WEEKLY THREATS

DDoS e ransomware colpiscono la penisola, attivi APT russi e nordcoreani, violato un portale Europol e chiuso BreachForums

21 Maggio 2024
BreachForums TS-Way cover

Italia: nuove offensive DDoS hacktiviste e ransomware

Nuove offensive del collettivo hacktivista filorusso NoName057(16) hanno ancora una volta colpito target italiani. In particolare, il gruppo ha rivendicato una serie di attacchi DDoS ai danni del ministero delle Imprese e del Made in Italy, del ministero delle Infrastrutture e dei Trasporti italiano, dell’Autorità di regolazione dei trasporti, della Guardia di Finanza, del Gruppo Torinese Trasporti, di Trentino Trasporti, del ministero del Lavoro e delle Politiche Sociali, del Consiglio Superiore della Magistratura, dell’Agenzia delle Entrate, dell’Ente Italiano di Normazione, del Patronato Acli e di Fingenia. Complessivamente, tra i Paesi colpiti da NoName057(16) nella scorsa settimana figurano anche la Moldavia, la Finlandia e l’Ucraina. Alcune rivendicazioni sono state collegate ad attività di altri gruppi filorussi. Inoltre, il 15 maggio 2024, il collettivo sempre di matrice hacktivista Anonymous Italia (AnonSecIta) ha dichiarato sui propri canali ufficiali di aver condotto un’offensiva ai danni del portale del Comune di Rovereto – comune[.]rovereto[.]tn[.]it. L’operazione sarebbe stata condotta come risposta alla decisione di voler proiettare il documentario di propaganda russa “Donbass, Ieri, Oggi, Domani”, prodotto da Russia Today (RT), emittente televisivo russo sostenuto dal Cremlino. Oltre a ciò, il Bel Paese è stato anche preso di mira da diverse operazioni ransomware. 8BASE Team ha reclamato sul proprio sito dei leak la compromissione di Costa Edutainment S.p.A. e Brovedani Group S.p.A; Akira Team quella di Bruno S.r.l.; mentre Qilin Team di FIAB S.p.A.

 APT: nuove campagne di Turla Group e ScarCruft

Sono state scoperte due backdoor precedentemente non documentate, denominate LunarWeb e LunarMail, attribuite con un moderato livello di confidenza al russo Turla Group e usate per compromettere un ministero degli Affari Esteri europeo e tre delle sue missioni diplomatiche in Medio Oriente. Si crede che le due minacce facciano parte di un toolset soprannominato Lunar, utilizzato almeno dal 2020. In tutti i casi osservati, non è stato possibile determinare con certezza come sia stato ottenuto l’accesso iniziale. Tuttavia, i componenti recuperati relativi all’installazione e l’attività dell’avversario suggeriscono un possibile uso dello spear phishing e l’abuso del software di monitoraggio della rete e delle applicazioni Zabbix, mal configurato. D’altro canto, una campagna del nordcoreano ScarCruft ha previsto l’uso di Facebook Messenger per entrare in contatto con attivisti dei diritti umani e funzionari nel campo della sicurezza al fine di veicolare un malware simile a ReconShark. Stando a quanto analizzato, il gruppo ha creato un account Facebook con un’identità falsa – spacciandosi per un funzionario governativo attivo nel campo dei diritti umani nordcoreani in Corea del Sud – e ha poi tentato di contattare i target sopracitati inviando richieste di amicizia e messaggi privati al fine di condividere un file MSC malevolo (mascherato con l’icona di Word) tramite un link OneDrive. Durante le indagini su questo caso, gli analisti hanno scoperto che un attacco simile con lo stesso C2 era già stato identificato in Giappone. Si ritiene che l’operazione in questione abbia come obiettivo la Corea del Sud e il Paese del Sol Levante e faccia parte della campagna BabyShark.

BreachForums: sequestrato il forum underground in seguito alla vendita di dati appartenenti a Europol 
Europol ha confermato che il suo portale Europol Platform for Experts (EPE) è stato violato e che sta indagando sull’accaduto dopo che un avversario, chiamato IntelBroker, il 10 maggio ha dichiarato su BreachForums di aver rubato documenti con la designazione For Official Use Only (FOUO) e dati classificati. L’EPE è una piattaforma web collaborativa usata dagli esperti delle Forze dell’Ordine per lo scambio di idee e per condividere conoscenze, best practices e dati non personali sui crimini. In base a quanto dichiarato dall’Agenzia dell’UE, l’attaccante ha ottenuto l’accesso utilizzando credenziali rubate. Ciononostante, solo una piccola e limitata parte dell’EPE (un gruppo chiuso di utenti) ha potuto essere raggiunta tramite l’accesso non autorizzato. Non sono stati violati né il sistema centrale di Europol né i sistemi operativi, il che significa che nessun dato operativo è stato compromesso. Successivamente, mercoledì 15 maggio, l’FBI ha sequestrato lo stesso BreachForums utilizzato per diffondere e vendere dati rubati tra criminali informatici. Al momento dell’analisi, la pagina mostrava un messaggio in cui si affermava che l’FBI e il DOJ, con l’assistenza di partner internazionali, hanno chiuso il sito e ne stavano esaminando i dati di backend. Sono state anche mostrate le due immagini di profilo degli amministratori del forum, Baphomet e ShinyHunters, sovrapposte alle sbarre della prigione. Inoltre, i federali avrebbero sequestrato il canale Telegram del sito e altri di proprietà di Baphomet. In un messaggio Telegram condiviso con fonti giornalistiche, IntelBroker avrebbe sostenuto che Baphomet sarebbe stato arrestato durante l’operazione. 


Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center. Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.