WEEKLY THREATS

Attacchi in Italia, nuovi data breach, Charming Kitten intensifica le attività e colpiti target critici della Russia

26 Agosto 2024
Charming Kitten TS-Way cover

Italia: tracciate nuove rivendicazioni ransomware e campagne di phishing

Nuove offensive da parte di criminali informatici hanno preso di mira la penisola nell’ultima settimana. Nel dettaglio, diversi operatori ransomware hanno rivendicato sul proprio sito dei leak la compromissione di realtà italiane. Stormous ha reclamato la presunta violazione di TELECO S.r.l., Hunters International Team di Ferraro Group S.r.l. e CiphBit di  Keios S.r.l. e L.M.C. International S.r.l. Inoltre, sono sta rilevate dai ricercatori diverse campagne di phishing. In particolare, nuove attività di distribuzione del trojan QuasarRAT hanno mirato a utenti di specifici istituti bancari italiani. Le e-mail individuate sfruttano loghi istituzionali del Ministero dell’Interno per fingersi comunicazioni ufficiali. Tra le banche prese di mira figurano Intesa Sanpaolo, UniCredit, ING, Fineco, Banco BPM, BBVA Italia, Santander e Banca Monte dei Paschi di Siena. Oltre a ciò, una nuova ondata di e-mail malevole inviate attraverso indirizzi di posta elettronica certificata (PEC), hanno veicolato il malware Nocturnal Stealer. Infine, è stata rilevata una campagna di smishing ai danni dell’Istituto Nazionale della Previdenza Sociale (INPS), volta a esfiltrare via Telegram informazioni personali e dati delle carte di credito/debito delle vittime. L’SMS individuato chiede al target di effettuare una verifica anagrafica tramite un link presente nel testo, al fine di ricevere un accredito di 930,00 euro sul proprio conto corrente. Se cliccato, tale collegamento reindirizza l’utente a un indirizzo fraudolento che imita il portale ufficiale dell’Istituto e, tramite ulteriori pagine, porta all’esfiltrazione di dati sensibili e finanziari della vittima.

Breach: nel mirino Toyota, Microchip Technology e Halliburton

Toyota ha confermato che informazioni dei clienti sono state esposte in una violazione di terze parti, dopo che un avversario chiamato ZeroSevenGroup ha diffuso su un forum underground un archivio di 240 GB di dati rubati da una presunta filiale statunitense. L’azienda ha dichiarato a una fonte giornalistica di essere consapevole della situazione e che il problema è di portata limitata e non riguarda l’intero sistema. La società ha aggiunto che è impegnata con coloro che sono stati colpiti e fornirà assistenza se necessario, ma non ha ancora rilasciato informazioni su quando ha scoperto la violazione, come l’attaccante ha ottenuto l’accesso e quante persone hanno avuto i loro dati esposti nell’incidente. Successivamente, un portavoce ha chiarito in una nuova dichiarazione che i sistemi di Toyota Motor North America non sono stati violati o compromessi e che i dati sono stati rubati da quella che sembra essere un’entità terza che si presenta erroneamente come Toyota. Da parte sua, il produttore americano di chip Microchip Technology Inc. ha reso noto che un cyberattacco ha colpito i suoi sistemi, interrompendo le operazioni in diversi impianti di produzione. In ultimo, anche l’azienda statunitense di servizi petroliferi Halliburton, nella giornata di mercoledì 21 agosto 2024, sembrerebbe essere stata oggetto di un’offensiva informatica. Secondo una fonte che ha familiarità con la questione, la società è stata colpita da un’attività malevola che sembra aver impattato le operazioni commerciali presso il campus della compagnia a nord di Houston e alcune reti di connettività globale. L’azienda non ha né confermato né smentito l’attacco; tuttavia, ha riconosciuto un’anomalia non meglio specificata, dichiarando di essere a conoscenza di un problema che ha interessato alcuni sistemi e di essere al lavoro per determinarne la causa e l’impatto.

APT: particolarmente attivo l’iraniano Charming Kitten e presi di mira target critici della Russia tramite campagne di spear phishing

Tra febbraio e fine luglio 2024, il Threat Analysis Group (TAG) di Google ha osservato l’iraniano Charming Kitten condurre operazioni di phishing contro target di alto profilo in Israele e negli Stati Uniti, tra cui attuali ed ex funzionari governativi, diplomatici, persone che lavorano in think tank, nonché ONG e istituzioni accademiche che partecipano ai dialoghi di politica estera, compresi ex alti ufficiali militari israeliani e individui legati a entrambe le campagne presidenziali statunitensi. Inoltre, lunedì 19 agosto, l’Office of the Director of National Intelligence (ODNI), l’FBI e la CISA hanno rilasciato una dichiarazione congiunta dove segnalano che avversari iraniani hanno cercato, attraverso il social engineering e altre tattiche, di infiltrarsi negli ambienti di individui con accesso diretto alle campagne presidenziali di entrambi i partiti politici statunitensi, oltre ad aver confermato che la campagna dell’ex presidente Trump è stata compromessa da attaccanti associati all’Iran. Tra le varie operazioni del gruppo di Teheran, una ha visto il targeting di una figura ebraica di spicco, non menzionata, tramite un falso invito a un podcast volto a tentare di fornire un nuovo toolkit chiamato BlackSmith, che porta alla distribuzione di un trojan PowerShell inedito soprannominato AnvilEcho. Inoltre, è stata tracciata una piattaforma malware scritta in Go denominata Cyclops, precedentemente non documentata, probabilmente sviluppata come successore del malware BellaCiao e attribuibile all’APT iraniano. Spostandoci in Russia, un’indagine condotta da Access Now e dal Citizen Lab, in collaborazione con altre organizzazioni della società civile incluse First Department, Arjuna Team e RESIDENT[.]ngo, ha portato alla scoperta di almeno due distinte operazioni di spear phishing che hanno preso di mira organizzazioni non profit russe e bielorusse, media indipendenti russi, ONG internazionali attive nell’Europa orientale e almeno un ex ambasciatore statunitense. Una delle due operazioni è stata attribuita all’APT di Mosca Callisto e denominata River of Phish (RoP), mentre l’altra è probabilmente opera di un avversario distinto, precedentemente non documentato, soprannominato COLDWASTREL. Sulla base dei target osservati, si ritiene che anche quest’ultimo possa agire in linea con gli interessi del governo russo; tuttavia, al momento non è possibile attribuire con certezza l’offensiva a un attaccante noto.


Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.