Weekly threats N.36

11 Settembre 2023

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

Italia: nuove offensive colpiscono il Paese
Ucraina: Sofacy prende di mira un’infrastruttura energetica critica
NoName057(16): il collettivo si unisce ad altri gruppi filorussi
BLASTPASS: sanati due problemi di sicurezza sfruttati per distribuire lo spyware Pegasus
0-day: identificate in prodotti Google e Cisco
Nord Corea: tracciata campagna contro ricercatori di sicurezza

Nella settimana appena conclusa: nuove offensive hanno colpito le aziende Foroni, Protosign, Northwave, Omniatel e il Comitato Elettrotecnico Italiano. Nell’ambito del conflitto russo-ucraino il CERT-UA ha rilevato un tentativo di attacco non riuscito contro un’infrastruttura critica, mentre NoName057(16) ha reso noto di essersi unito ad altri gruppi filorussi. Diverse vulnerabilità emerse per Apple, Google e Cisco.

. In particolare, Cactus Team ha annunciato sul proprio sito dei leak la compromissione di Foroni S.p.A., mentre LockBit Team ha rivendicato un attacco contro Protosign S.r.l. Inoltre, NoEscape Team ha dichiarato di aver violato le aziende Northwave S.r.l. e Omniatel S.r.l. e il Comitato Elettrotecnico Italiano (CEI) ha annunciato sul proprio sito di essere stato vittima di un’attività malevola che ha temporaneamente messo fuori servizio alcuni sistemi informativi. Infine, è stata tracciata una campagna di phishing volta a distribuire il ransomware Knight sfruttando come esca una falsa fattura.

Passando al conflitto russo-ucraino, il CERT-UA ha rilevato un tentativo di attacco non riuscito, attribuibile a Sofacy, indirizzato contro un’infrastruttura energetica critica in Ucraina. Mentre per quanto riguarda il panorama hacktivista il collettivo NoName057(16) ha reso noto di essersi unito ad altri gruppi filorussi per sferrare una serie di attacchi congiunti ai danni degli Stati vicini alle istanze di Kiev e a sostegno delle forze armate russe nei territori occupati. Durante la settimana il gruppo ha rivendicato operazioni DDoS contro portali lettoni, polacchi, lituani, cechi e CERT europei.

Per quanto riguarda il versante vulnerabilità, diverse 0-day sono emerse nei giorni scorsi. In particolare, Apple ha sanato due problemi di sicurezza, CVE-2023-41064 e CVE-2023-41061, sfruttati come parte di una catena di exploit zero-click denominata BLASTPASS, che è stata utilizzata per distribuire lo spyware Pegasus di NSO Group su iPhone, senza alcuna interazione da parte della vittima. D’altro canto, Google ha corretto la falla CVE-2023-35674 di tipo Elevation of Privilege che impatta Android e sembra essere sfruttata in modo limitato e mirato; mentre Cisco ha notificato una Remote Access VPN Unauthorized Access nei prodotti Adaptive Security Appliance (ASA) e Firepower Threat Defense (FTD) identificata con codice CVE-2023-20269, di cui ha rilevato tentativi di sfruttamento. Infine, è stata tracciata una nuova offensiva probabilmente attribuibile ad avversari sostenuti dal Governo nordcoreano, dove almeno una 0-day è stata sfruttata per prendere di mira ricercatori di sicurezza nelle ultime settimane.

BLASTPASS Cactus Team CVE-2023-20269 CVE-2023-35674 CVE-2023-41061 CVE-2023-41064 Knight LockBit Team NoEscape Team NoName057(16) Pegasus Sofacy

Contenuti correlati

L'Italia nel mirino di nuove offensive, approfondimenti sul leak di I-Soon, attività APT in Eurasia e Medio Oriente

Operation Cronos colpisce duramente LockBit Team, senza riuscire a fermarlo

Pegasus e lo spionaggio governativo in Togo, Giordania e Messico