WEEKLY THREATS

Attacchi in Italia, ransomware sfruttano falle PHP e Windows, notificate vulnerabilità critiche e sfruttate ITW

17 Giugno 2024
Ransomware Italia TS-Way cover

Italia: nuovi attacchi DDoS, di phishing e ransomware

Il collettivo hacktivista filorusso NoName057(16) ha mirato nuovamente all’Italia, rivendicando offensive DDoS contro il Dipartimento delle Finanze, CRIF S.p.A., la Guardia di Finanza e Vulcanair. Successivamente, ha spostato la sua attenzione su target tedeschi e svizzeri operanti nei settori governativo, finanziario e alberghiero. Per quanto riguarda le attività cybercrime, è stato scoperto un gruppo di criminali informatici che sta promuovendo sofisticati kit di phishing per colpire clienti di banche con sede in diversi Paesi dell’Unione europea (UE), tra cui anche le italiane Banco BPM e Poste Italiane. Tali kit sono progettati per intercettare informazioni sensibili, comprese credenziali e codici OTP, vengono forniti attraverso un modello Phishing-as-a-Service (PhaaS) e sono anche disponibili per il self-hosting. Tra quelli identificati ne figura uno chiamato V3B, promosso a partire dal marzo 2023 su un apposito canale Telegram e nelle comunità underground da un avversario noto con lo pseudonimo di Vssrtje. L’attività di phishing condotta tramite il kit ha provocato perdite finanziarie significative per i clienti degli istituti finanziari europei target, stimate in milioni di euro. V3B supporta oltre 54 banche con modelli personalizzati e localizzati per imitare i processi di autenticazione e verifica dei sistemi bancari online e di e-commerce nell’UE. Passando al panorama ransomware, l’operatore RansomHub Team ha reclamato sul proprio sito dei leak la compromissione di Novabit S.r.l., mentre Everest Team quella di Diogenet S.r.l. Per entrambe le aziende gli avversari hanno dichiarato di essere in possesso di diversi dati che saranno pubblicati al termine del tempo prestabilito nella nota di riscatto.

Ransomware: operatori sfruttano CVE-2024-4577 di PHP e CVE-2024-26169 di Windows

Ricercatori di sicurezza hanno osservato attacchi volti alla distribuzione del ransomware TellYouThePass sfruttare la vulnerabilità di esecuzione di codice remoto CVE-2024-4577, recentemente patchata in PHP. Gli attacchi sono iniziati l’8 giugno, meno di 48 ore dopo il rilascio degli aggiornamenti di sicurezza da parte dei manutentori di PHP, e si sono basati su un exploit Proof-of-Concept (PoC) pubblicamente disponibile. D’altro canto, Black Basta Team potrebbe aver sfruttato come 0-day la vulnerabilità di Privilege Escalation CVE-2024-26169 di Windows, corretta nel Patch Tuesday di marzo 2024. La falla risiede nel Windows Error Reporting Service (WER) – ovvero il servizio di segnalazione errori di Windows – e, se sfruttata sui sistemi interessati, può consentire a un avversario di ottenere privilegi SYSTEM. Indagando su un recente attacco ransomware fallito, le cui TTP sono molto simili a quelle solitamente adoperate da Black Basta Team (tra cui l’uso di script batch mascherati da aggiornamenti software), gli analisti hanno identificato un exploit tool la cui analisi ha portato alla luce prove di una sua possibile compilazione precedente al rilascio della patch per CVE-2024-26169. La data di compilazione della variante del tool adoperata in questa offensiva risale al 27 febbraio 2024, diverse settimane prima che la vulnerabilità fosse patchata. Una seconda versione dello strumento scoperta su VirusTotal presenta una data di compilazione precedente che rimonta al 18 dicembre 2023. Ciò indica presumibilmente che il gruppo ransomware disponeva di uno strumento di exploit funzionante tra i 14 e gli 85 giorni prima che Microsoft proponesse una correzione per la falla. Sebbene i valori delle marche temporali (timestamp) nei file PE (Portable Executable) siano modificabili e non costituiscano una prova definitiva dello sfruttamento dell’exploit come 0-day, in questo caso sembra che l’operatore non abbia avuto particolari motivi per effettuare tale modifica, motivo per cui si ritiene improbabile la falsificazione delle date di compilazione.

Vulnerabilità: dettagli su falle di JetBrains, Arm, Veeam e Pixel

JetBrains ha recentemente scoperto una vulnerabilità critica che interessa il suo plugin GitHub sulla piattaforma IntelliJ e potrebbe portare alla divulgazione di token di accesso a siti di terze parti. Tracciata con codice CVE-2024-37051, la falla è una Insufficiently Protected Credentials (CWE-522) e riguarda tutti gli ambienti di sviluppo integrato (Integrated Development Environment – IDE) basati su IntelliJ a partire dalla versione 2023.1 che hanno il plugin GitHub di JetBrains abilitato e configurato. Nel dettaglio, un contenuto malevolo all’interno di una richiesta di pull a un progetto GitHub, che verrebbe gestito da IDE basati su IntelliJ, esporrebbe i token di accesso a un host di terze parti. D’altro canto, Arm ha rilasciato un advisory riguardo una vulnerabilità relativa alla memoria nei driver del kernel delle GPU Mali Bifrost e Valhall che viene attivamente sfruttata ITW. Tracciata con codice CVE-2024-4610, la falla di tipo Use After Free consente a un utente locale non privilegiato di eseguire operazioni improprie di elaborazione della memoria GPU per ottenere l’accesso alla memoria già liberata. In aggiunta, ricercatori di sicurezza hanno pubblicato un exploit Proof-of-Concept (PoC) per la vulnerabilità critica di Authentication Bypass CVE-2024-29849 di Veeam Backup Enterprise Manager (VBEM), patchata il 21 maggio 2024 con la versione 12.1.2.172. Sebbene al momento del rilascio non sia ancora stato segnalato alcuno sfruttamento ITW, data la disponibilità pubblica di un exploit funzionante è fondamentale aggiornare il prima possibile alla versione 12.1.2.172 o successiva. Infine, Google ha pubblicato il Pixel Update Bulletin relativo al mese di maggio 2024 in cui vengono notificate diverse vulnerabilità, tra cui CVE-2024-32896 sfruttata ITW in modo limitato e mirato.


Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center. Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.