Weekly threats N.37

18 Settembre 2023

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

Microsoft: corrette due 0-day
Adobe: rilevata falla sfruttata ITW
APT: tracciate offensive da Teheran
Redfly: compromessa una rete elettrica nazionale asiatica
Storm-0324: inviate esche di phishing attraverso Microsoft Teams
Airbus: presunto leak di dati condiviso in un forum underground

Anche nell’ultima settimana per quanto riguarda il versante vulnerabilità, nuove 0-day sono emerse. Microsoft ha rilasciato il Patch Tuesday per il mese di settembre in cui vengono corretti due problemi di sicurezza sfruttati ITW. Il primo tracciato con codice CVE-2023-36761 (CVSS 6.2) riguarda una Information Disclosure in Microsoft Word che potrebbe essere sfruttata per consentire la divulgazione degli hash NTLM. Il secondo, invece, identificato con CVE-2023-36802 (CVSS 7.8) è di tipo Elevation of Privilege e impatta Microsoft Streaming Service Proxy. In particolare, se sfruttato consentirebbe a un avversario di ottenere i privilegi SYSTEM. D’altro canto, Abobe ha risolto la falla CVE-2023-26369 (CVSS 7.8), una Out-of-bounds Write usata in attacchi rivolti ad Adobe Acrobat e Reader, che permette l’esecuzione di codice arbitrario.

Passando al panorama APT, tra febbraio e luglio 2023, ricercatori di sicurezza hanno osservato diverse offensive di gruppi state-sponsored iraniani. Nello specifico, è stata rilevata un’ondata di attacchi di password spraying attribuibili ad APT33 contro migliaia di organizzazioni in diversi settori e aree geografiche; mentre una campagna denominata Sponsoring Access volta a distribuire una backdoor precedentemente non documentata, soprannominata Sponsor, è stata attribuita a Charming Kitten. Spostandoci nel continente asiatico un gruppo noto come Redfly, riconducibile al cluster di avversari cinesi Axiom, ha violato una rete elettrica nazionale in Asia mantenendo silenziosamente l’accesso al sistema compromesso per circa sei mesi. Infine, a partire dal luglio 2023, un avversario soprannominato Storm-0324 ha distribuito payload utilizzando un tool open source per inviare esche di phishing attraverso chat di Microsoft Teams.

Concludiamo il settimanale con un presunto leak di dati condiviso in un forum underground. In particolare, è stato individuato un post che, stando a quanto dichiarato dall’autore, sarebbe relativo ad Airbus, nota società francese costruttrice di aeromobili. Le informazioni, 3.200 record relativi alle utenze di fornitori di Airbus, sarebbero state rubate sfruttando l’accesso di un impiegato di una compagnia aerea turca. L’avversario minaccia inoltre di voler colpire altri fornitori del settore Difesa.

APT33 Axiom Charming Kitten CVE-2023-26369 CVE-2023-36761 CVE-2023-36802 Redfly Sponsor Sponsoring Access Storm-0324

Contenuti correlati

Attacchi colpiscono la Francia, rivendicazioni ransomware e hacktiviste, attivi avversari cinesi, iraniani e nordcoreani

Italia nel mirino di diversi avversari, le ultime sulle 0-day di Ivanti, nuovi malware di Charming Kitten e Callisto

Vulnerabilità in Atlassian, Apple, Qualcomm, Exim e Arm, attività associate a APT asiatici, nuove offensive nel panorama hacktivista