Albania nel mirino di HomeLand Justice, le ultime dai conflitti in corso, CVE-2023-7102 sfruttata da UNC4841

Albania: attacco informatico al Parlamento

Martedì 26 dicembre 2023, il Parlamento albanese (Kuvendi i Shqipërisë) ha dichiarato di aver subito un attacco informatico che ha causato l’interruzione temporanea del proprio operato. Stando a quanto affermato, rilevata lunedì 25 dicembre, l’offensiva non ha causato alcuna perdita o alterazione di dati seppur mirava a cancellarli. Media locali hanno riferito che anche la società di telecomunicazioni One Albania, la compagnia aerea di bandiera Air Albania e l’operatore telefonico Eagle Mobile sono stati presi di mira nella stessa giornata. Tutti questi attacchi, compreso quello al Parlamento, sono stati rivendicati dal fronte di presunta matrice iraniana HomeLand Justice sul proprio canale Telegram nell’ambito di un’operazione chiamata DDMC avviata proprio il 25 dicembre e caratterizzata dall’hashtag #DestroyDurresMilitaryCamp (DDMC); probabilmente un riferimento al quartier generale dell’organizzazione di opposizione iraniana Mojaheddin-e Khalq (MEK) nella contea albanese di Durazzo. Lo stesso avversario si era dichiarato responsabile dell’operazione del luglio 2022 rivolta contro il governo albanese, la quale ha portato alla rottura con effetto immediato delle relazioni diplomatiche tra il Paese della penisola balcanica e la Repubblica islamica dell’Iran.

Russia-Ucraina e Israele-Hamas: gli ultimi aggiornamenti dal dominio cibernetico

Nel periodo compreso tra il 15 e il 25 dicembre 2023, il CERT-UA ha rilevato diverse operazioni del russo Sofacy volte alla distribuzione contro entità governative ucraine di e-mail contenenti link malevoli che, una volta aperti, portano all’esecuzione di un malware inedito chiamato MASEPIE. Quest’ultimo viene adoperato per caricare ed eseguire: OPENSSH, al fine di creare un tunnel; STEELHOOK, ovvero uno script PowerShell precedentemente non documentato progettato per rubare dati dai browser (quali Chrome ed Edge); e, infine, la nota backdoor IMAPChanel (OCEANMAP). Inoltre, entro un’ora dal momento della compromissione iniziale vengono creati sul computer target tool, come Impacket, SMBEXEC, e altri ancora, i quali vengono utilizzati per condurre attività di ricognizione sulla rete e tentare ulteriori movimenti laterali. Inerente alla guerra tra Israele e Hamas, invece, l’Israel National Cyber Directorate ha rilasciato nuovi dettagli sull’Operation HamsaUpdate dietro la quale si è rivelato celarsi un gruppo iraniano. Lo scopo dell’operazione è quello di effettuare attività di tipo CNA e CNE contro organizzazioni del settore economico israeliano, inviando e-mail ingannevoli per indurre il personale informatico dei target a scaricare sia su server Windows che Linux un aggiornamento di sicurezza tramite un link allegato che, in realtà, porta al download di un wiper e, in una seconda ondata, anche dell’infostealer Rhadamanthys (quest’ultimo solo su Windows).

Barracuda: nuova 0-day sfruttata da UNC4841

L’avversario cinese UNC4841 continua a prendere di mira le appliance Barracuda Email Security Gateway (ESG) sferrando attacchi che prevedono lo sfruttamento di una nuova vulnerabilità 0-day al fine di distribuire varianti inedite dei malware SEASPY e SALTWATER. Tracciata con codice CVE-2023-7102, la falla di tipo Arbitrary Code Execution (ACE) è presente all’interno di una libreria open-source di terze parti denominata Spreadsheet::ParseExcel – utilizzata dallo scanner antivirus Amavis all’interno delle appliance – e consente di veicolare un allegato e-mail Excel appositamente creato per colpire un numero limitato di dispositivi ESG. Sebbene per risolvere il problema il vendor ha distribuito un aggiornamento di sicurezza automatico e successivamente implementato una patch per rimediare alle appliance compromesse, ha riferito che la falla originale nel modulo Perl Spreadsheet::ParseExcel (versione 0.65), alla quale è stato assegnato il codice CVE-2023-7101, rimane senza correzione. In precedenza, l’attaccante di Pechino era stato collegato allo sfruttamento attivo della 0-day CVE-2023-2868.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center. Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.