Gruppi asiatici continuano a colpire, nuove attività cybercrime, offensive nell’ambito del conflitto russo-ucraino
29 Luglio 2024State-sponsored: tracciate operazioni finanziate da Corea del Nord e Cina
KnowBe4, società californiana che sviluppa l’omonima piattaforma per la simulazione di phishing e la sensibilizzazione sul problema della sicurezza, ha riferito di aver condotto un’indagine su un nuovo dipendente assunto in qualità di Principal Software Engineer, in seguito alla rilevazione di una serie di attività sospette sul suo account. L’indagine portata a termine ha rivelato che si trattava di un falso lavoratore IT proveniente dalla Corea del Nord, il quale utilizzava un’identità valida ma rubata negli Stati Uniti. Inoltre, è stata osservata una longeva campagna da parte del cluster cinese Axiom che ha preso di mira e compromesso con successo diverse organizzazioni operanti nei settori delle spedizioni e della logistica, dei media e dell’intrattenimento, della tecnologia e dell’automotive. L’avversario si è infiltrato e ha mantenuto un accesso persistente e non autorizzato alle reti di numerose vittime a partire dal 2023, consentendo loro di estrarre dati sensibili per un periodo prolungato. In particolare, la maggior parte delle società prese di mira opera in Italia, Spagna, Taiwan, Thailandia, Turchia e Regno Unito. Sempre finanziato da Pechino, il gruppo Evasive Panda ha aggiornato il proprio toolset, introducendo diverse nuove versioni dei propri malware, molto probabilmente in risposta all’esposizione di varianti precedenti. I nuovi strumenti sono stati utilizzati in una serie di recenti attacchi contro entità a Taiwan e una ONG statunitense con sede in Cina, il che indica che l’APT si dedica anche allo spionaggio interno. Nell’attacco a quest’ultima, l’avversario ha sfruttato una vulnerabilità in un server HTTP Apache per diffondere il malware MgBot. Tra le nuove aggiunte all’arsenale dell’APT di Pechino ci sono una nuova famiglia malware basata sul framework modulare MgBot del gruppo, versioni inedite della backdoor per macOS MACMA e la backdoor per Windows Nightdoor.
Cybercrime: accesso abusivo all’ASL Roma 1 e individuati oltre 3.000 falsi account su GitHub
Un ex dipendente dell’Azienda Sanitaria Locale (ASL) Roma 1 è indagato per accesso abusivo a sistemi informatici dopo che, a seguito di una perquisizione domiciliare eseguita dai poliziotti della Polizia Postale, è stato rinvenuto sul suo computer personale un file contenente le credenziali di accesso e le configurazioni dei sistemi IT dell’ASL stessa. Stando alle analisi tecniche compiute, gli esperti del Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (CNAIPIC) hanno documentato che la strumentazione elettronica del sospettato è stata utilizzata per condurre un attacco che ha avuto luogo nel novembre 2023, come sorta di ritorsione nei confronti dell’azienda sanitaria dove è stato impiegato per anni come informatico. L’indagato è accusato di aver divulgato le credenziali di amministrazione e controllo server con lo scopo di preparare successive offensive informatiche; imputazione dalla quale dovrà difendersi nelle giuste sedi. Passando al panorama ransomware, Monti Team ha rivendicato sul proprio sito dei leak la compromissione di Regas, partner italiano delle principali utility del settore gas che fornisce loro prodotti e servizi dedicati; mentre RansomHub Team di Erma Group S.r.l., azienda di riferimento per la produzione, distribuzione e commercializzazione di ricambi per macchine movimento terra e agricole. Infine, sempre in ambito cybercrime un gruppo denominato Stargazer Goblin ha creato un servizio di malware Distribution-as-a-Service (DaaS) utilizzando oltre 3.000 account falsi su GitHub per diffondere molteplici infostealer. L’avversario gestisce una rete di account fantasma soprannominata Stargazers Ghost Network che distribuisce minacce tramite link malevoli sui loro repository e archivi crittografati come release. Questa rete oltre a veicolare malware, svolge anche varie altre attività che fanno apparire tali profili come appartenenti a utenti normali, conferendo una falsa legittimità alle loro azioni e ai repository associati.
Ucraina: interrotto il riscaldamento di oltre 600 condomini a Lviv e tracciate nuove offensive
Un malware denominato FrostyGoop è stato utilizzato in un attacco del gennaio 2024 per interrompere il riscaldamento di oltre 600 condomini a Lviv, in Ucraina, per due giorni con temperature sotto lo zero. La minaccia, scritta in Golang e compilata per Windows, è in grado di interagire direttamente con i sistemi di controllo industriale (ICS) utilizzando Modbus TCP, un protocollo ICS standard nei settori industriali. Un esame forense durante l’indagine ha mostrato che gli operatori hanno inviato comandi Modbus direttamente ai controller ENCO del sistema di riscaldamento distrettuale da host malevoli. L’avversario ha effettuato il downgrade del firmware dei device, implementando una versione priva delle funzionalità di monitoraggio utilizzate presso la struttura vittima, causando la perdita di visibilità. Infine, non ha tentato di distruggere i controller. Al contrario, l’attaccante ha fatto sì che i dispositivi riportassero misurazioni imprecise, causando un funzionamento errato del sistema e la perdita del riscaldamento per i clienti. Oltre a ciò, Il CERT-UA ha ricevuto segnalazioni riguardo nuove offensive. Un’operazione di phishing presumibilmente condotta da un gruppo avente legami con la Russia, tracciato sotto il cluster UNC3707, ha preso di mira un’organizzazione governativa legata all’economia ucraina. L’e-mail proviene da un mittente ukr[.]net il cui indirizzo spoofa quello di un dipartimento di Polizia del Paese. Inoltre, tra il 12 e il 18 luglio 2024, è stato registrato un aumento delle attività del bielorusso Ghostwriter riguardanti la distribuzione di documenti con macro progettate per lanciare il malware PicassoLoader al fine di veicolare beacon Cobalt Strike.
Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center.
Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.
Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.