WEEKLY THREATS

Weekly threats N.35

04 Settembre 2023

Rassegna delle notizie raccolte quotidianamente dal Cyber Intelligence Operations Center di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

  • Ucraina: rilevata un’offensiva del bielorusso Ghostwriter
  • Sandworm: veicolato l’implant Infamous Chisel contro l’Esercito di Kiev
  • APT: attività e tool inediti associati ad avversari di diversa matrice
  • Polonia: arrestati due uomini sospettati dell’attacco alla rete ferroviaria statale

Nella settimana appena conclusa sono state segnalate nuove attività nell’ambito del conflitto russo-ucraino. Il Computer Emergency Response Team di Kiev ha rilevato un attacco del bielorusso Ghostwriter basato sullo sfruttamento della 0-day CVE-2023-38831 di WinRAR e volto alla distribuzione delle minacce PicassoLoader Cobalt Strike. D’altro canto, le Autorità di sicurezza informatica dei Five Eyes hanno pubblicato un advisory congiunto sul malware recentemente utilizzato dal russo Sandworm per colpire dispositivi Android appartenenti all’Esercito di Kiev. Denominato Infamous Chisel, l’implant è in realtà una raccolta di componenti progettati per fornire un accesso backdoor persistente ai dispositivi Android compromessi attraverso la rete Tor e consentire all’attaccante di raccogliere ed esfiltrare dati.

Restando nel panorama state-sponsored, sono state tracciate nuove attività e tool inediti associati a gruppi di diversa matrice. In particolare, è stata scoperta una campagna di spionaggio condotta da un APT chiamato Earth Estries (presumibilmente collegato al noto FamousSparrow), che prende di mira organizzazioni del settore governativo e tecnologico con sede nelle Filippine, a Taiwan, in Malesia, Sudafrica, Germania e negli Stati Uniti. Al nordcoreano Lazarus Group, invece, è stata attribuita un’operazione supply chain, denominata VMConnect, che ha previsto la pubblicazione di pacchetti Python malevoli sul repository open-source Python Package Index (PyPI) per veicolare un payload di secondo livello al momento sconosciuto. Dal canto suo, l’APT di Pechino Mirage ha condotto due campagne volte a distribuire lo spyware Android BadBazaar tramite app Signal e Telegram trojanizzate, attive rispettivamente dal luglio 2020 e dal luglio 2022. Infine, indagando ulteriormente sull’operazione di spionaggio globale del cinese UNC4841, sono stati scoperti due malware inediti denominati FOXTROT e FOXGLOVE, veicolati insieme ai già noti SKIPJACK SUBMARINE per mantenere l’accesso agli ambienti compromessi; oltre ad ulteriori attività di ricognizione interna e movimento laterale. 

Per concludere, l’Agenzia di sicurezza interna (ABW), la Polizia e le compagnie ferroviarie polacche hanno avviato un’indagine su una serie di recenti incidenti avvenuti sulla rete ferroviaria del Paese che ha portato all’arresto di due cittadini della Repubblica. I sospettati sarebbero stati in grado di paralizzare i treni – sia merci che passeggeri – in tutto il Paese semplicemente inviando comandi di stop via radio. L’attacco sarebbe stato compiuto a sostegno di Mosca ed è stato possibile grazie alle lacune nella sicurezza del sistema ferroviario polacco, privo di crittografia e autenticazione.