WEEKLY THREATS

Italia nel mirino di diversi avversari, le ultime sulle 0-day di Ivanti, nuovi malware di Charming Kitten e Callisto

22 Gennaio 2024

Italia: operazioni di phishing e ransomware colpiscono il Paese

Nell’ultima settimana diverse campagne di phishing hanno colpito il nostro Paese. Nello specifico, da una parte sono state tracciate operazioni di phishing adattivo che abusano di IPFS e del servizio Google Web Light; dall’altro lato, sono state rilevate due attività distinte rispettivamente volte all’esfiltrazione di credenziali e informazioni personali, delle quali l’ultima ha previsto la creazione di una landing page con loghi e riferimenti riconducibili all’Istituto Nazionale Previdenza Sociale (INPS) al fine di indurre i target a caricare alcuni documenti in formato digitale (carta di identità, tessera sanitaria e patente di guida). A queste si è poi aggiunta una campagna di distribuzione via APK di un RAT bancario per Android denominato Irata, rivolta contro utenti dell’istituto finanziario italiano CheBanca!. Da ultimo, il gruppo ransomware 8BASE Team ha rivendicato sul proprio sito dei leak la compromissione di SIVAM Coatings S.p.A. (Nuova SIVAM S.p.A.), azienda italiana dell’hinterland milanese operante nel settore delle vernici per legno, plastica e vetro.

Ivanti: le ultime sullo sfruttamento di CVE-2023-46805 e CVE-2024-21887

Continuano ad emergere novità in merito allo sfruttamento, ormai diffuso, delle due 0-day di Ivanti CVE-2023-46805 e CVE-2024-21887, che interessano le appliance Connect Secure (ICS) e Policy Secure. Nello specifico, sono statti individuati oltre 2.100 dispositivi Ivanti Connect Secure VPN compromessi con la webshell GIFTEDVISITOR in tutto il mondo. Stando a quanto osservato, tra le vittime identificate figurano più aziende Fortune 500 operanti in vari settori verticali, come quelli governativo, militare, dell’industria della Difesa (contractor), delle telecomunicazioni, tecnologico, finanziario, della consulenza, aerospaziale, dell’aviazione e ingegneristico. Oltre a rilevare nuovi sistemi compromessi, alcuni analisti hanno scoperto che UTA0178 ha apportato modifiche al tool integrato Integrity Checker, le quali hanno permesso che lo strumento segnalasse sempre l’assenza di file nuovi o non corrispondenti, indipendentemente dal numero di file identificati, nel tentativo di eludere il rilevamento da parte di organizzazioni che cercano di trovare prove di compromissione sui loro dispositivi. Infine, a partire dal 16 gennaio 2023, giorno in cui è stato reso pubblico un codice Proof-of-Concept (PoC), è stato possibile osservare un ampio sfruttamento contro le appliance ICS VPN da parte di avversari che hanno poi distribuito malware e miner di criptovaluta, quali XMRig e un implant scritto in Rust.

Charming Kitten e Callisto: scoperte backdoor inedite

A partire da novembre 2023, l’iraniano Charming Kitten ha preso di mira individui di alto profilo che lavorano su questioni mediorientali presso università e istituti di ricerca in Belgio, Francia, Gaza, Israele, Regno Unito e Stati Uniti. Alcuni di questi attacchi, hanno previsto l’uso del conflitto tra Israele e Hamas come tema esca e la distribuzione di una backdoor custom inedita chiamata MediaPl insieme ad una già nota denominata MischiefTut. Dal canto suo, il russo Callisto è stato anch’esso osservato veicolare una backdoor custom precedentemente non documentata, soprannominata SPICA, il cui utilizzo è stato rilevato nel settembre 2023, ma sembrerebbe risalire almeno al novembre 2022. Scritta in Rust, la minaccia utilizza JSON su websocket per il C2 e supporta una serie di funzioni, tra cui: l’esecuzione di comandi shell arbitrari; il furto di cookie da Chrome, Firefox, Opera ed Edge; l’upload e il download di file; l’esaminazione del filesystem elencandone il contenuto; l’enumerazione dei documenti e la loro esfiltrazione in un archivio.