WEEKLY THREATS

Attaccanti cinesi colpiscono a livello globale; spyware commerciali e 0-day; nuove attività cybercrime

12 Febbraio 2024

Cina: tracciate diverse offensive da parte di APT e presunti avversari cinesi

La CISA, l’NSA, l’FBI e ulteriori partner hanno rilasciato un advisory congiunto riguardo l’avversario cinese Volt Typhoon, il quale si è infiltrato con successo in infrastrutture critiche statunitensi con il presunto intento di preposizionarsi per attacchi cibernetici dirompenti o distruttivi in caso di crisi o conflitto con gli Stati Uniti. Sono state osservate violazioni in reti informatiche di entità operanti nei settori delle comunicazioni, dell’energia, dei trasporti e dei sistemi idrici e delle acque reflue negli Stati Uniti continentali e non continentali e nei loro territori, incluso Guam. Alcune di queste vittime sono organizzazioni più piccole con limitate capacità in materia di sicurezza informatica che forniscono servizi critici a organismi più grandi o a località geografiche strategiche. La scelta degli obiettivi e il modello di comportamento osservati non sono coerenti con le tradizionali operazioni di spionaggio informatico o di raccolta di informazioni, e le agenzie statunitensi valutano con elevata fiducia che il gruppo si stia preposizionando sulle reti IT per muoversi lateralmente verso risorse OT (Operational Technology). Oltre a ciò, Il Military Intelligence and Security Service (MIVD) e il General Intelligence and Security Service (AIVD) dei Paesi Bassi hanno segnalato una violazione, attribuibile a un avversario finanziato dalla Cina, che nel 2023 ha colpito il ministero della Difesa neerlandese e sfruttato un RAT inedito denominato COATHANGER progettato specificamente per appliance Fortigate. Gli effetti dell’intrusione sono stati limitati poiché la rete target era segmentata dagli altri asset dell’organizzazione. In particolare, quest’ultima aveva meno di 50 utenti ed era dedicata alla ricerca e lo sviluppo (R&S) di progetti non classificati e alla collaborazione con due istituti esterni. Inoltre, sono emersi ulteriori casi di attività cibernetica sospetta associata alla Repubblica Popolare Cinese. Fonti di stampa hanno riportato che il sistema per lo scambio di telegrammi ufficiali del ministero degli Esteri giapponese è stato colpito nel 2020 da un attacco informatico ad opera di Pechino che ha causato la compromissione di informazioni diplomatiche riservate con conseguente fuga di dati su larga scala. Sempre nel Pacifico occidentale, sabato 3 febbraio 2024, il Department of Information and Communications Technology (DICT) delle Filippine ha annunciato di aver respinto un’offensiva da parte di sospetti avversari operanti dalla Cina. Avvenuta circa tre settimane prima dell’annuncio, l’operazione ha preso di mira diversi indirizzi e-mail e domini governativi, tra cui quelli della Guardia Costiera Filippina (PCG), del Segretario di Gabinetto, del Dipartimento di Giustizia, del Sistema Nazionale di Sorveglianza Costiera, del Congressional Policy and Budget Research Department (CPBRD), dello stesso DICT e del sito web privato del Presidente Ferdinand Marcos Jr.

 Vulnerabilità: CSV dietro molteplici 0-day e CVE-2024-21893 di Ivanti sfruttata da più avversari

Secondo quando emerso da un rapporto del Threat Analysis Group (TAG) di Google, i fornitori di spyware commerciali (CSV) sarebbero dietro 20 delle 25 vulnerabilità 0-day sfruttate ITW scoperte dalla società nel 2023 e utilizzate per spiare i dispositivi di tutto il mondo. Inoltre, dei 72 exploit 0-day noti che hanno colpito i prodotti Google dalla metà del 2014, TAG ne attribuisce 35 ai CSV. Si tratta di una stima al ribasso, poiché riflette solo gli exploit noti per i quali si ha un’elevata fiducia nell’attribuzione. Gli spyware vengono utilizzati contro un numero ridotto di target. Tuttavia, l’uso contro individui ad alto rischio ha un profondo impatto sulla società. In particolare, questi software malevoli sono spesso utilizzati dai governi per scopi antitetici a una società libera, incluso il targeting di dissidenti, giornalisti, difensori dei diritti umani e politici dei partiti di opposizione. Nello specifico, i fornitori vendono licenze per l’uso dei loro prodotti, consentendo ai clienti di infettare dispositivi Android o iOS utilizzando exploit non documentati one-click o zero-click. Restando sempre in tema vulnerabilità, ricercatori di sicurezza hanno segnalato che CVE-2024-21893 di Ivanti, recentemente divulgata, è ormai oggetto di uno sfruttamento diffuso da parte di vari avversari. La falla di tipo Server-Side Request Forgery (SSRF) risiede nel componente SAML di Connect Secure, Policy Secure e Neurons for ZTA e consente a un utente malintenzionato di accedere a risorse riservate senza autenticazione. Al momento della scoperta, il vendor aveva avvertito del suo abuso contro un numero limitato di clienti, probabilmente in attacchi di natura mirata. Tuttavia, a seguito della divulgazione pubblica del 31 gennaio e del rilascio di un exploit Proof-of-Concept (PoC) in data 2 febbraio 2024, lo sfruttamento del problema di sicurezza è aumentato notevolmente.

Cybercrime: individuato il gruppo ResumeLooters e una nuova variante dell’infostealer Mispadu

È stata individuata una massiccia campagna, attribuita a un gruppo precedentemente sconosciuto soprannominato ResumeLooters, che ha preso di mira agenzie di collocamento e aziende di vendita al dettaglio situate prevalentemente nella regione APAC per rubare e vendere dati sensibili degli utenti. Complessivamente, gli analisti hanno identificato 65 siti web compromessi dall’avversario tra novembre e dicembre 2023. In particolare, attraverso attacchi SQL injection contro i portali, l’attaccante tenta di rubare database che possono includere nomi, numeri di telefono, e-mail e data di nascita, oltre a informazioni sull’esperienza delle persone in cerca di un’occupazione, sulla storia lavorativa e su altri dati personali sensibili. I dettagli esfiltrati vengono poi messi in vendita su canali Telegram di lingua cinese a tema hacking. Sempre in ambito cybercrime, è stata individuata un’operazione basata su una nuova variante dell’infostealer Mispadu che sfrutta CVE-2023-36025 di Windows SmartScreen per infettare le vittime. L’exploit si basa sulla creazione di URL o collegamenti ipertestuali che puntano a file malevoli in grado di aggirare gli avvisi di SmartScreen. La minaccia esegue controlli sull’orario per far sì che venga eseguita nella maggior parte dell’America e in alcune regioni dell’Europa occidentale. Dopo aver stabilito la connessione con il C2, il malware procede a interagire con la cronologia di Microsoft Edge o Google Chrome tramite SQLite, mirando a credenziali memorizzate inerenti a specifici siti di istituzioni finanziarie ed exchange di criptovalute.