Weekly threats N.24

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

• MOVEit Transfer: emerse nuove vittime e vulnerabilità
• 0-day: impattati prodotti Fortinet e VMware
• Ucraina: tracciate offensive a opera di Ghostwriter e Gamaredon

Questa settimana nuove aziende hanno dichiarato di essere cadute vittime degli attacchi del gruppo cybercriminale TA505 (Clop Team) basati sullo sfruttamento della vulnerabilità 0-day CVE-2023-34362 in MOVEit Transfer. Oltre a quelle già documentate, tra cui Zellis, Aer Lingus, la stessa BBC, British Airways e Shell, tra le vittime figurano l’Autorità di regolamentazione delle comunicazioni nel Regno Unito Ofcom, la catena di farmacie e rivenditore britannico di prodotti di salute e bellezza Boots UK Limited, l’ente governativo Transport for London (TfL) e la società di consulenza Ernst & Young (EY). Oltre all’indagine in corso sulla 0-day, di cui sono emerse PoC, Progress Software ha rilasciato un advisory riguardo ulteriori problemi di sicurezza in MOVEit Transfer e MOVEit Cloud che potrebbero essere potenzialmente sfruttati, tra questi compaiono la CVE-2023-35036, che riguarda molteplici vulnerabilità SQL Injection, e la CVE-2023-35708, la quale potrebbe portare a un’escalation dei privilegi e a un potenziale accesso non autorizzato all’ambiente target.

Restando in tema, il PSIRT di Fortinet ha rilasciato numerosi bollettini di sicurezza per i propri prodotti che risolvono diverse vulnerabilità, tra cui CVE-2023-27997 in FortiOS e FortiProxy. La quale si ritiene che possa essere stata sfruttata in un numero limitato di attacchi rivolti contro infrastrutture critiche e organizzazioni del settore governativo e manifatturiero. D’altro canto, VMware ha rilasciato l’advisory VMSA-2023-0013 che notifica una 0-day in VMware Tools, precedentemente sfruttata dal gruppo cinese UNC3886. Tracciata con codice CVE-2023-20867 (CVSS 3.9), la falla è di tipo Authentication Bypass ed è stata usata per l’esecuzione di comandi privilegiati nelle macchine virtuali guest Windows, Linux e PhotonOS (vCenter), senza autenticazione delle credenziali guest da un host ESXi compromesso e nessun logging predefinito sulle VM.

Passando al panorama state-sponsored, DEV-0586, ora soprannominato Cadet Blizzard, è stato collegato al GRU russo. Il gruppo monitorato dall’implementazione di WhisperGate nel gennaio 2022, si ritiene sia operativo almeno dal 2020 e che continui tuttora a svolgere le proprie attività in linea con gli obiettivi di Mosca nell’ambito dell’invasione dell’Ucraina. Inoltre, è stata attribuita al gruppo finanziato dal Governo di Hanoi APT32 una backdoor precedentemente non identificata chiamata SPECTRALVIPER e rivolta contro grandi aziende pubbliche vietnamite; mentre per quanto riguarda il nordcoreano Lazarus Group, sono state identificate attività basate sullo spoofing di domini inerenti a istituzioni finanziarie e società di venture capital negli Stati Uniti, in Vietnam e in Giappone, presumibilmente al fine di generare fondi per il regime.

Concludiamo con alcune notizie dal conflitto russo-ucraino. Il CERT-UA ha rilevato una campagna del bielorusso Ghostwriter rivolta contro un’organizzazione statale ucraina, che ha previsto l’uso di beacon Cobalt Strike e di un malware inedito denominato PicassoLoader. Quanto a Gamaredon Group, esso continua imperterrito a sferrare attacchi contro target ucraini, tra cui organizzazioni dei settori militare, governativo, della sicurezza e della ricerca, concentrandosi sull’acquisizione di informazioni militari al fine di sostenere le Forze Armate russe.

[post_tags]