dell’Autorità di Sistema Portuale del Mare Adriatico Centrale (Porto di Ancona), del Mare Adriatico centro-settentrionale (Porto di Ravenna), del Mare Adriatico Settentrionale (Porto di Venezia), del Mar Ligure Occidentale (Porti di Genova), del Mar Ionio (Porto di Taranto) e del Mar Tirreno Centro Settentrionale (Porti di Roma), le pagine dei porti di Olbia e Golfo Aranci e il sito dell’azienda triestina Sinfomar.