WEEKLY THREATS

Il russo APT 29 colpisce Microsoft e HPE, nuove attività dal fronte russo-ucraino, vulnerabilità ITW, attacchi in Italia

29 Gennaio 2024

APT 29: scoperte offensive contro Microsoft e HPE

Microsoft ha riferito di aver rilevato nei suoi sistemi aziendali un’offensiva di tipo state-sponsored attribuita al russo APT 29. Stando a quanto analizzato, a partire dalla fine di novembre 2023 l’avversario ha utilizzato un attacco di password spraying per compromettere un account di un legacy non-production test tenant che non aveva l’autenticazione multifattoriale (MFA) abilitata e ottenere un punto d’appoggio. Successivamente, ha usato le autorizzazioni di tale account per accedere a una percentuale ridotta di account di posta elettronica aziendali di Microsoft, compresi quelli di membri del senior leadership team e di dipendenti dei team di cybersecurity, legale e di altre business unit, e ha esfiltrato alcune e-mail e documenti allegati. Oltre a ciò, l’APT di Mosca sembra aver preso di mira più organizzazioni. Tra queste, Hewlett Packard Enterprise (HPE) ha comunicato che APT 29 ha violato il suo ambiente di posta elettronica basato sul cloud per rubare dati del team di cybersecurity e di altri reparti. Sebbene le indagini sull’incidente e sulla sua portata siano ancora in corso, HPE valuta che l’offensiva sia probabilmente legata a una precedente violazione – avvenuta a maggio 2023 e della quale è venuta a conoscenza a giugno dello stesso anno – che ha comportato l’accesso non autorizzato e l’esfiltrazione di un numero limitato di file SharePoint.

Russia-Ucraina: novità dal conflitto

Giovedì 25 gennaio diverse aziende ucraine di proprietà statale hanno rilevato attacchi informatici sui loro sistemi. Tra queste figurano la società di petrolio e gas Naftogaz, l’operatore postale Ukrposhta (AT Ukrpošta), il Servizio statale dell’Ucraina per la sicurezza dei trasporti Ukrtransbezpeka e la compagnia ferroviaria Ukrzaliznytsia. Al momento, non è chiaro chi ci sia dietro le operazioni sopracitate e se queste siano collegate tra loro. Tuttavia, un gruppo russo chiamato Russian Cyber Army Team (Narodnaya Cyber Armija) ha rivendicato la responsabilità dell’attacco al sistema di Ukrtransbezpeka senza menzionare le altre offensive. Oltre a ciò, Il CERT-UA ha rilevato una distribuzione di massa di e-mail, associata al cluster UAC-0050, presumibilmente provenienti dal Servizio Statale per le Comunicazioni Speciali e dal Servizio Statale per le emergenze dell’Ucraina contenenti archivi RAR o link a Bitbucket a tema rimozione di virus ed evacuazione; mentre un’ulteriore operazione di distribuzione del malware Smoke Loader ha colpito il Dipartimento di Giustizia, istituzioni pubbliche e mediche, compagnie assicurative, imprese edili e aziende manifatturiere del Paese. Per quanto riguarda il fronte ucraino, la Defence Intelligence of Ukraine ha riferito di un’operazione informatica di successo condotta da volontari di un gruppo chiamato BO Team, che ha portato alla distruzione del database del dipartimento delle regioni dell’estremo oriente del Centro di Ricerca sull’Idrometeorologia Spaziale «Planeta» della Federazione Russa.

Vulnerabilità: rilasciati nuovi dettagli su diverse falle e una 0-day di Apple

Il gruppo legato alla Cina tracciato come UNC3886 sembrerebbe aver sfruttato CVE-2023-34048 di VMware vCenter Server dalla fine del 2021. Sebbene la falla sia stata pubblicamente segnalata e sanata nell’ottobre 2023, l’avversario potrebbe aver avuto accesso a tale problema di sicurezza per circa un anno e mezzo. D’altro canto, Apple ha rilasciato aggiornamenti che sanano una 0-day attivamente sfruttata ITW. Tracciata con codice CVE-2024-23222, la vulnerabilità è di tipo Type Confusion e risiede in WebKit. Nello specifico, l’elaborazione di contenuti web creati in modo malevolo può portare all’esecuzione di codice arbitrario. Inoltre, è stato osservato un aumento degli attacchi che sfruttano bug degli host Apache ActiveMQ che, in alcuni casi, ospitano webshell JSP (Java Server Pages) malevole. In particolare, si è registrato un incremento delle attività basate sulla vulnerabilità critica CVE-2023-46604 legata a pratiche di deserializzazione non sicure all’interno del protocollo OpenWire. Tale falla consente ad avversari di ottenere potenzialmente l’accesso non autorizzato a un sistema target eseguendo comandi shell arbitrari. Infine, sono stati registrati migliaia di tentativi volti a sfruttare CVE-2023-22527 in Atlassian Confluence Data Center e Server, con attacchi provenienti da più di 600 indirizzi IP ed è stato rilasciato un exploit Proof-of-Concept per la vulnerabilità CVE-2024-0204 presente in GoAnywhere MFT di Fortra.

Italia: individuate operazioni di smishing e rivendicazioni ransomware

È stata tracciata in Italia una nuova campagna di smishing volta alla distribuzione del RAT Irata ai danni degli utenti dell’istituto di credito italiano Mediobanca. Il messaggio, che sembra provenire dalla banca, invita i destinatari a seguire un link per scaricare una presunta applicazione Android. Lo scopo dell’attività malevola è quello di raccogliere gli estremi delle carte di credito delle vittime, rendere il dispositivo un bot e ottenere accesso agli SMS contenenti codici di autenticazione a due fattori (2FA). Inoltre, è stata individuata una nuova ondata di un’attività a tema corrispondenza che utilizza tecniche di adescamento simili a quelle utilizzate in un’operazione del luglio 2023. La campagna in questione sfrutta nomi e loghi riferibili ai servizi offerti da Poste Italiane e viene veicolata tramite SMS appositamente predisposti, che sembrano provenire da un numero con il prefisso internazionale relativo alle Filippine (+63). Infine, nuovi attacchi ransomware hanno mirato a realtà del bel Paese. Qilin Team ha rivendicato sul proprio sito dei leak la compromissione di Neafidi; mentre Medusa Team ha annunciato la violazione di CloudFire S.r.l. e Pozzi Leopoldo S.r.l.