WEEKLY THREATS

Diverse offensive colpiscono l’Italia, rivelazioni inedite in ambito APT, sfruttata ITW CVE-2024-5274 di Google Chrome

27 Maggio 2024
Google Chrome TS-Way cover

Italia: rilevati attacchi DDoS, ransomware e di phishing

Anche questa settimana il collettivo hacktivista filorusso NoName057(16) ha rinnovato il suo interesse verso il Bel Paese, rivendicando offensive DDoS contro due aziende dell’industria aerospaziale: Alpi Aviation e Vulcanair. Dal canto suo, Anonymous Italia ha pubblicato sui propri canali ufficiali un nuovo messaggio, con il quale ha annunciato il rilascio dei dati esfiltrati la scorsa settimana al partito Democrazia Sovrana Popolare (DSP). L’avversario accusa il partito italiano di servirsi delle istituzioni democratiche per continuare la sua propaganda a favore della Russia e di rifiutarsi di rivedere le proprie posizioni di sostegno, infrangendo nuovamente le sanzioni internazionali. In campo ransomware, LockBit Team ha reclamato la sua responsabilità dietro l’attacco all’Università di Siena, notificato dall’ateneo stesso il 6 maggio 2024; mentre Black Basta Team ha annunciato la compromissione di MF Group S.r.l. Quanto alle attività di phishing, sono state tracciate due campagne: la prima ha previsto la distribuzione del malware Agent Tesla via GuLoader; la seconda, a tema Zimbra, è volta a esfiltrare credenziali e prende di mira principalmente organizzazioni pubbliche. Da ultimo, la Regione Marche ha dato notizia di un attacco informatico al Centro Unico di Prenotazione (CUP) regionale, che ha interessato i sistemi di prenotazione telefonici e informatici. Da una prima indagine risulterebbe che l’incidente sia limitato ai programmi applicativi del solo CUP e che i dati archiviati nel sistema non abbiano subito alcuna violazione. 

APT: nuove scoperte inerenti ScarCruft, Turla Group e Void Manticore

Il nordcoreano ScarCruft ha aggiunto al proprio arsenale una backdoor Linux denominata Gomir, collegata ai malware utilizzati in una campagna rivolta contro organizzazioni della Corea del Sud, documentata per la prima volta nel febbraio 2024. Quest’ultima ha previsto l’uso di installer trojanizzati di varie soluzioni software, come TrustPKI e NX_PRNMAN di SGA Solutions e Wizvera VeraPort, per infettare target sudcoreani con l’infostealer Troll Stealer e la backdoor Windows in Go GoBear. Gomir sembra essere una versione Linux di GoBear, in quanto le due minacce sono strutturalmente pressoché identiche, condividono un’ampia quantità di codice e consentono l’esecuzione di comandi quasi uguali. Il russo Turla Group, invece, ha presumibilmente condotto una campagna che sfrutta inviti a seminari sui diritti umani e advisory pubblici come esca per infettare i target con un malware che presenta delle somiglianze con la backdoor TinyTurla. D’altra parte, spostandoci nella regione mediorientale, a partire da ottobre 2023 alcuni ricercatori di sicurezza stanno monitorando un avversario state-sponsored legato al Ministero delle Informazioni e della Sicurezza (MOIS) iraniano chiamato Void Manticore (Storm-0842), noto per condurre attacchi distruttivi basati su wiper e ransomware spesso associati a operazioni di influenza. L’attaccante gestisce diversi personaggi online, tra cui i più importanti sono HomeLand Justice per le offensive in Albania e Karma (KarMa) per le operazioni condotte in Israele. In quest’ultimo Paese, le attività del gruppo si distinguono per l’utilizzo del wiper custom BiBi (BiBi-Linux e BiBi-Windows), il cui nome deriva dal soprannome usato per il primo ministro israeliano, Benjamin Netanyahu. L’analisi effettuata ha inoltre portato alla luce una significativa sovrapposizione nella vittimologia con Scarred Manticore (Storm-0861), suggerendo una collaborazione tra i due avversari di Teheran che ha probabilmente facilitato l’accesso di Void Manticore a target di alto valore.

Google: segnalata una vulnerabilità sfruttata ITW
Google ha annunciato il rilascio di nuove versioni di Chrome Desktop per Windows, macOS e GNU/Linux, che correggono una vulnerabilità ad alto impatto sfruttata ITW. Tracciata con codice CVE-2024-5274, la falla è una Type Confusion in V8. Il vendor ha dichiarato di essere a conoscenza dell’esistenza ITW di un exploit per questa falla e che i relativi dettagli possono rimanere riservati fin quando la maggioranza degli utenti non avrà effettuato l’aggiornamento. Si tratta della quarta 0-day patchata dall’inizio di maggio, dopo CVE-2024-4761 (Out-of-bounds Write) e CVE-2024-4947 (Type Confusion) sempre in V8 e CVE-2024-4671 (Use After Free) in Visuals.


Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center. Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.