Weekly threats N.29

24 Luglio 2023

Rassegna delle notizie raccolte quotidianamente dal Cyber Intelligence Operations Center di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

Citrix, Adobe e WordPress: segnalate vulnerabilità sfruttate ITW
Lazarus Group: presa di mira la società americana JumpCloud
Turla Group: utilizzati i malware CAPIBAR e Kazuar per colpire le Forze di Difesa ucraine
Italia: compromesse diverse realtà del Bel Paese

Nella settimana appena conclusa tra le notizie di maggiore interesse spicca la scoperta di alcune vulnerabilità 0-day sfruttate ITW. Citrix ha corretto una falla di tipo Code Injection tracciata con codice CVE-2023-3519, che impatta i prodotti NetScaler ADC e NetScaler Gateway e può consentire a un attaccante non autenticato di eseguire codice da remoto. Tale problema di sicurezza è stato abusato come 0-day al fine di rilasciare una webshell sull’appliance NetScaler ADC di un’infrastruttura critica. Adobe, invece, ha sanato le vulnerabilità CVE-2023-38203 e CVE-2023-29298 in ColdFusion, anch’esse sfruttate da avversari per veicolare webshell. Tuttavia, in quanto la correzione per CVE-2023-29298 si è rivelata incompleta, il 19 luglio il vendor ha rilasciato una patch per un’altra 0-day identificata con codice CVE-2023-38205, nella quale è inclusa una fix per CVE-2023-29298. Da ultimo, il team di Threat Intelligence di Wordfence ha segnalato una campagna in corso su larga scala basata sullo sfruttamento di una vulnerabilità critica rilevata come CVE-2023-28121, presente nel plugin per WordPress WooCommerce Payments installato su oltre 600.000 siti.

Passando al versante state-sponsored, la società statunitense di software aziendale JumpCloud è caduta vittima di una sofisticata operazione di spear phishing associata al nordcoreano Lazarus Group. Si presume che il gruppo abbia sferrato un attacco supply chain per colpire organizzazioni operanti nel settore delle criptovalute. L’APT di Pyongyang ha inoltre condotto una campagna di social engineering su GitHub rivolta contro account personali di dipendenti di aziende del settore IT.
Dal canto suo, dal 2022 il russo Turla Group ha veicolato contro le Forze di Difesa ucraine un malware chiamato CAPIBAR – in alcuni casi insieme alla backdoor custom Kazuar – nell’ambito di offensive volte allo spionaggio.

Per concludere, in un panorama cybercrime particolarmente attivo, segnaliamo nuove vittime italiane. Nello specifico, NoEscape Team ha dichiarato di aver esfiltrato dati dalla rete dell’azienda Girardini S.r.l.; ALPHV Team ha bersagliato il Consorzio delle Cooperative Ortofrutticole Altoatesine VOG; mentre, Cactus Team ha rivendicato la compromissione dei sistemi di Rotomail Italia S.p.A., Confartigianato Federimpresa FC, Artemide S.p.A. e CWS S.r.l. Inoltre, un avversario chiamato ALPHA ha pubblicato nell’underground annunci di vendita relativi ad informazioni riconducibili alle società RCH Group e FarmaSpeed, oltre che a dieci siti di aste.

Contenuti correlati

L’Italia nel mirino di vari avversari, nuove sanzioni per LockBit Team, Sofacy contro diversi Paesi europei

Sferrate offensive in Italia, attività APT in Eurasia, avversari inediti colpiscono utenti Android in Africa e Sud Asia

Il sabotaggio dei cavi nel Mar Rosso e l’infrastruttura internet globale sottomarina