L’Italia nel mirino di nuove offensive, tracciate attività state-sponsored in Asia, CVE sfruttate da avversari ransomware

Italia: sferrati attacchi DDoS e ransomware al Bel Paese

Nel corso dell’ultima settimana, offensive di diversa natura hanno colpito alcune realtà italiane. In particolare, il collettivo hacktivista filorusso NoName057(16) ha rivendicato DDoS ai danni dei seguenti cinque portali: Assosim (Associazione Intermediari Mercati Finanziari), Banca di Credito Cooperativo, Agenzia delle dogane e dei Monopoli, Ministero della Difesa e AMAT Palermo. Sul versante ransomware, invece, LockBit Team ha annunciato la compromissione di Binda Italia S.r.l., Centro Ortopedico di Quadrante S.p.A. e Consorzio di Bonifica dell’Emilia Centrale (presumibilmente bersagliato a inizio agosto); ALPHV Team ha annunciato la violazione della compagnia di navigazione italo-francese Corsica Ferries; mentre Black Basta Team si è dichiarato responsabile di un attacco alla società Califano Carrelli S.p.A. Inoltre, è stata tracciata una presunta campagna di smishing ai danni di utenti YAP, app prepagata Mastercard facente parte dei servizi Nexi. L’operazione ha l’obiettivo di esfiltrare specifici dati della vittima (numero di telefono, password e codice OTP) al fine di utilizzarli per ricevere e/o inviare denaro dall’account rubato.

APT: fermento nel continente asiatico

Dall’Iran, Agrius ha preso di mira realtà israeliane dei settori dell’istruzione e della tecnologia in offensive distruttive che hanno previsto il furto di dati sensibili e la distribuzione di diversi wiper precedentemente non documentati (MultiLayer, PartialWasher e BFG Agonizer) per coprire le tracce e rendere inutilizzabili gli endpoint infetti; Tortoiseshell ha mirato a entità dei settori dei trasporti, della logistica e della tecnologia, principalmente in Israele, conducendo attacchi di watering hole e phishing; mentre, MuddyWater sta adoperando un framework C2 custom denominato MuddyC2Go – precedentemente non documentato e verosimilmente in uso dal 2020 – in operazioni indirizzate sempre a target israeliani. Spostandoci in Cina, attualmente non associato a nessun gruppo noto, un APT ha sfruttato un’infrastruttura malevola, mascherata da servizi di backup in cloud, per colpire organizzazioni governative cambogiane; probabilmente nell’ambito di attività di spionaggio a lungo termine. Infine, dall’India, Barmanou è stato osservato abusare della CVE-2023-38831 di WinRAR in attacchi multipiattaforma rivolti contro enti governativi e della Difesa indiani per veicolare vari trojan di accesso remoto come AllaKore, Ares RAT e DRat.

Atlassian e SysAid: sfruttate vulnerabilità da avversari dietro Cerber e Cl0p

Il 6 novembre 2023, Atlassian ha aggiornato l’advisory riguardante la falla critica CVE-2023-22518 di tipo Improper Authorization presente in Confluence Data Center e Server – aumentando il codice CVSS da 9.1 a 10.0 – in seguito a segnalazioni riguardanti tentativi di sfruttamento da parte di avversari dietro il noto ransomware Cerber. In particolare, sia su sistemi Windows che Linux, sono state identificate attività malevole le cui catene di attacco hanno implicato lo sfruttamento di massa di server Atlassian Confluence vulnerabili esposti a internet per recuperare – tramite l’esecuzione di comandi di post-exploitation – un payload malevolo ospitato su un server remoto, che veicola la minaccia. Dal canto suo, il team di SysAid è venuto a conoscenza dello sfruttamento di una 0-day nella versione on-premise della nota soluzione di IT Service Management (ITSM), nell’ambito di attacchi limitati sferrati da TA505 prevedibilmente volti alla distribuzione del ransomware Cl0p e all’esfiltrazione dei dati. Tracciata con codice CVE-2023-47246, si tratta di una Path Traversal che porta all’esecuzione di codice all’interno del software SysAid on-prem. Sfruttandola, l’attaccante è stato in grado di caricare un archivio WAR contenente una webshell e altri payload nella webroot del servizio web SysAid Tomcat.