Weekly threats N.25

23 Giugno 2023

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

Apple: sanate 3 0-day sfruttate ITW
Ucraina: nuovi attacchi dei russi Callisto e Sofacy
APT: segnalate nuove operazioni

Questa settimana Apple ha corretto 3 vulnerabilità 0-day attivamente sfruttate ITW. La prima, tracciata con codice CVE-2023-32434, è una Integer Overflow che risiede nel Kernel; mentre le altre due, CVE-2023-32439 e CVE-2023-32435, sono presenti nel componente WebKit e sono rispettivamente una Type Confusion e una Memory Corruption. La casa di Cupertino ha dichiarato di essere a conoscenza di una segnalazione secondo la quale CVE-2023-32434 e CVE-2023-32435 potrebbero essere state sfruttate attivamente contro le versioni di iOS precedenti alla 15.7. Le falle, infatti, sono state molto probabilmente utilizzate nella campagna APT Operation Triangulation volta alla distribuzione di uno spyware per iOS denominato TriangleDB.

Passando al conflitto russo-ucraino, si segnalano nuove operazioni dei russi Callisto e Sofacy. Il primo ha preso di mira utenti del servizio di posta elettronica ukr[.]net al fine di esfiltrare le loro credenziali. Il secondo, invece, ha sferrato un’operazione basata sull’abuso di tre vulnerabilità – CVE-2020-35730, CVE-2021-44026 e CVE-2020-12641 – volta a violare server di posta elettronica Roundcube appartenenti a diverse organizzazioni ucraine, anche governative. Si ritiene che l’obiettivo sia raccogliere e rubare informazioni militari a sostegno dell’invasione russa.

Rimanendo nel panorama state-sponsored, l’indiano Dropping Elephant ha colpito target pakistani con applicazioni Android malevole ospitate sul Google Play Store ufficiale. Dal canto suo, il cluster cinese UNC4841 è stato collegato agli attacchi contro le appliance Barracuda ESG che hanno previsto l’abuso della 0-day CVE-2023-2868. Sempre di matrice cinese, Mirage ha condotto una campagna basata sull’uso di una backdoor inedita chiamata Graphican, rivolta principalmente contro ministeri degli affari esteri di diversi Paesi del Nord e Sud America. Inoltre, ricercatori di sicurezza hanno individuato e descritto tool inediti dell’APT di Pechino Mustang Panda, tra cui il dropper TONEDROP, il launcher HopperTick, il malware WispRider e l’infostealer FadeStealer; oltre a un’offensiva altamente mirata – in linea con gli interessi della RPC e denominata RedClouds – diretta contro un’azienda IT in Asia orientale al fine di veicolare un malware custom soprannominato RDStealer. Infine, un avversario presumibilmente di tipo state-sponsored identificato come CL-STA-0043 ha effettuato diverse operazioni di spionaggio contro entità governative in Medio Oriente e Africa, impiegando tecniche di furto di credenziali insolite e di esfiltrazione di e-mail di Exchange precedentemente non documentate.

Callisto CL-STA-0043 CVE-2020-12641 CVE-2020-35730 CVE-2021-44026 CVE-2023-2868 CVE-2023-32434 CVE-2023-32435 CVE-2023-32439 Dropping Elephant DStealer FadeStealer Graphican HopperTick Mirage Mustang Panda Operation Triangulation RedClouds Sofacy TONEDROP TriangleDB UNC4841 WispRider

Contenuti correlati

Deepfake russo incolpa Kiev dell’attentato a Mosca, scoperti AcidPour e PhantomCore, segnalate diverse operazioni APT

L'Italia nel mirino di nuove offensive, approfondimenti sul leak di I-Soon, attività APT in Eurasia e Medio Oriente

Malware inediti utilizzati contro entità ucraine, attività state-sponsored in Asia, le ultime sulle vulnerabilità Ivanti