Ransomware e Vetta Loader mirano all’Italia, colpite infrastrutture USA, offensive dalla Russia e contro la Russia

Italia: tracciate rivendicazioni ransomware e il malware Vetta Loader

Durante la scorsa settimana, gli operatori ransomware hanno continuato a mirare all’Italia. LockBit Team ha rivendicato sul proprio sito dei leak la compromissione di FPZ, mentre Cloak quella di Euro 2000 S.p.A, Black Suit di Centroedile Milano S.r.l. e Akira Team di Getrix e Compass Group. Quest’ultima azienda, in particolare, il 27 novembre scorso aveva già rilasciato un comunicato stampa nel quale dichiarava di essere caduta vittima di un incidente informatico che aveva interessato parte dei suoi sistemi. Oltre a ciò, è stata fatta luce su un’ulteriore minaccia, un malware denominato Vetta Loader, attribuibile a un avversario di matrice italiana soprannominato Nyarlathotep e distribuito attraverso chiavette USB infette contro diverse aziende del Bel Paese operanti principalmente nei settori industriale, manifatturiero e della stampa digitale. L’implant presenta una grande varietà di tecnologie e moduli, molti dei quali scaricati dinamicamente e iniettati direttamente in memoria. Inoltre, il software malevolo utilizza servizi video pubblici come tramite per distribuire i suoi payload malevoli. Nello specifico, ha sfruttato una stringa crittografata nella descrizione di un filmato sulla nota piattaforma Vimeo per ottenere lo stage successivo. La ricerca ha individuato quattro distinte varianti, ciascuna codificata in diversi linguaggi di programmazione – NodeJS, Golang, Python e .NET – che condividono però un approccio comune alla comunicazione C2 e al successivo download delle fasi.

USA: offensive colpiscono infrastrutture del Paese

L’FBI, la CISA, l’NSA, l’EPA (Environmental Protection Agency) e l’INCD (Israel National Cyber Directorate) hanno diffuso un advisory congiunto per segnalare la prosecuzione di attività informatiche malevole contro dispositivi tecnologici operativi da parte di avversari state-sponsored iraniani. In particolare, il gruppo affiliato all’IRGC (Corpo delle Guardie Rivoluzionarie Islamiche dell’Iran) che utilizza l’alias Cyber Av3ngers sta attivamente prendendo di mira e compromettendo controllori logici programmabili (PLC) Unitronics della serie Vision di produzione israeliana. Questi PLC sono comunemente utilizzati nel campo dei sistemi idrici e delle acque reflue (WWS), ma anche in altri settori, tra cui quello energetico, alimentare e sanitario. Inoltre, sempre la CISA ha pubblicato un bollettino in risposta alla conferma dello sfruttamento di CVE-2023-26360 da parte di avversari non identificati nella rete di un’agenzia del Federal Civilian Executive Branch (FCEB). Dal canto suo, un ulteriore cluster, precedentemente non documentato denominato AeroBlade, ha colpito un’azienda del settore aerospaziale negli Stati Uniti con l’apparente obiettivo di condurre un’operazione di spionaggio informatico commerciale. L’attività osservata è suddivisa in due campagne simili tra loro: la prima ha avuto luogo nel settembre 2022 e si ritiene sia stata una prima fase di test dove l’infrastruttura di rete e l’armamento dell’attaccante sono diventati operativi; mentre la seconda, ovvero la fase offensiva, risale a luglio 2023. Infine, è stata tracciata una serie di attacchi apparentemente correlati contro organizzazioni in Medio Oriente, Africa e Stati Uniti, presumibilmente condotti da un avversario di tipo state-sponsored al momento non riconducibile a nessun gruppo noto, tracciato sotto il cluster CL-STA-0002.

Russia: offensive dall’APT Sofacy e contro Mosca

Sono venute alla luce diverse nuove attività del gruppo russo state-sponsored Sofacy. A partire da marzo 2023, il collettivo è stato visto condurre regolari operazioni di phishing basate sullo sfruttamento di vulnerabilità per ottenere l’accesso iniziale nelle reti di target in Europa e Nord America, al fine di esfiltrare credenziali o attuare successive manovre. Stando a quanto osservato, oltre a impegnarsi in campagne che abusavano di Mockbin e InfinityFree per il reindirizzamento degli URL, l’APT di Mosca ha anche lanciato offensive che hanno previsto lo sfruttamento del problema di sicurezza di tipo Elevation of Privilege CVE-2023-23397 di Microsoft Outlook e della falla RCE CVE-2023-38831 di WinRAR. Gli attacchi hanno preso di mira complessivamente enti dei settori della Difesa, aerospaziale, tecnologico, governativo e manifatturiero e, occasionalmente, dell’istruzione, edilizio e della consulenza. Inoltre, anche Il Cyber Command polacco (POL Cyber Command) ha rilevato attività malevole, attribuibili al medesimo cluster, contro enti pubblici e privati del Paese basate su una tecnica che prevede la modifica delle autorizzazioni alle cartelle delle caselle di posta elettronica all’interno dei server Microsoft Exchange. D’altra parte, in data 21 e 22 novembre 2023, sono stati rilevati nuovi attacchi del gruppo state-sponsored XDSpy rivolti contro un’impresa metallurgica russa e un istituto di ricerca impegnato nello sviluppo e nella produzione di armi missilistiche guidate. In entrambi i casi, le operazioni si sono basate sulla distribuzione di e-mail malevole inviate da un mittente di una società di logistica di Kaliningrad e firmate con il logo di un istituto di ricerca russo specializzato nella progettazione di strutture per armi nucleari. Si segnala inoltre che è stato identificato un terzo messaggio di posta elettronica proveniente da un indirizzo bielorusso.