WEEKLY THREATS

Weekly threats N.38

25 Settembre 2023

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

  • Apple: corrette tre 0-day
  • Trend Micro: tracciata vulnerabilità sfruttata ITW
  • Cina: nuove attività da AQUATIC PANDA e TAG-74
  • Barmanou: individuate offensive del gruppo pakistano
  • ShroudedSnooper: emerse due backdoor inedite
  • Sandman: prese di mira aziende del settore delle telecomunicazioni 

Nella settimana appena conclusa ulteriori 0-day sono venuti alla luce. Apple ha rilasciato gli aggiornamenti dei propri sistemi operativi per correggere complessivamente tre vulnerabilità attivamente sfruttate ITW. Tracciate con codice CVE-2023-41992, CVE-2023-41991 e CVE-2023-41993 impattano rispettivamente il Kernel, Security e WebKit. La prima, CVE-2023-41992, consente a un utente malintenzionato locale di elevare i propri privilegi. La seconda invece, CVE-2023-41991, è un problema di approvazione dei certificati e può permettere a un’applicazione malevola di bypassare la convalida della firma. Infine, CVE-2023-41993 riguarda l’elaborazione di contenuti web e potrebbe portare all’esecuzione di codice arbitrario. D’altro canto, Trend Micro ha rilasciato correzioni per CVE-2023-41179, una falla critica nel modulo di disinstallazione AV di terze parti fornito con i prodotti endpoint, per la quale il vendor ha osservato almeno un tentativo di attacco ITW.

Passando al panorama state-sponsored nuove attività sono state tracciate in Asia, Europa e Medio Oriente. Per quanto riguarda la Cina, durante il monitoraggio delle attività dell’APT AQUATIC PANDA, ricercatori di sicurezza hanno scoperto una nuova backdoor per Linux soprannominata SprySOCKS; mentre una campagna di spionaggio pluriennale condotta da un gruppo momentaneamente tracciato come TAG-74 ha preso di mira organizzazioni accademiche, politiche e governative sudcoreane. Sempre sul versante pacifico, il nordcoreano ScarCruft è stato visto sfruttare la vulnerabilità di WinRAR CVE-2023-38831 contro il settore delle criptovalute e utilizzare lo spear phishing per veicolare file LNK malevoli sfruttando come esca questioni politiche e sociali. Dal sud del continente asiatico, il pakistano Barmanou ha svolto operazioni rivolte contro target del settore governativo indiano, che hanno previsto l’uso di un RAT per Windows precedentemente non documentato denominato ElizaRAT, nuove utility di cyberspionaggio per Linux, oltre a meccanismi di distribuzione inediti e un vettore di attacco aggiuntivo. Inoltre, sempre attribuibili al medesimo gruppo, sono stati individuati tre file APK Android malevoli, che imitano l’app di YouTube, volti a diffondere il malware CapraRAT. Infine, sono emerse due backdoor inedite, chiamate HTTPSnoop PipeSnoop, associate a un gruppo noto come ShroudedSnooper e utilizzate per bersagliare aziende del settore delle telecomunicazioni in Medio Oriente. Nel frattempo, un attaccante anonimo, noto come Sandman, ha preso di mira Telco in Medio Oriente, in Europa occidentale e nell’Asia meridionale, utilizzando una backdoor modulare denominata LuaDream.