L’Italia nel mirino di nuove offensive, APT iraniani in fermento, vulnerabilità sfruttate ITW
02 Settembre 2024Italia: rilevati attacchi di diversa natura contro target del Paese
Sabato 25 agosto 2024, un avversario noto come SILKFIN AGENCY ha pubblicato su un forum underground un file SQL appartenente al Consiglio Nazionale delle Ricerche (CNR) italiano, contenente informazioni su progetti, ricerche e altro ancora. Il data leak è stato confermato dall’Ente giovedì 29 tramite una nota dove ha dichiarato che l’attacco è avvenuto tramite un accesso non autorizzato al database relativo a un’applicazione denominata Arch-Motro, che gestisce gli elenchi di versamento della documentazione non più di uso corrente e destinata al proprio archivio di deposito. Dopo aver accertato che non sono stati criptati dati e non c’è stata alcuna interruzione dei servizi, il CNR ha riferito che le informazioni contenute nel file divulgato sono metadati descrittivi che identificano i faldoni conservati nell’archivio di deposito. Spostandoci in campo ransomware, BianLian Team ha rivendicato la compromissione di Studio Legale Associato Isolabella, mentre Meow Leaks di Finlogic S.p.A. Oltre a ciò, sono state tracciate operazioni di phishing che sfruttano il nome, i loghi e l’immagine di enti come l’Agenzia delle Entrate e Bancomat S.p.A. Tali offensive sono volte a esfiltrare informazioni personali e finanziarie, come credenziali bancarie, dati delle carte di debito e credito o credenziali di accesso al servizio di home banking.
APT: le ultime su Charming Kitten, PIONEER KITTEN e APT33
Nella settimana appena conclusa si è registrato un particolare fermento tra i gruppi finanziati da Teheran. Charming Kitten (APT42) torna a far parlare di sé a seguito del blocco da parte di Meta di un piccolo gruppo di account WhatsApp a lui collegati, che si spacciavano per il supporto tecnico di società quali AOL, Google, Yahoo e Microsoft. Inoltre, è stata tracciata una presunta operazione di controspionaggio di matrice iraniana – debolmente sovrapponibile sempre a Charming Kitten – volta a raccogliere dati sui cittadini del Paese e minacce interne che potrebbero collaborare con agenzie di intelligence e di sicurezza all’estero, in particolare in Israele. L’attività ha utilizzato più account social media – come X e Virasty – per diffondere una rete di oltre 35 falsi siti di recruiting contenenti un’ampia quantità di contenuti. Quanto a PIONEER KITTEN, l’FBI, la CISA e il DC3 americani hanno pubblicato un advisory congiunto, riferendo che l’APT sta violando organizzazioni dei settori della Difesa, dell’istruzione, della finanza e della sanità, nonché enti governativi locali negli Stati Uniti e in altri Paesi, tra cui Israele, Azerbaigian ed Emirati Arabi Uniti. Stando a quanto riferito, l’avversario opera sotto diversi moniker, quali Br0k3r e xplfinder, e utilizza il nome della società iraniana Danesh Novin Sahand, probabilmente come entità informatica di copertura per le proprie attività malevole. In aggiunta, in diverse sue operazioni l’attaccante sembra ottenere l’accesso alle reti target per poi collaborare con operatori ransomware, come NoEscape Team, RansomHouse e ALPHV Team, al fine di consentire futuri attacchi o effettuare attività di crittografia in cambio di una percentuale sul pagamento del riscatto. Da ultimo, tra aprile e luglio 2024, APT33 è stato osservato distribuire una nuova backdoor multistadio custom, soprannominata Tickler, in attacchi rivolti contro target dei settori aerospaziale, delle telecomunicazioni, Oil &Gas e governativo negli Stati Uniti e negli Emirati Arabi Uniti, al fine di raccogliere informazioni a sostegno degli interessi del governo di Teheran.
Vulnerabilità: sfruttate falle di Versa Networks, Apache, Kingsoft e Google
Il cinese Volt Typhoon ha sfruttato la 0-day CVE-2024-39717 di Versa Director, recentemente divulgata e aggiunta al catalogo delle vulnerabilità sfruttate ITW della CISA. Di tipo Unrestricted Upload of File with Dangerous Type, la falla risiede nella GUI di Versa Director e consente agli amministratori con privilegi Provider-Data-Center-Admin o Provider-Data-Center-System-Admin di caricare file malevoli. Si ritiene che l’APT di Pechino l’abbia adoperata per colpire quattro vittime statunitensi e una indiana operanti nei settori degli Internet Service Provider (ISP), dei Managed Service Provider (MSP) e dell’IT a partire dal 12 giugno 2024. Sempre allo stesso catalogo, dopo aver riscontrato evidenze di uno sfruttamento attivo, la CISA ha aggiunto anche CVE-2024-38856 di Apache OFBiz, patchata a inizio agosto. La vulnerabilità è una Incorrect Authorization che potrebbe consentire l’esecuzione di codice remoto tramite un payload Groovy nel contesto del processo utente OFBiz da parte di un avversario non autenticato. Al momento non sono noti ulteriori dettagli sugli attacchi in cui viene usata, ma si segnala che sono pubblicamente disponibili degli exploit Proof-of-Concept (PoC). Dal canto suo, il sudcoreano DarkHotel ha abusato come 0-day CVE-2024-7262, presente in WPS Office per Windows di Kingsoft, per veicolare una backdoor custom denominata SpyGlace contro Paesi dell’Asia orientale. La falla è stata individuata sotto forma di exploit single-click in un documento malevolo creato dall’APT di Seul, è di tipo Path Traversal, e consente l’esecuzione di codice tramite l’alterazione del flusso di controllo del componente del plugin WPS Office promecefpluginhost.exe. Infine, Google ha riferito di essere a conoscenza dell’esistenza di un exploit per CVE-2024-7965 – un’Inappropriate Implementation nel motore JavaScript open-source V8 – segnalato dopo il rilascio del bollettino iniziale e la notifica dello sfruttamento di CVE-2024-7971, anch’essa presente in V8 e sfruttata ITW.
Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center.
Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.
Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.
Scopri di più sulla nostra soluzione di Cyber Threat Intelligence