WEEKLY THREATS

Nuove offensive colpiscono l’Italia, tracciate attività nell’ambito del conflitto israeliano, sfruttate 0-day contro infrastrutture critiche e target governativi.

20 Novembre 2023

Italia: campagne di phishing e attacchi ransomware colpisco la penisola

Nell’ultima settimana, sono state individuate diverse offensive volte ad esfiltrare credenziali o veicolare malware contro target italiani. In particolare, attiva dal 7 novembre, un’operazione ai danni di Trenitalia S.p.A. ha impiegato un portale che imita graficamente il sito legittimo trenitalia[.]it e si comporta come se l’utente stesse davvero effettuando una prenotazione, con la comparsa di varie opzioni, tariffe, offerte e altro. Nello specifico, vengono richiesti dati personali e di pagamento e, una volta ottenuti, inviati ai criminali informatici. Inoltre, è stato individuato un attacco rivolto contro imprese private e pubbliche amministrazioni, che sfrutta loghi e finte comunicazioni dell’Agenzia delle entrate-Riscossione, con l’obiettivo di esfiltrare le credenziali delle vittime usate per accedere ai servizi dell’Agenzia delle Entrate. Parallelamente sono state tracciate, due nuove ondate di una campagna recentemente documentata, sempre a tema Agenzia delle Entrate, volte a distribuire rispettivamente i malware SystemBC e Remcos. D’altro canto, a colpire il Bel Paese sono state anche diverse offensive ransomware. Black Basta Team ha rivendicato sul proprio sito dei leak la compromissione di Selesta Ingegneria S.p.A., mentre LockBit Team la violazione dell’italiana Plati Elettroforniture S.r.l., 8BASE Team di Lanificio Luigi Colombo S.p.A e INC RANSOM di SCOLARI S.r.l.

Israele-Hamas: tracciate attività e nuovi malware in Medio Oriente

È stata rilevata una variante del wiper BiBi-Linux che mira ai sistemi Windows, denominata BiBi-Windows. Al momento non è chiaro se il malware sia stato utilizzato in attacchi reali e, in caso affermativo, chi siano gli obiettivi. Ricercatori ritengono che dietro entrambi i wiper ci sia un collettivo hacktivista sostenuto da Hamas chiamato BiBiGun, apparso per la prima volta nel 2023 durante la guerra. Ulteriori analisti, invece, hanno identificato su Telegram un gruppo soprannominato Karma, presumibilmente legato all’iraniano Moses Staff Team. Anche se finora non sono state stabilite prove conclusive che colleghino Karma e Moses Staff Team, si ipotizza che le minacce facciano parte di una campagna più ampia in corso che coinvolge più hacktivisti prendendo di mira le aziende israeliane con l’intento deliberato di interrompere le loro attività quotidiane attraverso la distruzione dei dati. Dal canto suo, il gruppo state-sponsored di matrice palestinese Molerats è stato visto condurre campagne di phishing che fornivano un nuovo downloader multifunzionale di accesso iniziale, denominato IronWind, utilizzando tre diverse catene di infezione ognuna delle quali porta al download di una DLL contenente il malware stesso. Stando a quanto osservato, l’APT si è costantemente impegnato in attività estremamente mirate, colpendo meno di cinque organizzazioni in ogni singola operazione. Inoltre, ha mantenuto un forte interesse per le realtà governative con sede in Medio Oriente e Nord Africa. Si ritiene che Molerats operi a sostegno degli obiettivi di spionaggio palestinese, con particolare attenzione alla raccolta di informazioni; tuttavia, si valuta che potrebbe trovarsi a dover adattare i suoi target o le sue esche di social engineering in reazione al conflitto in corso tra Israele e Hamas. Infine, il collettivo hacktivista Mysterious Team Bangladesh ha rivendicato una nuova offensiva DDoS a sostegno della Palestina. Nello specifico l’attacco, arrivato sotto l’hashtag #SAVEPALESTINE, ha coinvolto il portale ufficiale dell‘Aeroporto di Vienna.

0-day: sfruttate vulnerabilità per compromettere strutture critiche in Danimarca e target governativi

Il centro di sicurezza informatica per i settori critici danese SektorCERT ha rivelato che, nel mese di maggio 2023, l’infrastruttura critica del Paese è stata esposta all’attacco informatico più esteso mai documentato finora in Danimarca. In particolare, 22 aziende operanti nel settore energetico del Regno, sono state compromesse in un’offensiva coordinata che ha sfruttato diverse vulnerabilità (probabilmente anche 0-day) nei firewall Zyxel. Il risultato è stato che gli attaccanti hanno avuto accesso ad alcuni sistemi di controllo industriale e diverse compagnie sono state costrette a entrare in modalità island. D’altro canto, nel giugno 2023, il Threat Analysis Group (TAG) di Google ha scoperto l’impiego ITW di un exploit 0-day per CVE-2023-37580 di Zimbra Collaboration – patchato poi dal vendor a luglio – in quattro diverse campagne rivolte contro organizzazioni governative internazionali al fine di rubare dati e-mail, credenziali utente e token di autenticazione. In particolare, da giugno il problema di sicurezza tipo Reflected Cross-site Scripting (XSS) è stato attivamente sfruttato in attacchi mirati contro server di posta elettronica di Zimbra. Nello specifico, stando a quanto osservato, tre degli avversari dietro le operazioni analizzate hanno sfruttato la falla prima del rilascio della correzione ufficiale; mentre, il quarto attaccante ha abusato di CVE-2023-37580 dopo il rilascio della patch. La prima campagna ha preso di mira un’entità governativa in Grecia; mentre la seconda è stata condotta dall’APT presumibilmente di matrice filorussa Winter Vivern e ha bersagliato organizzazioni governative in Moldavia e Tunisia. Per quanto riguarda la terza operazione, sferrata da un avversario non identificato, si tratta di un’attività di phishing delle credenziali rivolta contro un ente governativo in Vietnam. Infine, la quarta e unica campagna ad essere stata eseguita dopo il rilascio della patch ufficiale ha colpito un’organizzazione governativa in Pakistan. Nello specifico, l’exploit è stato impiegato per rubare il token di autenticazione Zimbra.