Polyfill.io coinvolto in un attacco supply chain e compromesso TeamViewer, offensive in Asia, attacchi in Europa e Italia

Polyfill.io e TeamViewer: attacco supply chain contro oltre 100.000 siti e compromessa la società di soluzioni per l’accesso remoto da APT 29

Ricercatori di sicurezza hanno avvertito che oltre 100.000 siti sono stati colpiti da un attacco supply chain, dopo che il dominio e il servizio Polyfill.io sono stati acquisiti all’inizio dell’anno da un’azienda cinese di nome Funnull e che la libreria polyfill.js è stata modificata per introdurre codice malevolo nei siti web. Google ha iniziato a notificare agli inserzionisti questo attacco e a disapprovare la relativa pubblicità delle pagine affette, comunicando agli utenti che queste includono codice malevolo e potrebbero reindirizzare i visitatori su altri portali. L’azienda di Mountain View ha avvertito inoltre che anche Bootcss[.]com, Bootcdn[.]net e Staticfile[.]org sono stati visti causare reindirizzamenti indesiderati, aggiungendo potenzialmente ulteriori molteplici siti all’attacco supply chain. Tuttavia, dopo la chiusura del dominio i proprietari di Polyfill.io hanno rilanciato il servizio CDN JavaScript su un nuovo dominio sostenendo di essere stati calunniati e negando l’esistenza di un rischio per la supply chain. Nonostante le ultime affermazioni di Polyfill sulla sua sicurezza, i fatti e le scoperte degli analisti dimostrano il contrario. D’altro canto, la società leader nelle soluzioni innovative per la connettività e il supporto remoto TeamViewer ha riferito che, il 26 giugno 2024, il proprio team di sicurezza ha rilevato un’irregolarità nell’ambiente IT aziendale interno. Il vendor attribuisce questa attività al russo APT29. In base agli attuali risultati dell’indagine, l’attacco è stato contenuto all’interno dell’ambiente IT aziendale e non vi sono prove che l’avversario abbia avuto accesso all’ambiente dei prodotti o ai dati dei clienti.

Asia Pacifica: prese di mira Taiwan e la Corea del Sud

Tra novembre 2023 e aprile 2024, sono state rilevate attività di spionaggio rivolte principalmente contro organizzazioni governative, accademiche, tecnologiche e diplomatiche di Taiwan e condotte dal presunto gruppo state-sponsored cinese Flax Typhoon. L’avversario opera presumibilmente da Fuzhou, nella provincia del Fujian in Cina, in linea con il suo persistente targeting di Taiwan. Data la stretta vicinanza geografica tra Fuzhou e Taiwan, tali operazioni mirano probabilmente a sostenere la raccolta di informazioni di Pechino sulle relazioni economiche, commerciali e diplomatiche di Taipei, nonché lo sviluppo di tecnologie critiche. Ciononostante, Flax Typhoon è stato osservato espandere le sue attività contro entità localizzate a Hong Kong, in Malesia, Laos, Corea del Sud, Stati Uniti, Gibuti, Kenya e Ruanda. Restando sempre nella regione dell’Asia Pacifica è stato osservato un attacco che ha preso di mira aziende coreane utilizzando una backdoor inedita denominata Xctdoor. Per distribuire la minaccia, l’attaccante si è inizialmente infiltrato nei sistemi prendendo di mira il server di aggiornamento di una specifica società coreana di pianificazione delle risorse aziendali (ERP), colpendo società dei settori della Difesa e manifatturiero. Gli analisti non attribuiscono l’attacco a un gruppo specifico, ma riferiscono che le TTP sono simili a precedenti attività dell’APT nordcoreano Lazarus Group. In particolare, l’attaccante ha sfruttato la soluzione ERP per diffondere malware all’interno dell’organizzazione, analogamente al metodo utilizzato in passato in un attacco basato sulla distribuzione di un implant soprannominato HOTCROISSANT.

Cybercrime: rilevate offensive in Europa e Italia

Nella terza settimana di giugno 2024, alcuni analisti hanno osservato un enorme aumento della diffusione di StrelaStealer tramite JavaScript contro target europei. L’infostealer ruba in particolare le credenziali di posta elettronica di Outlook e Thunderbird. La catena di infezione è simile quelle precedentemente documentate, tranne per il fatto che sono stati aggiunti importanti controlli per evitare di infettare i sistemi in Russia. In particolare, sono state osservate offensive in Polonia, Spagna, Italia e Germania. A colpire il Bel Paese, è tornata anche una nuova ondata di una campagna malware in lingua inglese volta alla distribuzione dell’infostealer 0bj3ctivity. Molto simile a una prima ondata identificata nell’ottobre 2023, in questo caso l’e-mail utilizzata contiene un’immagine sfocata con un collegamento a Discord; tuttavia, a differenza del precedente file usato per l’inizio dell’infezione, impiega un JavaScript anziché VBS. Infine, restando sempre in Italia, l’operatore ransomware RansomHub Team ha rivendicato sul proprio sito dei leak la compromissione delle aziende italiane Cloud Europe S.r.l. specializzata nella progettazione e nella gestione di Data Center, e Fusco S.r.l. produttrice di alimenti per animali e operante nel settore agricolo. Per quanto riguarda Cloud Europe, sono stati pubblicati alcuni sample come prova dell’avvenuta violazione e, secondo quanto dichiarato dall’operatore, l’incidente avrebbe impattato anche un’altra società, clienti e partner.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.