WEEKLY THREATS

Nuove offensive colpiscono l’Italia, attacchi di APT russi su target ucraini, osservate attività del nordcoreano Lazarus Group

23 Ottobre 2023

Italia: rivendicazioni ransomware, campagne di phishing e attacchi DDoS

Nella scorsa settimana molteplici offensive hanno preso di mira il nostro Paese. Per quanto riguarda il versante ransomware, Black Basta Team ha rivendicato la compromissione di Intred S.p.A. e Piemme S.p.A.; Cactus Team di SCS S.p.A.; Medusa Team di Symposia Organizzazione Congressi S.r.l. e EDB Soluzioni Elettroniche S.r.l.;  Cyclops Team di Kinesis Film S.r.l., Faieta Motors S.r.l. e Confezioni Mario De Cecco S.p.A.; e Snatch Team di Cogal S.r.l. Inoltre, la Provincia di Perugia ha annunciato di aver subito un attacco informatico finalizzato alla criptazione di dati interni ai server, al momento non ancora reclamato da alcun avversario noto. Oltre alle consuete campagne di phishing con target Italia, alcune in particolare hanno attirato l’attenzione dei ricercatori. Tra queste figurano: un’offensiva volta alla distribuzione di un nuovo infostealer denominato 0bj3ctivity, che sfrutta un’e-mail in lingua inglese; tentativi di phishing ai danni dei clienti Isybank; una pagina fraudolenta a tema IT-Alert che distribuisce il RAT Android SpyNote; e un’operazione presumibilmente attribuibile all’avversario Alibaba2044, volta a veicolare un malware chiamato Pure Clipper contro utenti di lingua italiana. Infine, a bersagliare il Bel Paese, si è aggiunto anche il collettivo filorusso NoName057(16), il quale ha rivendicato offensive DDoS ai danni delle compagnie di navigazione italiane Grimaldi Lines e SNAV.

Ucraina: Sandworm e Sofacy colpiscono il Paese

Tra l’11 maggio e il 27 settembre 2023, l’APT russo Sandworm ha compromesso undici provider di telecomunicazioni in Ucraina, causando interruzioni nei servizi offerti. Inoltre, in operazioni parallele sia Sandworm che Sofacy, sempre associato al Governo di Mosca, hanno sfruttato la vulnerabilità CVE-2023-38831 di WinRAR, la quale consente di eseguire codice arbitrario quando una vittima tenta di visualizzare un file apparentemente innocuo presente all’interno di un archivio ZIP o RAR. Nello specifico, Il 6 settembre 2023, Sandworm ha svolto una campagna di phishing via e-mail volta alla distribuzione dell’infostealer Rhadamanthys, spacciandosi per una scuola ucraina di addestramento all’uso dei droni in guerra; quanto a Sofacy, il 4 settembre ha lanciato un’operazione di spear phishing al fine di veicolare malware contro infrastrutture energetiche, abusando di un provider di hosting gratuito per colpire target ucraini.

Lazarus Group: l’APT nordcoreano continua a colpire

Diverse nuove offensive sono state attribuite al nordcoreano Lazarus Group. In particolare, dall’inizio di ottobre 2023, ricercatori di sicurezza hanno osservato l’avversario sfruttare la vulnerabilità CVE-2023-42793 nei server TeamCity per distribuire malware, tra cui ForestTiger, attraverso varie catene di infezione. Inoltre, una campagna in corso rivolta contro l’industria della Difesa e ingegneri nucleari sta sfruttando applicazioni VNC trojanizzate per accedere ai sistemi aziendali target, inducendo sui social media le vittime ad aprirle proponendo falsi colloqui di lavoro. Infine, sono state analizzate due minacce associate al gruppo, chiamate Volgmer e Scout. La prima è una backdoor DLL utilizzata dall’avversario a partire dal 2014 fino al 2021 circa, periodo durante il quale ha subito alcune modifiche dando vita a diverse varianti. Dal canto suo, distribuito a partire dal 2022 circa, Scout è un downloader simile a Volgmer che, al posto di avere funzionalità backdoor, scarica un altro implant da una fonte esterna e lo esegue nell’area di memoria.