Attacchi colpiscono la Francia, rivendicazioni ransomware e hacktiviste, attivi avversari cinesi, iraniani e nordcoreani

Francia: sferrate offensive contro entità statali

Stando a quanto riportato da diverse fonti mediatiche, lunedì 11 marzo 2024 l’Ufficio del primo ministro francese Gabriel Attal ha dichiarato che da domenica diversi organismi statali sono stati presi di mira da attacchi informatici di “intensità senza precedenti”. Tra le istituzioni colpite figurerebberovari servizi ministeriali; tuttavia, non sono stati forniti ulteriori dettagli sui target. Sebbene non sia ancora noto chi sia il responsabile, nel frattempo, il collettivo hacktivista Anonymous Sudan, vicino alle istanze del Cremlino, ha rivendicato sul proprio canale Telegram una massiccia offensiva contro la Direction Interministérielle du Numérique (DINUM) francese – ovvero la Direzione Interministeriale Digitale – condotta utilizzando un’infrastruttura DDoS chiamata InfraShutDown. Tra le vittime segnalate figurano i ministeri della Cultura, della Salute, dell’Economia e delle Finanze, della Transizione ecologica, l’Ufficio del primo ministro e la Direzione generale dell’aviazione civile (DGAC). Due giorni dopo la dichiarazione dell’Ufficio di Attal, mercoledì 13 marzo, l’Agenzia governativa francese France Travail (ex Pôle emploi) ha annunciato di essere caduta vittima tra il 5 e il 6 marzo, insieme a Cap emploi, di un attacco che ha portato a una fuga di dati che potrebbe riguardare 43 milioni di persone. L’incidente ha esposto informazioni personali degli individui registrati negli ultimi vent’anni, quali: nome e cognome, data di nascita, numero di previdenza sociale, identificativo di France Travail, indirizzi e-mail e postali e numeri di telefono. Ad ogni modo, dati come password e dettagli bancari non sono interessati dalla violazione.

Ransomware e Hacktivisti: rivendicate nuove compromissioni

Sul sito dei leak conosciuto come MyData (presumibilmente associato a un operatore soprannominato Alpha) è apparsa la rivendicazione della violazione di Consorzio Innova, un consorzio di imprese specializzato nei principali settori dell’edilizia, dell’impiantistica e dei servizi per enti pubblici, industria e terziario. Dal canto suo, 8BASE Team ha reclamato la sua responsabilità dietro la compromissione di Federchimica, Federazione nazionale dell’industria chimica parte di Confindustria e, in Europa, del CEFIC (European Chemical Industry Council) e dell’ECEG (European Chemical Employers Group). Da ultimo, un avversario ransomware chiamato Abyss si è dichiarato colpevole di un attacco a IAM Design, marchio italiano leader nella progettazione e produzione di sistemi per parapetti, scale e pensiline in acciaio inox, acciaio al carbonio, alluminio e vetro. Spostandoci sul versante hacktivista, il gruppo politicamente motivato noto come SiegedSec ha annunciato sui propri canali Telegram e X di aver violato AirAsia, compagnia aerea a basso costo con base a Kuala Lumpur in Malesia, e aver fatto trapelare 2,2 GB di codice sorgente e file sensibili contenenti credenziali hardcoded e altro ancora. L’accaduto sembrerebbe essere stato confermato della National Cyber Security Agency (NACSA) malesiana, la quale ha dichiarato di essere a conoscenza dell’incidente, affermando che la società sta attualmente indagando sul caso.

APT: tracciate attività di gruppi legati a Pechino, Teheran e Pyongyang

Almeno dal settembre 2023, una campagna di spionaggio del cinese Evasive Panda ha colpito target tibetani in diversi Paesi e territori attraverso un attacco di tipo watering hole e un’offensiva supply chain al fine di fornire installer trojanizzati. Nello specifico, l’APT di Pechino ha puntato a distribuire downloader malevoli per Windows e macOS al fine di compromettere i visitatori dei siti web mirati con alcune backdoor, tra cui MgBot e Nightdoor (quest’ultima precedentemente non documentata). Dal canto suo, dopo aver rivendicato la violazione di Rashim Software Ltd., provider leader in Israele di soluzioni software per l’amministrazione accademica e la gestione della formazione, il sottogruppo dell’iraniano Charming Kitten noto come Nemesis Kitten ha utilizzato le credenziali ottenute per infiltrarsi nelle reti di diversi clienti dell’azienda, tra cui numerosi istituti accademici, conducendo così un’offensiva supply chain. Passando nella penisola coreana, sono state tracciate nuove operazioni di Lazarus Group e ScarCruft rivolte contro realtà e individui della Corea del Sud. In particolare, il primo ha abusato di soluzioni di gestione delle risorse sudcoreane per installare malware come AndarLoader, ModeLoader e un keylogger senza nome, oltre a un tool di desktop remoto chiamato MeshAgent. Il secondo, invece, ha colpito trader di criptovaluta tramite una catena d’infezione composta da file ZIP, LNK, PDF, CAB, BAT e VBS, spinto dalla frenesia del trading rilanciata in Corea del Sud dal recente aumento del prezzo del Bitcoin. Infine, come parte di una precedente indagine sull’APT DarkCasino (di origine sconosciuta), alcuni ricercatori di sicurezza hanno scoperto una campagna di distribuzione del RAT DarkGate basata sullo sfruttamento della vulnerabilità CVE-2024-21412 di Microsoft Windows SmartScreen che si è avvalsa dell’uso di falsi installer.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center. Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. Produce informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi e comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.