Weekly threats N.33

Rassegna delle notizie raccolte quotidianamente dal Cyber Intelligence Operations Center di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

• Italia: rivendicati nuovi attacchi 
• NoName057(16): DDoS al portale dell’Autorità di Sistema Portuale del Mar Ligure Occidentale
• Ransomware: scoperto INC e varianti inedite di Monti e ALPHV
• Cuba Team: utilizzati nuovi tool per colpire target negli Stati Uniti e in America Latina
• APT 29: individuata campagna a tema diplomatico 
• Cina: preso di mira il settore del gioco d’azzardo nel Sudest Asiatico 
• Dropping Elephant: veicolato un RAT per Android 

Nella settimana appena conclusa sono stati rivendicati diversi attacchi ransomware contro realtà italiane. In particolare, Medusa Team ha annunciato la compromissione di Postel (azienda del Gruppo Poste Italiane), richiedendo un riscatto di 500.000 dollari; un gruppo precedentemente non documentato, chiamato Metaencryptor,ha dichiarato di aver colpito la società Coswell; Rhysida Team ha reclamato la violazione del Comune di Ferrara del luglio 2023; mentre, il Consorzio di Bonifica dell’Emilia Centrale è caduto vittima di un’offensiva presumibilmente di natura estorsiva, della quale non si è ancora assunto la responsabilità nessun avversario. Tra le vittime del Bel Paese, non di matrice ransomware, figurano anche la società in house della Regione Umbria PuntoZero, la cui rete è stata colpita impedendo l’accessibilità ai servizi erogati (tra i quali il CUP), e il portale dell’Autorità di Sistema Portuale del Mar Ligure Occidentale (Porti di Genova), bersagliato da un DDoS del collettivo hacktivista russo NoName057(16).  

Restando in campo ransomware, alcuni ricercatori di sicurezza hanno scoperto: un nuovo operatore che si firma INC RANSOM; una variante Linux inedita del ransomware Monti; una nuova versione di ALPHV, che include al suo interno i tool Impacket e Remcom; oltre a un toolkit utilizzato da Cuba Team in un’operazione del giugno 2023 mirata a un’infrastruttura critica negli Stati Uniti e un IT integrator in America Latina. Quest’ultimo è costituito dai malware custom BUGHATCH e BURNTCIGAR, dai framework Metasploit e Cobalt Strike, oltre da numerosi binari Living-off-the-Land (LOLBINS) e due exploit Proof-of-Concept, uno per CVE-2020-1472 (ZeroLogon) di Microsoft Netlogon e l’altro per CVE-2023-27532 di Veeam.

Spostandoci in ambito state-sponsored, è stata individuata una campagna attribuita al russo APT 29, probabilmente parte di un’operazione in corso più ampia rivolta contro ministeri degli affari esteri dei Paesi schierati con la NATO. Inoltre, sono stati rilevati malware e infrastrutture cinesi potenzialmente coinvolti in attività finanziate da Pechino (presumibilmente associabili a Nightsky Team) che prendono di mira il settore del gioco d’azzardo nel Sudest Asiatico. Da ultimo, è stata tracciata un’offensiva condotta tra giugno 2022 e febbraio 2023 dall’indiano Dropping Elephant, volta a veicolare un RAT per Android contro target localizzati in Bangladesh e Sri Lanka, utilizzando pacchetti APK mascherati da applicazioni di social network e messaggistica o documenti PDF esca progettati per indurre le vittime a scaricare il payload malevolo da internet.