WEEKLY THREATS

Novità dal fronte ucraino, tracciate offensive APT, individuate diverse attività ransomware

15 Gennaio 2024

Ucraina: attaccato il provider russo M9com e tracciate campagne di phishing

Il gruppo ucraino Blackjack, che si ritiene possa essere legato al Servizio di Sicurezza di Kiev (SBU), ha sferrato un attacco informatico contro il provider internet di Mosca M9com, probabilmente in risposta all’offensiva del 12 dicembre ai danni della Telco Kyivstar. In particolare, l’avversario ha violato e distrutto i server aziendali, causando un parziale blackout nella capitale che ha lasciato una parte dei cittadini senza internet e televisione. Secondo quanto riferito, l’offensiva ha portato alla cancellazione di circa 20 TB di dati. Inoltre, il CERT-UA ha indagato su una serie di attacchi che, con il pretesto di reclutare individui nella 3ª Brigata d’Assalto Separata e nelle Forze di Difesa Israeliane (IDF), hanno preso di mira il personale militare delle Forze Armate dell’Ucraina; oltre ad individuare diverse attività di distribuzione di e-mail associate al cluster UAC-0050, rispettivamente volte a veicolare Remcos, QuasarRAT e il software per desktop remoto Remote Utilities.

Turchia e Cina: colpiti i Paesi Bassi e sfruttate nuove 0-day

Tra il 2021 e il 2023, ricercatori di sicurezza hanno osservato diversi attacchi informatici nei Paesi Bassi orchestrati dall’APT turco Sea Turtle. Le campagne analizzate sembrano concentrarsi su enti governativi, gruppi curdi (come il PKK), ONG, società di telecomunicazioni, ISP, provider di servizi IT e organizzazioni del settore dei media e dell’intrattenimento. In particolare, l’avversario ha sferrato attacchi di tipo supply chain e island hopping al fine di acquisire informazioni di natura politica, compresi dati personali su gruppi minoritari e possibili dissenzienti. D’altro canto, due vulnerabilità 0-day sono state sfruttate ITW. Tracciate con codice CVE-2023-46805 (CVSS 8.2) e CVE-2024-21887 (CVSS 9.1), rispettivamente di tipo Authentication Bypass e Command Injection, una volta concatenate consentono l’esecuzione di codice remoto non autenticato nei gateway Ivanti Connect Secure (ICS) e Ivanti Policy Secure presi di mira. In particolare, durante la seconda settimana di dicembre 2023, alcuni analisti hanno identificato attività sospette sulla rete di un loro cliente, presumibilmente iniziate già il 3 dello stesso mese. L’operazione è stata attribuita a un avversario sconosciuto tracciato sotto l’alias UTA0178, che si ha ragione di credere sia un gruppo state-sponsored cinese. Nel caso analizzato, l’attaccante ha sfruttato i due exploit per rubare i dati di configurazione, modificare i file esistenti, scaricare file remoti ed effettuare il reverse tunneling dall’appliance ICS VPN target.

Ransomware: RE#TURGENCE mira a server MSSQL, Water Curupira utilizza Pikabot, e rilasciato decryptor per Babuk Locker

È stata tracciata una campagna in corso denominata RE#TURGENCE, volta a individuare e sfruttare server MSSQL per ottenere l’accesso iniziale all’host target per poi venderlo o distribuire un ransomware chiamato Mimic. L’operazione è stata attribuita ad avversari di origine turca finanziariamente motivati che sembrano prendere di mira gli Stati Uniti, l’Unione Europea e i Paesi dell’America Latina. Oltre a ciò, un avversario soprannominato Water Curupira è stato osservato utilizzare attivamente Pikabot in campagne di spam avvenute durante il 2023. Parallelamente, l’attaccante ha condotto diverse operazioni basate su DarkGate e, in minor parte, su IcedID nelle prime settimane del terzo trimestre del 2023, per poi concentrarsi esclusivamente su Pikabot. In generale, il cluster conduce attacchi allo scopo di rilasciare backdoor come Cobalt Strike e distribuire il ransomware Black Basta. Infine, ricercatori di due diverse società di sicurezza informatica, in collaborazione con la Polizia olandese, hanno rilasciato una versione aggiornata del decryptor gratuito del 2021 di Babuk Locker, in grado di ripristinare i file crittografati dalla variante del ransomware chiamata Tortilla.


Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center. Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.