Weekly threats N.30

31 Luglio 2023

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

Italia: rivendicati nuovi attacchi
Ivanti: sfruttata 0-day nella piattaforma ICT utilizzata da 12 ministeri norvegesi
CVE-2023-3519: presunto avversario di matrice cinese dietro le offensive
Apple: sanata la CVE-2023-38606
Ucraina: novità dal fronte

Anche questa settimana nuove offensive hanno mirato all’Italia. ALPHV Team ha rivendicato sul proprio sito dei leak la compromissione di Azimut e di CF Assicurazioni; NoEscape Team ha dichiarato di aver colpito Rampi S.r.l; TA505(CL0P Team) ha aggiunto alle sue vittime Safilo Group S.p.A.; mentre Rhysida Team ha reclamato l’attacco di giugno all’Università degli Studi di Salerno. Oltre a ciò, un gruppo noto come Cyber Cat ha annunciato sul proprio canale Telegram di aver ottenuto l’accesso alla rete del Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili (CNDCEC) e di aver violato il sito web di Climair Firenze.

Passando al versante vulnerabilità, nuove 0-day sono venute alla luce. Il Governo norvegese ha comunicato che la sua piattaforma ICT utilizzata da 12 ministeri ha subito un attacco informatico dopo che avversari hanno sfruttato una 0-day in Endpoint Manager Mobile (EPMM) di Ivanti. Tracciata con codice CVE-2023-35078 (CVSS 10.0), la falla di tipo Remote Unauthenticated API Access consente a utenti non autorizzati di accedere a funzionalità o risorse limitate dell’applicazione senza un’autenticazione adeguata. D’altra parte, indagando sullo sfruttamento della 0-day CVE-2023-3519 di NetScaler Application Delivery Controller (ADC) e NetScaler Gateway, ricercatori di sicurezza hanno rilevato ulteriori webshell, file ELF e tunneler caricati su un’appliance compromessa da un presunto avversario di matrice cinese. Infine, Apple ha sanato la CVE-2023-38606, attivamente sfruttata ITW, la quale impatta il Kernel e si ritiene sia parte della catena di exploit zero-click sfruttata per veicolare via iMessage lo spyware TriangleDB nell’ambito della campagna Operation Triangulation.

Concludiamo con due notizie dal fronte russo-ucraino. Sono stati identificati nuovi sample di GraphicalNeutrino del russo APT 29, oltre a un malware custom inedito simile, sempre associato al gruppo finanziato da Mosca, chiamatoGraphicalProton; mentre Il 21 e il 24 luglio 2023 il CERT-UA ha rilevato nuovi attacchi del cluster UAC-0006 volti alla distribuzione del malware Smoke Loader.

ALPHV Team APT 29 CVE-2023-35078 CVE-2023-3519 CVE-2023-38606 Cyber Cat GraphicalNeutrino GraphicalProton NoEscape Team Operation Triangulation Rhysida Team smoke loader TA505 TriangleDB UAC-0006

Contenuti correlati

Deepfake russo incolpa Kiev dell’attentato a Mosca, scoperti AcidPour e PhantomCore, segnalate diverse operazioni APT

Tracciata una nuova infrastruttura di Predator; ALPHV Team simula il sequestro; danneggiati 4 cavi sottomarini nel Mar Rosso

Malware inediti utilizzati contro entità ucraine, attività state-sponsored in Asia, le ultime sulle vulnerabilità Ivanti