WEEKLY THREATS

Vulnerabilità in Atlassian, Apple, Qualcomm, Exim e Arm, attività associate a APT asiatici, nuove offensive nel panorama hacktivista

09 Ottobre 2023

Atlassian, Apple, Qualcomm, Exim e Arm: rilevate nuove 0-day

Atlassian ha rilasciato un advisory riguardo la falla CVE-2023-22515 (CVSS 10.0) di tipo Privilege Escalation attivamente sfruttata ITW, che impatta Confluence Data Center e Server; Apple ha sanato CVE-2023-42824 che impatta il Kernele potrebbe essere stata sfruttata contro versioni di iOS precedenti alla 16.6 da attaccanti locali per elevare i propri privilegi; Qualcomm ha segnalato tre 0-day tracciate con codice CVE-2023-33106, CVE-2023-33107 e CVE-2023-33063 che potrebbero essere state usate in attacchi limitati e mirati; e per quanto riguarda Exim, sul server di posta MTA sono state identificate diverse vulnerabilità, di cui una critica. Infine, Arm ha rilasciato un advisory per CVE-2023-4211, anch’essa sfruttata ITW, che impatta driver GPU Mali e consente un utente locale non privilegiato di effettuare operazioni improprie di gestione della memoria della GPU.

Asia: rilevate nuove attività attribuibili a vari gruppi state-sponsored

Dalla Corea del Nord, Lazarus Group ha utilizzato diversi strumenti, tra cui una backdoor precedentemente non documentata chiamata LightlessCan, per sferrare un attacco contro un’azienda aerospaziale spagnola; mentre a ScarCruft sono stati collegati vari script malevoli e un’operazione di spear phishing contro organizzazioni nordcoreane per i diritti umani e persone attive nel campo dell’unificazione coreana. D’altro canto, un gruppo finanziato dal governo di Pechino ha veicolato una variante del loader HyperBro e un PDF esca a tema Taiwan Semiconductor Manufacturing (TSMC), probabilmente per colpire l’industria dei semiconduttori nelle regioni dell’Asia orientale di lingua mandarina/cinese (Taiwan, Hong Kong e Singapore); mentre ricercatori di sicurezza hanno rilevato il core e una serie di plugin e dell’implant Android DragonEgg attribuito al cluster di matrice cinese Axiom. Inoltre, la minaccia sembrerebbe essere legata al sofisticato malware iOS LightSpy.

Hacktivismo: rivendicate offensive da SiegedSec, KillNet e NoName057(16)

Il 30 settembre 2023 il gruppo politicamente motivato noto come SiegedSec ha annunciato sul proprio canale Telegram di aver compromesso alcuni portali NATO e aver fatto trapelare una notevole quantità di dati sensibili. Stando a quanto riportato nel post, i dati trafugati ammonterebbero a oltre 9 GB; tra questi figurerebbero informazioni “NATO Unclassified”. Si tratterebbe del secondo attacco contro l’Organizzazione intergovernativa rivendicato dall’avversario a distanza di pochi mesi. Oltre a ciò, KillNet ha rivendicato un attacco DDoS contro il sito della famiglia reale britannica; mentre NoName057(16) ha preso di mira portali tedeschi, canadesi, francesi, ucraini, norvegesi, bulgari, finlandesi e del Regno Unito.