WEEKLY THREATS

Nuove attività di APT nordcoreani e cinesi, vulnerabilità ITW, attacchi in Italia, annunciata l’Operation Endgame

03 Giugno 2024
Nuove attività di APT nordcoreani e cinesi, vulnerabilità ITW, attacchi in Italia, annunciata l’Operation Endgame

ATP: tracciate operazioni inedite da parte di gruppi finanziati da Pyongyang e Pechino

Ricercatori di sicurezza hanno collegato a un gruppo nordcoreano, identificato come Moonstone Sleet, attacchi volti alla distribuzione di un ransomware denominato FakePenny, che hanno portato a richieste di riscatto per milioni di dollari. L’avversario impiega tattiche, tecniche e procedure (TTP) utilizzate negli ultimi anni anche da altri APT di Pyongyang, evidenziando sovrapposizioni con questi. Sebbene Moonstone Sleet abbia inizialmente presentato un overlap con Lazarus Group, l’operatore si è poi spostato verso infrastrutture e attacchi propri, affermandosi come un cluster nordcoreano distinto dotato di notevoli risorse. Da gennaio 2024, il gruppo è stato visto creare diverse false società di sviluppo software e IT con servizi in genere relativi a blockchain e intelligenza artificiale (AI). L’attaccante ha utilizzato queste aziende per raggiungere potenziali target, utilizzando una combinazione di siti web e account di social media creati per aggiungere legittimità alle campagne. Oltre a ciò, Moonstone Sleet ha cercato di occupare posizioni di sviluppo software presso diverse società legittime. Questa attività potrebbe essere coerente con le precedenti segnalazioni del Dipartimento di Giustizia degli Stati Uniti, secondo cui la Corea del Nord utilizza lavoratori informatici remoti altamente qualificati per generare entrate. Sempre nel continente asiatico, particolare fermento è stato registrato anche da parte di gruppi legati a Pechino. Un APT apparentemente allineato alla Cina identificato come TGR-STA-0043 ha condotto una campagna di spionaggio, tuttora in corso, denominata Operation Diplomatic Specter contro entità politiche, governative e diplomatiche in Medio Oriente, Africa e Asia almeno dalla fine del 2022. Inoltre, negli ultimi mesi, è stato osservato un cambiamento significativo nelle attività e nelle esche di Sharp Panda che ora ha come target organizzazioni governative in Africa e nei Caraibi. Queste operazioni sono in linea con il modus operandi dell’avversario e caratterizzate dalla compromissione di un account di posta elettronica di alto profilo per diffondere un documento Word di phishing che sfrutta un template remoto armato con RoyalRoad. Tuttavia, a differenza delle attività precedenti, queste esche sono state utilizzate per distribuire beacon Cobalt Strike. L’attaccante ha usato un’infrastruttura governativa violata per il targeting di altri governi, oltre a ulteriori server compromessi come C2. Si sospetta inoltre che abbia sfruttato la vulnerabilità di Pre-authentication Command Injection CVE-2023-0669 della piattaforma GoAnywhere di Fortra. Infine, è stata effettuata un’indagine su un gruppo precedentemente sconosciuto, soprannominato Unfading Sea Haze, che almeno dal 2018 ha sferrato una serie di attacchi rivolti contro organizzazioni di alto livello – principalmente militari e governative – nei Paesi del Mar Cinese Meridionale.

Vulnerabilità: 0-day in soluzioni Check Point e nuovi dettagli su CVE-2024-3273 di D-Link

Lunedì 27 maggio 2024, Check Point ha avvertito per la prima volta di un’impennata di attacchi contro dispositivi VPN, condividendo raccomandazioni su come gli amministratori possono proteggere i loro device. In seguito, ha scoperto la fonte del problema, una 0-day sfruttata ITW. In particolare, la vulnerabilità tracciata con codice CVE-2024-24919 consente a un attaccante remoto di leggere determinate informazioni sui Security Gateway di Check Point una volta connessi a internet e abilitati con Access VPN o Mobile Access. D’altro canto, sono stati osservati attacchi che sfruttano la vulnerabilità di Command Injection CVE-2024-3273, recentemente documentata, che interessa alcuni dispositivi NAS (Network Attached Storage) D-Link a fine vita (EoL). Tali offensive sembrano provenire da indirizzi IP associati alla Russia e alla Cina. Stando a quanto esaminato, risultano potenzialmente esposti oltre 92.000 host e tra i Paesi più impattati figurano Regno Unito, Russia, Germania, Italia, Stati Uniti e Francia. La falla rappresenta una minaccia significativa per le organizzazioni di vari settori, tra cui quello bancario, sanitario, della produzione di software. Lo sfruttamento di questa vulnerabilità può portare alla compromissione completa del sistema, all’esfiltrazione dei dati e all’integrazione del dispositivo in una botnet. Nel dettaglio, la falla può consentire a un attaccante di accedere a informazioni sensibili, alterare la configurazione di sistema o persino innescare una condizione di Denial-of-Service (DoS). Alcuni avversari stanno condividendo nell’underground TTP per sfruttare CVE-2024-3273, oltre agli indirizzi IP dei device affetti. Inoltre, potrebbero anche scambiare o vendere exploit, aumentando il numero potenziale di attacchi su larga scala.

Cybercrime: nuove offensive ransomware in Italia e smantellata l’infrastruttura di diversi dropper

L’operatore ransowmare RansomHub Team ha rivendicato sul proprio sito dei leak la compromissione di SIAED; Mallox Team quella di Assist Informatica S.r.l.; mentre Akira Team di MagicLand S.p.A. Inoltre, l’Agenzia stampa della Giunta Regionale della Basilicata (AGR Basilicata) ha pubblicato una comunicazione della Direzione generale per la salute e le politiche della persona della Regione Basilicata riguardante l’attacco informatico subito a gennaio dalle Aziende del Servizio Sanitario Regionale (Azienda Sanitaria di Matera, Azienda Sanitaria di Potenza, Azienda Ospedaliera Regionale San Carlo di Potenza e Istituto di Ricovero e Cura a Carattere Scientifico di Rionero in Vulture) e dalla Regione Basilicata, rivendicato da Rhysida Team. Le indagini condotte hanno rivelato che i dati sottratti, sia di natura sanitaria che amministrativa, riguardano principalmente pazienti ed operatori. Ciononostante, costituiscono una minima parte del patrimonio informativo degli enti coinvolti e spesso si tratta di informazioni parziali e destrutturate, raggruppate in documenti riferibili a un gran numero di persone, spesso identificate in maniera incompleta o difficilmente riconducibili a uno specifico individuo in assenza di altri elementi conoscitivi. Spostandoci sul fronte delle operazioni di contrasto al cybercrime, tra il 27 e il 29 maggio 2024, un’operazione internazionale di polizia coordinata da Europol e denominata Operation Endgame ha smantellato l’infrastruttura di dropper come IcedID, SystemBC, Pikabot, Smoke Loader, BumbleBee e TrickBot, portando a quattro arresti (uno in Armenia e tre in Ucraina) e alla rimozione di oltre 100 server in tutto il mondo. Le azioni si sono focalizzate sull’interruzione dei servizi criminali sopracitati attraverso l’arresto di target di alto valore, la distruzione delle infrastrutture e il congelamento dei proventi illeciti. L’infrastruttura sequestrata era diffusa in tutta Europa e in Nord America e ospitava oltre 2.000 domini che facilitavano servizi illeciti, tutti ora sotto il controllo delle Forze dell’Ordine.


Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center. Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.