Ultimi aggiornamenti sui conflitti Russia-Ucraina e Israele-Hamas, risolta in Chrome una 0-day sfruttata ITW

Russia-Ucraina: attivi NoName057(16), Joker DPR, IT Army of Ukraine e Blackjack

Nella settimana antecedente alle festività natalizie, NoName057(16) ha rivendicato sul proprio canale Telegram diversi attacchi DDoS ai danni di molteplici portali italiani, ovvero: Associazione Intermediari Mercati Finanziari (ASSOSIM), Autorità di Sistema Portuale del Mare Adriatico Orientale (Porto di Trieste), Sinfomar, Autorità di Sistema Portuale del Mar Ionio (Porto di Taranto), Commissione Nazionale per le Società e la Borsa (CONSOB), Autorità Garante della Concorrenza e del Mercato (AGCM), Agenzia delle Dogane e dei Monopoli, AMAT Palermo Spa, Siena Mobilità S.c.a.r.l., Gruppo Torinese Trasporti (GTT) e CTM Spa – Cagliari. Stando a quanto affermato, le offensive sono motivate dalla decisione di estendere ulteriormente il supporto italiano a Kiev. Ciononostante, l’Italia non è stato l’unico Stato bersagliato dal collettivo, il quale ha colpito anche siti in Bulgaria, Norvegia, Regno Unito, Svezia, Ucraina, Belgio e Austria. D’altro canto, indagando su un’operazione di phishing di Joker DPR, il CERT-UA ha portato alla luce alcune TTP impiegate dall’avversario. In particolare, quest’ultimo utilizza tecniche di phishing al fine di ottenere l’accesso non autorizzato agli account dei servizi di posta elettronica Google, Ukr[.]Net, Outlook, nonché ai wallet di criptovalute EXMO e Binance dei target; crea pagine web che imitano servizi legittimi con nomi di dominio caratteristici; distribuisce via e-mail link ai siti generati; e, infine, estrae dati sensibili per poi utilizzarli per creare leak contenenti dati distorti, che vengono successivamente pubblicati. Sul fronte opposto, il collettivo IT Army of Ukraine sostenuto dal governo ucraino ha rivendicato sul proprio canale Telegram un DDoS rivolto contro Bitrix24, un provider russo di servizi di gestione delle relazioni con i clienti (CRM) utilizzato da importanti aziende come la compagnia petrolifera Rosneft. Infine, presumibilmente con il supporto del Servizio di Sicurezza di Kiev (SBU), un gruppo ucraino denominato Blackjack avrebbe sferrato un attacco contro l’infrastruttura IT di Rosvodokanal, società russa del settore idrico parte di Alfa Group, colpendo più di 6.000 computer e cancellando oltre 50 TB di dati.

Israele-Hamas: le ultime dal fronte cibernetico

Il 18 dicembre 2023, l’Israel National Cyber Directorate (INCD) ha dichiarato che Iran e Hezbollah sono dietro un tentato attacco informatico rivolto all’ospedale israeliano Ziv Medical Center, che ha avuto luogo a fine novembre. Orchestrata dall’APT iraniano Agrius, con il coinvolgimento dell’unità cibernetica di Hezbollah Lebanese Cedar, l’offensiva mirava a interrompere le operazioni dell’ospedale, ma è stata sventata prima che ciò potesse accadere. Sempre inerente al conflitto in corso, ricercatori di sicurezza hanno tracciato una campagna di phishing, soprannominata Operation HamsaUpdate, che ha previsto la distribuzione di versioni Windows e Linux di un wiper inedito, rispettivamente soprannominate Hatef e Hamsa, contro target israeliani che utilizzano dispositivi di rete F5. Da ultimo, l’avversario di matrice palestinese Molerats ha introdotto nel proprio arsenale una versione aggiornata della backdoor Pierogi denominata Pierogi++.Utilizzata per la prima volta nel 2022, e a seguire per tutto il 2023, la minaccia viene solitamente distribuita attraverso file di archivio o documenti Office armati con macro inerenti a questioni palestinesi (scritti in inglese o in arabo) al fine di colpire principalmente entità in Palestina.

Google: corretta in Chrome una 0-day

Google ha annunciato il rilascio di nuove versioni di Chrome per desktop e Android che correggono una vulnerabilità 0-day sfruttata ITW. Tracciata con codice CVE-2023-7024, la falla è una Heap Buffer Overflow in WebRTC (Web Real-Time Communication), framework open-source che consente ai browser di effettuare delle videochiamate in tempo reale. L’azienda di Mountain View ha dichiarato di essere a conoscenza dell’esistenza ITW di un exploit; tuttavia, ha affermato che i dettagli sul problema saranno resi pubblici solo quando la maggioranza degli utenti avrà effettuato l’aggiornamento.