WEEKLY THREATS

Phishing e ransomware in Italia, falle sfruttate ITW, tracciate nuove attività dalla Cina

23 Settembre 2024
cybercrime cina TS-Way cover

Italia: rilevati attacchi di phishing e ransomware

È stato tracciato in Italia un sofisticato attacco di phishing, che sfrutta il Sistema Pubblico di Identità Digitale (SPID) per esfiltrare le credenziali di accesso degli utenti di diversi istituti bancari italiani. L’operazione approfitta dell’ampia diffusione del servizio e adopera una grafica molto simile a quella utilizzata dall’Agenzia per l’Italia Digitale (AgID). In aggiunta, è stata individuata una nuova ondata della campagna di distribuzione via PEC del noto infostealer Nocturnal Stealer, in particolare la quarta registrata nel 2024 (tutte tracciate da agosto alla data odierna, 17 settembre 2024); mentre un’offensiva di smishing ha mirato agli utenti di tNotice, servizio elettronico di recapito certificato. Infine, è stata analizzata un’attività volta a distribuire come payload finale un RAT inedito denominato SambaSpy. Quest’ultimo è sviluppato in Java e offuscato usando il tool Zelix KlassMaster. La minaccia presenta un’ampia gamma di funzionalità, tra cui: la gestione del file system, dei processi e del desktop remoto; il caricamento/scaricamento di file; il controllo della webcam; il keylogging e il controllo della clipboard; l’acquisizione di screenshot; il furto di password; il caricamento di plugin aggiuntivi in fase di esecuzione; l’avvio di una shell remota; e l’interazione con la vittima. Al momento, non è stato possibile collegare l’attaccante dietro la campagna a un avversario noto. Ciononostante, ci sono indicazioni secondo le quali è possibile dedurre che il responsabile parli portoghese brasiliano e abbia esteso le sue attività a Spagna e Brasile. Passando al panorama ransomware, diverse realtà italiane sono comparse sui portali degli operatori. Medusa Team ha rivendicato sul proprio sito dei leak la compromissione Technolog S.r.l., LockBit Team di Yesmoke, RansomHub Team di La Futura S.r.l. e Arcus Media di Gino Giglio Generation S.p.A.

Vulnerabilità: Void Banshee ha sfruttato come 0-day CVE-2024-43461 di Microsoft e Ivanti ha reso note falle abusate ITW

La vulnerabilità CVE-2024-43461, recentemente risolta da Microsoft, è stata utilizzata come 0-day dal gruppo Void Banshee per distribuire infostealer. La falla di tipo MSHTML Platform Spoofing, resa pubblica durante il Patch Tuesday di questo mese, era stata inizialmente classificata da Microsoft come non sfruttata in attacchi reali. Tuttavia, venerdì scorso 13 settembre 2024, il vendor ha aggiornato l’advisory, confermando che la vulnerabilità era già stata utilizzata in offensive prima che venisse corretta. In particolare, è stata usata come parte di una catena di attacchi relativa a CVE-2024-38112 prima di luglio 2024. Dal lato suo, Ivanti ha reso note due vulnerabilità sfruttate ITW. La prima impatta la sua soluzione Cloud Services Appliance (CSA) ed è tracciata con codice CVE-2024-8190 (CVSS 7.2). Si tratta di una OS Command Injection e consente a un attaccante autenticato di ottenere l’esecuzione di codice da remoto. Al momento della divulgazione, il 10 settembre 2024, il vendor non era a conoscenza di clienti colpiti dallo sfruttamento di questa falla. Successivamente il 13 settembre, è stato confermato l’abuso di tale problema di sicurezza su un numero limitato di clienti. La seconda, tracciata con codice CVE-2024-8963 (CVSS 9.4), impatta Cloud Services Appliance (CSA) 4.6 ed è di tipo Path Traversal. La falla consente a un avversario remoto non autenticato di accedere a funzionalità riservate. Se concatenata con CVE-2024-8190, un attaccante può bypassare l’autenticazione di tipo amministrativo ed eseguire comandi arbitrari sul dispositivo. Il problema sembrerebbe essere stato incidentalmente risolto nella patch (CSA 4.6 Patch 519) rilasciata il 10 settembre. Oltre a ciò, è stata segnalata la pubblicazione di un exploit Proof-of-Concept (PoC) per CVE-2024-29847, una vulnerabilità critica di tipo Deserialization of Untrusted Data in Ivanti Endpoint Manager (EPM), anch’essa patchata il 10 del mese corrente. Se sfruttato, tale problema consente a un avversario remoto non autenticato di ottenere l’esecuzione di codice remoto.

Cina: Mustang Panda adotta nuove strategie e gli USA accusano un cittadino cinese di frode telematica e furto d’identità

Ricercatori di sicurezza hanno osservato il gruppo state-sponsored cinese Mustang Panda adottare nuove strategie e malware per scaricare payload e rubare informazioni da reti compromesse. L’avversario ha utilizzato una variante del worm HIUPAN per propagare PUBLOAD nelle reti dei target tramite unità rimovibili. Per estendere le capacità dell’APT sono stati utilizzati tool aggiuntivi, tra cui FDMTP, utilizzato come strumento di controllo secondario, e PTSOCKET per l’esfiltrazione in alcuni sistemi infetti. Inoltre, un’altra campagna ha impiegato e-mail di spear phishing con downloader multistadio soprannominati DOWNBAIT e PULLBAIT, che hanno portato alla distribuzione di ulteriori malware. Gli attacchi di Mustang sono altamente mirati e sensibili al fattore tempo, spesso implicando una rapida distribuzione ed esfiltrazione di dati, con un focus su specifici Paesi e settori all’interno della regione APAC. Dal canto suo, l’Ufficio del Procuratore degli Stati Uniti per il distretto settentrionale della Georgia ha incriminato un cittadino cinese trentanovenne chiamato Song Wu di frode telematica e furto d’identità aggravato a causa dei suoi tentativi di ottenere in modo fraudolento software e codici sorgente creati dalla National Aeronautics and Space Administration (NASA), da università di ricerca e da aziende private tramite una campagna di spear phishing. L’imputato si sarebbe impegnato in un’operazione pluriennale nell’ambito della quale ha creato account di posta elettronica per impersonare ricercatori e ingegneri con sede negli Stati Uniti per poi usarli al fine di ottenere software specialistico riservato o proprietario usato per l’ingegneria aerospaziale e la fluidodinamica computazionale.  Nel dettaglio, Song avrebbe inviato e-mail  a persone con posizioni in agenzie governative degli Stati Uniti, tra cui la NASA, l’Aeronautica militare (United States Air Force), la Marina militare (United States Navy), l’Esercito (United States Army) e la Federal Aviation Administration (FAA); oltre a individui impiegati in importanti università di ricerca della Georgia, del Michigan, del Massachusetts, della Pennsylvania, dell’Indiana e dell’Ohio e in società del settore privato che operano nel campo aerospaziale. Secondo l’accusa, mentre conduceva questa campagna, il trentanovenne era impiegato come ingegnere presso l’Aviation Industry Corporation of China (AVIC), un conglomerato aerospaziale e della Difesa di proprietà statale cinese con sede a Pechino, responsabili della produzione di aerei civili e militari, nonché uno dei maggiori contractor della Difesa al mondo.


Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence