WEEKLY THREATS

Nuove attività di Predator e gruppi sinofoni, colpiti i clienti di Fortinet e TfL, sfruttate CVE Microsoft e SonicWall

16 Settembre 2024
falle microsoft TS-Way cover

State-sponsored: Predator torna a colpire, mentre gupppi sinofoni accrescono le loro operazioni

Dopo un calo delle attività causato da esposizioni pubbliche e sanzioni del governo degli Stati Uniti contro Intellexa, ricercatori di sicurezza hanno tracciato nuove infrastrutture legate allo spyware Predator in diversi Paesi. Gli operatori hanno potenziato in modo significativo la loro infrastruttura, aggiungendo livelli di complessità per eludere il rilevamento. In particolare, è stata inclusa una fase aggiuntiva nel suo sistema di consegna multistadio, rendendo anonime le operazioni dei clienti e ancora più difficile identificare i Paesi che utilizzano la minaccia. Gli analisti hanno rilevato quattro cluster associati all’uso dello spyware in diversi Paesi, tra cui l’Angola e la Repubblica Democratica del Congo. Uno di questi cluster potrebbe essere collegato sia al Madagascar che agli Emirati Arabi Uniti, o rappresentare due entità distinte. Un quarto cluster invece appare inattivo ed è presumibilmente legato all’Arabia Saudita. Inoltre, sono stati rilevati diversi server sospetti, collegati a operazioni Predator, ma non ancora attribuiti. Sempre per quanto riguarda l’universo state-sponsored, gli avversari di lingua cinese hanno mostrato particolare fermento. Nel dettaglio, la backdoor ToneShell, frequentemente associata a Mustang Panda, è stata recentemente utilizzata per prendere di mira i partecipanti dell’IISS Prague Defence Summit 2024. In programma dall’8 al 10 novembre 2024, l’evento è destinato a diventare un forum centrale per discutere di Difesa e sicurezza nella regione euro-atlantica. Oltre a ciò, dall’inizio del 2024, alcuni analisti hanno tracciato un avversario soprannominato TIDRONE, che ha mostrato un interesse significativo per le attività industriali legate al settore militare, in particolare per i produttori di droni a Taiwan. Infine, è stato individuato un gruppo denominato DragonRank, presumibilmente sinofono e impegnato in tecniche di black hat SEO, che ha preso di mira i server Windows Internet Information Services (IIS) che ospitano siti web aziendali, con l’intenzione di impiantare il malware IISpy. Quest’ultimo manipola i crawler dei motori di ricerca per compromettere la SEO dei portali colpiti. Conduce questi attacchi per indirizzare il traffico verso pagine malevole, aumentare la visibilità di contenuti fraudolenti o disturbare concorrenti gonfiando o sgonfiando artificialmente il ranking.

Breach: impattati clienti di Fortinet e Transport for London

Il colosso della sicurezza informatica Fortinet ha confermato di aver subito una violazione dei dati, dopo che un avversario ha affermato di aver rubato 440 GB di file dal server Microsoft Sharepoint dell’azienda. Sotto l’alias Fortibitch, l’attaccante ha postato la rivendicazione su un forum underground condividendo le credenziali di un presunto bucket S3 contenente i dati rubati. Esso sostiene di aver tentato di estorcere a Fortinet il pagamento di un riscatto, probabilmente per impedire la pubblicazione delle informazioni esfiltrate, ma l’azienda si sarebbe rifiutata di pagare. Dal canto suo, la società ha affermato che è stato ottenuto l’accesso non autorizzato a un numero limitato di file memorizzati su un’istanza di un’unità di file condivisa basata su cloud di terze parti, che includeva dati limitati relativi a un numero ridotto (meno dello 0,3%) di clienti. Transport for London (TfL) ha annunciato in un nuovo comunicato che l’attacco informatico del 1° settembre 2024 ha colpito dati degli utenti. Il 2 settembre l’agenzia di trasporti urbani aveva informato il pubblico di un incidente in corso, assicurando ai clienti che in quel momento non c’erano prove della compromissione dei loro dati. Tuttavia, un nuovo aggiornamento ha rivelato che, sebbene l’impatto sia stato minimo per tutto questo tempo, la situazione si sta evolvendo. Nello specifico, le indagini hanno riscontrato l’accesso non autorizzato a informazioni inerenti agli utenti, tra cui alcuni nomi e dati di contatto, compresi indirizzi e-mail e di casa. Inoltre, l’autorità locale aggiunge che è possibile che siano stati consultati dati relativi al rimborso della carta Oyster. Tra questi potrebbero esserci i numeri di account bancari e Sort Code per circa 5.000 clienti.

Vulnerabilità: sfruttate ITW falle di Microsoft e SonicWall

Microsoft con il Patch Tuesday di settembre ha corretto 4 vulnerabilità sfruttate ITW. Tra queste risulta utilizzata e pubblica CVE-2024-38217 (CVSS 5.4) che consente a un attaccante di creare un file malevolo in grado di eludere le difese di Mark of the Web (MOTW), con una conseguente perdita limitata dell’integrità e della disponibilità di funzioni di sicurezza. Sono invece sfruttate, ma non pubbliche, le seguenti vulnerabilità: CVE-2024-43491 (CVSS 9.8), CVE-2024-38226 (CVSS 7.3) e CVE-2024-38014 (CVSS 7.8). La prima è una falla critica in Servicing Stack che ha annullato le correzioni per alcune vulnerabilità che interessano componenti opzionali in Windows 10, versione 1507.  È inoltre interessante notare che, sebbene questo particolare bug non venga sfruttato ITW, ha esposto alcuni dei componenti. Per quanto riguarda CVE-2024-38226, la vulnerabilità consente di aggirare le policy delle macro di Office utilizzate per bloccare i file non attendibili o malevoli. Nel dettaglio, un attaccante autenticato potrebbe sfruttare la falla convincendo una potenziale vittima, tramite social engineering, a scaricare e aprire un file da un sito web che potrebbe portare a un attacco locale sul computer target. CVE-2024-38014, invece, permette di elevare i privilegi a SYSTEM. Infine, SonicWall ha aggiornato un advisory avvertendo che la vulnerabilità critica CVE-2024-40766 (CVSS 9.3) recentemente risolta in SonicOS è ora sfruttata in attacchi ITW e invita gli amministratori ad applicare le patch il prima possibile. Quando il vendor ha divulgato per la prima volta la falla il 22 agosto 2024, si riteneva che la vulnerabilità riguardasse solo l’accesso di gestione SonicOS. Con l’aggiornamento del bollettino, l’azienda avverte che CVE-2024-40766 ha un impatto anche sulla funzione SSLVPN del firewall. In concomitanza, ricercatori sono venuti a conoscenza di diversi recenti incidenti di sicurezza in cui account SonicWall SSLVPN sono stati presi di mira, o compromessi, anche da gruppi ransomware. Tuttavia, le prove che collegano CVE-2024-40766 a queste offensive sono ancora circostanziali. Inoltre, sono stati collegati allo sfruttamento della falla anche attacchi dell’operatore Akira Team.


Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence