Sferrate offensive in Italia, attività APT in Eurasia, avversari inediti colpiscono utenti Android in Africa e Sud Asia
15 Aprile 2024Italia: tracciate nuove operazioni ransomware e cybercrime
Nella settimana appena conclusa diverse offensive ransomware sono state rivendicate contro realtà del nostro Paese. Nello specifico, un operatore noto come CiphBit ha reclamato sul proprio sito dei leak la compromissione di Termoplastic S.r.l. e Macuz & C. S.n.c., mentre un altro gruppo chiamato RansomHub ha annunciato la violazione di Carrozzeria Aretusa S.r.l. e Farmacia Ettore Florio S.n.c., Qilin Team di Maccarinelli Luciano & F.lli S.r.l. e un ulteriore avversario precedentemente non documentato soprannominato DragonForce di New Production Concept S.r.l. D’altro canto, sono state tracciate diverse offensive, tra cui: una sofisticata campagna volta a compromettere dispositivi Android attraverso il RAT SpyNote camuffato da applicazione INPS Mobile; un’ampia operazione di distribuzione del malware Agent Tesla che continua da circa nove mesi; e un’attività di phishing volta a esfiltrare credenziali per l’accesso a caselle di Posta Elettronica Certificata (PEC), come Legalmail di Infocert o Aruba.
APT: segnalate operazioni in Europa e Asia
Analizzando un sample del russo Turla Group, ricercatori di sicurezza ritengono che l’avversario abbia recentemente preso di mira un’organizzazione in Albania nel tentativo fallito di installare una backdoor come parte di una più ampia campagna in corso contro organizzazioni europee, volta allo spionaggio nel contesto della guerra in Ucraina. Sempre finanziato da Mosca, Gamaredon Group ha sferrato offensive basate su nuove varianti di GammaLoad osservate per la prima volta nel novembre 2023 – chiamate GammaStager, GammaLoadPlus, GammaLoad.PS e GammaLoadLight.PS – e focalizzate sulla raccolta di informazioni provenienti dai centri di addestramento regionali militari, di polizia e del governo civile in tutta l’Ucraina. Di matrice incerta, invece, un gruppo soprannominato Lazy Koala – verosimilmente legato all’APT YoroTrooper (presumibilmente Kasablanka), nonostante non sia stato rilevato alcun collegamento diretto – ha condotto una serie di attacchi rivolti a organizzazioni governative in Russia, Bielorussia, Kazakistan, Uzbekistan, Kirghizistan, Tagikistan e Armenia, basati sull’uso di un malware inedito denominato LazyStealer. Inoltre, nell’ambito delle continue indagini sullo sfruttamento delle vulnerabilità Ivanti CVE-2023-46805, CVE-2024-21887 e CVE-2024-21893, ricercatori di sicurezza stanno monitorando diversi cluster associati a Pechino che hanno condotto attività di intrusione. Tra questi figurano: UNC5221, che ha utilizzato minacce inedite denominate SPAWNANT, SPAWNMOLE, SPAWNSNAIL, SPAWNSLOTH, ROOTROT e BRICKSTORM; UNC5266, il quale si sospetta con moderata sicurezza che si sovrapponga in parte al cinese UNC3569 e ha adoperato una variante di WARPWIRE, il tool open-source Sliver e una backdoor in Go nominata TERRIBLETEA; UNC5330, che ha sfruttato WMI per distribuire un launcher ribattezzato TONERJAM e la backdoor modulare Smanager (PhantomNet); UNC5337, che si ritiene sempre con moderata sicurezza sia UNC5221; e, infine, UNC5291 attribuibile a Volt Typhoon con un livello di confidenza moderato.
Virtual Invaders e Starry Addax: presi di mira target con malware per Android
Alcuni analisti hanno scoperto una campagna di spionaggio denominata eXotic Visit, che prende di mira un gruppo selezionato di utenti Android soprattutto in India e Pakistan inducendoli ad installare applicazioni apparentemente innocue fornite in bundle con il malware open-source XploitSPY. Al momento non sono disponibili evidenze sufficienti per attribuire l’attività ad un attaccante noto; tuttavia, il cluster dietro di essa viene tracciato con il nome di Virtual Invaders. Attiva dal novembre 2021 e monitorata fino alla fine del 2023, l’operazione ha previsto la distribuzione di app Android malevole attraverso siti web dedicati che forniscono un link all’applicazione stessa ospitata su GitHub e, per qualche tempo, anche tramite il Google Play Store (queste ultime sono state rimosse). Dal canto suo, invece, Starry Addax è il nome di un avversario precedentemente non documentato che prende di mira soprattutto attivisti per i diritti umani associati alla Repubblica Araba Democratica dei Saharawi (SADR) con un nuovo malware anch’esso per Android, denominato FlexStarling. L’APK malevolo analizzato si maschera come una variante di un’app Android del Sahara Press Service (SPSRASD), un’agenzia di stampa relativa alla SADR, e propone contenuti in lingua spagnola dal sito web di SPSRASD, in modo da sembrare legittima, ma in realtà, si tratta di una minaccia altamente versatile, in grado di distribuire componenti aggiuntivi e di rubare informazioni dai dispositivi infetti.
Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center. Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.