Weekly threats N.27

10 Luglio 2023

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

Ucraina: tracciate nuove offensive
PlugX: rilevato il trojan in sistemi aziendali italiani
Italia: sferrati attacchi contro realtà del Paese
Google e Progress Software: corrette vulnerabilità

Nella settimana appena conclusa, il Computer Emergency Response Team di Kiev ha rilevato nuove offensive condotte nell’ambito del conflitto russo-ucraino. Nello specifico, il cluster UAC-0168 – presumibilmente dietro il RAT Romcom – ha sfruttato il nome dell’ONG Ukrainian World Congress e l’adesione dell’Ucraina alla NATO come tema esca per condurre una campagna mirata indirizzata ai prossimi ospiti del vertice NATO che si terrà l’11 e 12 luglio 2023 a Vilnius in Lituania, tra cui rappresentanti ucraini, organizzazioni straniere e individui che sostengono il Paese. Dal canto suo, il bielorusso Ghostwriter ha preso di mira agenzie governative ucraine con i malware PicassoLoader e njRAT; mentre, il russo Sofacy ha sferrato attacchi volti a ottenere credenziali di autenticazione per servizi di posta elettronica pubblici (in particolare ukr[.]net e Yahoo Mail). Tra i target di quest’ultimo figura anche un’istituzione diplomatica iraniana colpita nel maggio 2023.

Passando al nostro Paese, ricercatori di sicurezza hanno rilevato il noto trojan PlugX, associato a entità state-sponsored cinesi, all’interno di sistemi aziendali italiani. Stando ai dati raccolti, sembrerebbe che non si tratti di un attacco mirato, ma piuttosto di un’offensiva casuale derivata da precedenti compromissioni. Restando in Italia, diverse realtà nazionali sono cadute vittime di attacchi ransomware. In particolare, LockBit Team ha compromesso la società Blowtherm S.p.A.; RansomEXX Team ha violato l’azienda DVision Architecture; Rhysida Team ha attaccato la compagnia BM GROUP POLYTEC S.p.A.; PLAY Team ha bersagliato la ditta Lawer S.p.A.; un avversario al momento sconosciuto ha colpito l’Azienda Ospedaliera Universitaria Luigi Vanvitelli di Napoli; e, infine, un nuovo gruppo denominato D#nut Leaks ha rivendicato un’offensiva contro il produttore di pompe alternative Peroni Pompe S.p.A. Si segnalano inoltre due data breach che hanno impattato la società Acque Veronesi s.c. a r.l e Runner, un’azienda operante nel settore dell’ICT come distributore di prodotti tecnologici e per l’informatica.

Concludiamo con alcune notizie provenienti dal versante vulnerabilità. Google ha rilasciato i bollettini di sicurezza relativi al mese di luglio 2023 per Android e Pixel. Tra le numerose vulnerabilità risolte il vendor ha dichiarato che quelle tracciate con i codici CVE-2023-26083, CVE-2021-29256 e CVE-2023-2136 sembrano essere sfruttate in attacchi mirati. Da ultimo, dopo lo sfruttamento ITW da parte di TA505 della 0-day CVE-2023-34362 in MOVEit Transfer, Progress Software ha annunciato la scoperta e la correzione di altre tre falle nella nota soluzione MFT. La prima, contrassegnata come CVE-2023-36934, è una SQL injection critica che potrebbe consentire ad attaccanti non autenticati di ottenere un accesso non autorizzato al database di MOVEit Transfer. La seconda e la terza, invece, ad alta gravità sono tracciate rispettivamente come CVE-2023-36932 e CVE-2023-36933.

CVE-2021-29256 CVE-2023-2136 CVE-2023-26083 CVE-2023-34362 CVE-2023-36932 CVE-2023-36933 CVE-2023-36934 D#nut Leaks Ghostwriter LockBit Team njRAT PicassoLoader PLAY Team PlugX RansomEXX Team Rhysida Team Romcom Sofacy TA505 UAC-0168

Contenuti correlati

L'Italia nel mirino di nuove offensive, approfondimenti sul leak di I-Soon, attività APT in Eurasia e Medio Oriente

Operation Cronos colpisce duramente LockBit Team, senza riuscire a fermarlo

Malware inediti utilizzati contro entità ucraine, attività state-sponsored in Asia, le ultime sulle vulnerabilità Ivanti