Weekly Threats N.34

28 Agosto 2023

Rassegna delle notizie raccolte quotidianamente dal Cyber Intelligence Operations Center di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

Lazarus Group: rilevati i nuovi malware QuiteRAT e CollectionRAT
ScarCruft: presa di mira l’esercitazione militare tra USA e Corea del Sud
Carderbee e Flax Typhoon: identificati due APT cinesi precedentemente non documentati
Ivanti, Adobe e RARLAB: segnalate vulnerabilità sfruttate ITW

Nell’ultima settimana, a rubare la scena del panorama state-sponsored è stato il famigerato gruppo nordcoreano Lazarus Group. L’avversario è stato oggetto di diverse indagini che hanno portato alla luce due malware inediti soprannominati QuiteRAT e CollectionRAT. Il primo è stato distribuito in una campagna basata sullo sfruttamento della vulnerabilità CVE-2022-47966 di Zoho ManageEngine ServiceDesk che ha preso di mira un provider di dorsali di rete ed entità sanitarie in Europa e negli Stati Uniti. Il secondo, invece, è stato individuato grazie a un’analisi più approfondita dell’infrastruttura utilizzata nell’operazione. L’APT di Pyongyang è stato inoltre designato dall’FBI come responsabile di un’attività di blockchain correlata al potenziale furto di centinaia di milioni di dollari. Sempre finanziato dalla RPDC, l’avversario ScarCruft ha preso di mira l’esercitazione militare congiunta Ulchi Freedom Guardian (UFG) tra Stati Uniti e Corea del Sud – che ha avuto inizio lunedì 21 agosto 2023 – inviando e-mail di spear phishing a contractor sudcoreani che lavorano al centro di simulazione di guerra per le esercitazioni combinate tra Seoul e Washington, senza però riuscire a rubare informazioni di carattere militare. Infine, alcuni ricercatori di sicurezza hanno descritto due APT cinesi precedentemente non documentati chiamati Carderbee e Flax Typhoon. A partire da aprile 2023, Carderbee ha sfruttato il software legittimo Cobra DocGuard per portare a termine un attacco supply chain al fine di distribuire il malware PlugX; mentre, Flax Typhoon ha bersagliato decine di organizzazioni a Taiwan, presumibilmente come parte di una presunta operazione di spionaggio che ha mietuto vittime anche nel Sudest asiatico, in Nord America e Africa.

Passando al versante vulnerabilità, negli ultimi giorni la CISA ha aggiunto al suo catalogo di quelle sfruttate ITW tre falle. Tra queste figurano: una 0-day critica in Ivanti Sentry (precedentemente noto come MobileIron Sentry) tracciata con codice CVE-2023-38035 e di tipo API Authentication Bypass; la CVE-2023-26359 di Adobe ColdFusion di tipoDeserialization of Untrusted Data, patchata nel marzo 2023, che consente l’esecuzione di codice arbitrario; e, da ultimo, una 0-day di tipo File Extension Spoofing identificata come CVE-2023-38831, presente nel software WinRAR di RARLAB. Quest’ultima viene abusata dall’aprile 2023 per creare archivi ZIP armati progettati per veicolare varie famiglie di malware (come DarkMe, GuLoader e Remcos RAT), i quali sono stati diffusi in almeno 8 popolari forum di trading.

Carderbee CollectionRAT CVE-2022-47966 CVE-2023-26359 CVE-2023-38035 CVE-2023-38831 DarkMe Flax Typhoon GuLoader Lazarus Group PlugX QuiteRAT Remcos RAT ScarCruft

Contenuti correlati

Nuove vulnerabilità preoccupano gli esperti, tracciate offensive di APT asiatici, segnalati leak di AT&T e target italiani

Attacchi colpiscono la Francia, rivendicazioni ransomware e hacktiviste, attivi avversari cinesi, iraniani e nordcoreani

Malware inediti utilizzati contro entità ucraine, attività state-sponsored in Asia, le ultime sulle vulnerabilità Ivanti