Nuove vulnerabilità preoccupano gli esperti, tracciate offensive di APT asiatici, segnalati leak di AT&T e target italiani

Vulnerabilità: scoperte falle in HTTP/2, Pixel e XZ Utils

Una nuova ricerca ha fatto luce su una tecnica di attacco DoS inedita denominata HTTP/2 CONTINUATION Flood. Nello specifico,  quest’ultima è stata descritta come una classe di vulnerabilità che colpisce molte implementazioni del protocollo HTTP/2 e può rappresentare un rischio maggiore rispetto all’HTTP/2 Rapid Reset, documentata nell’ottobre 2023, in quanto una singola macchina (e in alcuni casi, una sola connessione TCP o una manciata di frame) ha il potenziale per interrompere la disponibilità del server target, con conseguenze che vanno dal crash del server stesso a un sostanziale degrado delle prestazioni. È importante notare che le richieste che costituiscono un attacco non sono visibili nei log degli accessi HTTP, rendendo le offensive difficili da individuare. Oltre a ciò, Google ha rilasciato il Pixel Update Bulletin relativo al mese di aprile 2024 sulle falle che interessano Pixel. In particolare, il vendor ha dichiarato di aver riscontrato evidenze in base alle quali due vulnerabilità ad alto impatto, CVE-2024-29745 di tipo Information Disclosure e CVE-2024-29748 di tipo Elevation of Privilege, potrebbero essere sfruttate ITW in modo limitato e mirato. Infine, Red Hat ha pubblicato un avviso di sicurezza in cui si avverte che due versioni del popolare set di strumenti di compressione dati chiamato XZ Utils (in precedenza LZMA Utils), utilizzato in molte distribuzioni Linux, contengono codice malevolo che sembra essere progettato per consentire un accesso remoto non autorizzato. Tracciato con codice CVE-2024-3094 (CVSS 10.0), il problema di sicurezza è presente nei tarball upstream di XZ nelle versioni 5.6.0 (rilasciata il 24 febbraio) e 5.6.1 (rilasciata il 9 marzo).

 APT: analizzate offensive di gruppi cinesi e nordcoreani

Indagando su un attacco del cluster cinese Axiom, ricercatori di sicurezza hanno individuato un malware inedito denominato UNAPIMON. Quest’ultimo, scritto in C++, è in grado di impedire il monitoraggio dei processi figli, sfruttando una libreria open-source di Microsoft chiamata Detours per l’unhooking di funzioni API critiche ed eludendo così il rilevamento in ambienti sandbox che implementano il monitoraggio delle API attraverso l’hooking. Passando in Corea del Nord, è stato tracciato un attacco di spear phishing del nordcoreano ScarCruft, nel quale il gruppo si è spacciato per un ricercatore politico del campo degli Affari Esteri e della sicurezza al fine di prendere di mira un individuo che lavora per un’organizzazione del settore della Difesa. Inoltre, sono stati forniti ulteriori dettagli su malware Python di secondo e terzo stadio veicolati in attacchi del nordcoreano Lazarus Group descritti negli ultimi mesi, basati sull’uso di pacchetti NPM e rivolti contro sviluppatori e altre vittime ignare. Stando a quanto osservato, l’avversario potrebbe essere passato o aver iniziato a utilizzare in parallelo una serie di script Python invece di fornire esclusivamente DLL malevole. Ciò potrebbe essere dovuto alla maggiore flessibilità e velocità dello scripting, oppure potrebbe essere semplicemente il risultato del tentativo dell’APT di far apparire i propri strumenti e file più legittimi a utenti e analisti.

Breach: individuati leak legati ad AT&T, alla Protezione Civile italiana e a The European House – Ambrosetti

La telco statunitense AT&T ha confermato di essere coinvolta in una violazione di dati appartenenti a 73 milioni di clienti (attuali ed ex), contenuti in un set trapelato sul dark web. Stando a quanto analizzato dall’azienda, tali informazioni sembrano risalire al 2019 o a un periodo precedente, con un impatto su circa 7,6 milioni di attuali titolari di account AT&T e circa 65,4 milioni di ex titolari. I dati impattati variano a seconda del cliente e dell’account, ma possono includere nome e cognome, indirizzo e-mail, indirizzo postale, numero di telefono, numero di previdenza sociale, data di nascita, numero di account AT&T e codice di accesso. Nonostante la società abbia effettuato questa constatazione, non è ancora noto se le informazioni contenute nel leak provengano da AT&T o da uno dei suoi fornitori. Per quanto riguarda l’Italia, in un forum underground è stato pubblicato un post relativo alla vendita di un presunto accesso amministrativo al portale del Dipartimento della Protezione Civile della Presidenza del Consiglio dei ministri. Stando a quanto riportato, l’avversario sarebbe in possesso di informazioni quali ruolo svolto, indirizzo, nome, cognome e numero di telefono del personale di 54 città, tra cui: Presidente Regionale, Vicepresidente Regionale, Referente Protezione Civile Regionale, Consigliere Regionale, Tesoriere di Sezione, Segretario Regionale, Consigliere di Sezione. Infine, sempre su un forum underground un avversario ha rivendicato la presunta compromissione di The European House – Ambrosetti (TEHA) S.p.A., società di consulenza e think tank privato italiano, con numerose attività in Italia, in Europa e nel Mondo.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center. Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. Produce informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.