Operazioni state-sponsored inedite, phishing e data leak con target Italia, vulnerabilità Android sfruttata ITW

APT: rilevate campagne di diversa matrice e nuovi tool

A partire dal marzo 2024, il gruppo state-sponsored russo Sofacy ha sfruttato un’esca a tema “auto in vendita” per veicolare il malware HeadLace probabilmente conto diplomatici. Non è la prima volta che avversari russi usano esche a tema “auto diplomatica in vendita”: fra gli altri APT di Mosca che sono stati osservati impiegare questa tattica figura APT 29. Spostandoci in Cina, Evasive Panda (StormBamboo) ha compromesso con successo un provider di servizi internet (ISP), il cui nome non è stato rivelato, per eseguire un attacco di DNS poisoning rivolto alle organizzazioni target. L’avversario di Pechino ha alterato le risposte alle query DNS per specifici domini legati a meccanismi automatici di aggiornamento software, portando all’installazione di malware, tra cui – ma non solo – MACMA e MgBot. Passando in Corea, il National Cyber Security Center (NCSC) della Corea del Sud ha rilasciato un advisory congiunto, redatto da diverse agenzie del Paese parte della Korea Cybersecurity Intelligence Community (KCIC), il quale mette in allerta circa attacchi informatici volti al furto di tecnologie e segreti commerciali nei settori edile e manifatturiero perpetrati da avversari nordcoreani, in particolare ScarCruft e Lazarus Group. Le agenzie della KCIC ritengono che l’attività in questione sia collegata a un progetto annunciato dal presidente Kim Jong-un, chiamato “Regional Development 20×10 Policy”. Di matrice non nota, invece, un APT tracciato come Actor240524 ha sferrato una campagna di spear phishing volta all’esfiltrazione di dati sensibili, che ha preso di mira diplomatici dell’Azerbaigian e di Israele con due malware inediti denominati ABCloader e ABCsync. Da ultimo, ricercatori di sicurezza hanno scoperto nuovi strumenti che sfruttano servizi cloud legittimi – come Microsoft OneDrive o Google Drive – utilizzati da diversi criminali informatici, compresi quelli state-sponsored, per condurre attività di spionaggio e attacchi informatici. Tra questi figurano le backdoor GoGra (presumibilmente sviluppata dall’APT Harvester), Grager (forse collegata al cluster cinese UNC5330), MoonTag (attribuibile a un attaccante sinofono) e Onedrivetools. Ad esse si aggiunge uno strumento di esfiltrazione usato da gruppo di spionaggio denominato Firefly in un attacco contro un’entità militare nel Sudest asiatico e un tool di tunneling soprannominato Whipweave adoperato dagli stessi avversari di Onedrivetools.

Italia: segnalate operazioni di phishing e un data leak ai danni di target italiani

La scorsa settimana sono state tracciate in Italia tre campagne di phishing, due delle quali hanno previsto la distribuzione di malware, mentre una era volta a rubare dati. Quest’ultima è stata diffusa tramite una pagina Facebook responsabile della pubblicazione di post ingannevoli che si fingono comunicazioni ufficiali dell’azienda del trasporto pubblico di Roma ATAC, promettendo tessere annuali gratuite per usufruire dei mezzi pubblici della capitale italiana. In realtà, il fine ultimo dei criminali è quello di indurre le vittime a fornire informazioni quali, dati della carta di credito, identificativi personali, numeri di telefono e indirizzi di residenza, per poi esfiltrarle. Per quanto riguarda le operazioni malware, invece, una ha veicolato via PEC il noto infostealer Nocturnal Stealer (alias Vidar), mentre l’altra il RAT STRRAT. In aggiunta, diversi siti di informazione italiani e altre piattaforme che utilizzano il Content Management System (CMS) di Naviga (navigaglobal[.]com), principale fornitore di software e servizi per le industrie del settore dei media con sede a Bloomington, in Minnesota, sono caduti vittima di un data leak rivendicato dall’avversario ALPHA (alias Alpha Team). Stando a quanto riportato, il leak conterrebbe file FTP, accessi server e database completi con informazioni riguardanti i clienti, tra cui indirizzi e-mail, password, indirizzi di residenza, date di nascita, codice UID dei loro dispositivi e altro ancora, per un totale di oltre 5 milioni di righe. Fra i portali colpiti figurano: Giornale di Brescia; La Sicilia; La Voce; Il Roma; L’Eco di Bergamo; La Gazzetta del Mezzogiorno; Il Mattino di Foggia; Il Giornale di Sicilia; Giunti Editore; Il Corriere dell’Umbria; ItaliaOggi; Editoriale Oggi; La Provincia di Sondrio; Milano Finanza; Il Secolo XIX; Torino Cronaca; Sprint e Sport; Gazzetta Regionale; L’Eco di Biella; e molti altri ancora.

Google: risolta una vulnerabilità del Kernel Android sfruttata in attacchi mirati

Google ha rilasciato l’Android Security Bulletin e il Pixel Update Bulletin relativi al mese di agosto 2024 sulle vulnerabilità che interessano Android e Pixel. Nel bollettino di Android, l’azienda di Mountain View ha dichiarato di aver riscontrato evidenze in base alle quali una falla di tipo Remote Code Execution (RCE), presente nel Kernel e tracciata con codice CVE-2024-36971, potrebbe essere sfruttata ITW in modo limitato e mirato. Tale vulnerabilità potrebbe portare all’esecuzione di codice remoto, ma necessita dei privilegi di esecuzione del sistema per essere sfruttata con successo. Essendo stata scoperta da un ricercatore di sicurezza del Threat Analysis Group (TAG) di Google a cui viene spesso attribuito il merito di trovare falle sfruttate da fornitori di spyware commerciali, alcune fonti mediatiche suggeriscono ci sia la possibilità che CVE-2024-36971 sia stata utilizzata in attacchi volti alla distribuzione di spyware. Tuttavia, al momento non è possibile confermare questa ipotesi in quanto non sono stati rilasciati dettagli sulle offensive che fanno uso della vulnerabilità.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.